Datenschutz in den Betriebsmodellen bei linkyard

linkyard unternimmt grosse Anstrengungen zur Sicherstellung des Datenschutzes bei unseren Managed Services. In diesem Artikel stellen wir die verschiedenen Features und Varianten näher dar.

linkyard unternimmt grosse Anstrengungen zur Sicherstellung des Datenschutzes bei unseren Managed Services. In diesem Artikel stellen wir die verschiedenen Features und Varianten vor.

Hosting-Modelle bei linkyard

Unter der Bezeichnung Atlassian-as-a-Service bieten wir unseren Kunden die Lizenzierung und Bereitstellung von Atlassian Produkten als Managed Service an. Wichtig ist, dass es sich dabei um ein Hosting handelt. Das heisst, im Gegensatz zu der Bereitstellung einer Software als reine Cloud-Software, wird bei uns jedes Kundensystem separat lizenziert, die Kundendaten auf separaten Disks verschlüsselt gespeichert und die Dienste als separierte Container auf den virtuellen Servern betrieben. Dadurch stellen wir sicher, dass jeder Kunde garantiert nur Zugriff auf seine eigene Instanz erhält.

Seitens der Infrastruktur unterstützen wir drei Deployment Szenarien, welche wir nachfolgend kurz darstellen.

Standardvariante: Betrieb in der linkyard Cloud

In unserer Standardvariante (linkyard Cloud) bieten wir den Betrieb der Software in einem ISO 27001:2013-zertifizierten Rechenzentrum unserer Unterlieferanten an. Wir bieten dabei heute drei Regionen an: EU (Standard), Deutschland und Schweiz. Pro Region verfügen wir über Verträge mit zwei unabhängigen Anbietern. Im Normallfall betreiben wir im Rechenzentrum des Primäranbieters. Wir speichern jedoch ein Off-Site Backup am Standort des Sekundäranbieters. Unser Business Continuity Plan ermöglicht es uns so, im Falle eines Verlusts des Primäranbieters (grossflächiger Netzwerkausfall, Insolvenz, höhere Gewalt usw.) notfalls das System innerhalb weniger Stunden beim Sekundäranbieter wieder in Betrieb zu nehmen.

Dabei ist es heute fast unmöglich, die besten Preise anzubieten, ohne auf Infrastruktur der grossen Hyperscaler (AWS, Azure, Google) abzustützen. Wir stützen daher in den günstigsten Angeboten teilweise auch auf diese modernen Cloud-Infrastrukturen ab. Für Kunden, die explizit nicht möchten, dass Unterlieferanten aus Drittstaaten wie den USA zur Datenverarbeitung herangezogen werden, bieten wir mit einem Aufpreis jedoch die Option an, nur europäische Unterauftragsdatenverarbeiter beizuziehen. Für Kunden aus der Schweiz, beispielsweise den Staat oder Schweizern Banken, bieten wir ausserdem die Möglichkeit, ausschliesslich Unterauftragsdatenverarbeiter aus der Schweiz beizuziehen. Kunden, die an solchen Optionen Interesse haben melden sich bitte bei uns für ein unverbindliches Angebot.

Wir beobachten nun die generellen Auswirkungen der Ungültigerklärtung des EU-U.S. Privacy Shields durch den Europäischen Gerichtshof. Da wir in unseren Verträgen nicht auf den Äquivalenzentscheid der EU Kommission zum EU-U.S. Privacy Shield abgestützt haben, sondern auf die Standardvertragsklauseln zum Datenschutz abstützen, welche noch in Kraft bleiben, ergibt sich keine direkte Verschlechterung der Situation für unsere Kunden. Unsere Vertragspartner sind ausserdem die in Europa niedergelassenen Tochterfirmen dieser Anbieter, weshalb die rechtliche Situation diesbezüglich weiterer Abklärungen bedarf. Auf die Möglichkeit, dass der amerikanische Staat allenfalls über amerikanische Firmen einen Datenzugriff vornehmen könnte, haben wir an dieser Stelle vor zwei Jahren bereits hingewiesen. Insofern hat sich die Situation durch den Gerichtsentscheid nicht komplett geändert. Wir untersuchen aber diesbezüglich unsere Situation und Handlungsoptionen in den nächsten Wochen ebenfalls und werden über allfällige Anpassungen informieren.

Option: Public Cloud

Immer mehr Kunden verfügen über eigene Accounts bei entweder Azure, AWS oder Google. Es kann dann Vorteile haben, wenn wir die Anwendung als Managed Service auf vom Kunden bereitgestellter Public Cloud-Infrastruktur betreiben. Für die grossen Public Cloud-Anbieter Azure, AWS und Google verfügen wir über ein vorbereitetes Standardsetup für den Betrieb. Wir nutzen dabei unsere automatisierten Deployment-Verfahren und Überwachungswerkzeuge wie in der linkyard Cloud und profitieren so von Synergien.

Bezüglich des Datenschutzes ergibt sich eine ähnliche Ausgangslage wie beim Betrieb in der linkyard Cloud, falls wir dort auf die Cloud-Infrastrukturen amerikanischer Anbieter abstützen. Der Unterschied liegt darin, dass der Kunde der direkte Vertragspartner der entsprechenden Public Cloud-Provider ist und diese nicht als Unterdatenauftragsverarbeiter tätig sind. Entsprechend liegt eine andere Vertragskonstellation vor und es liegt im alleinigen Ermessen des Kunden, mit wem dieser welche Verträge abschliesst.

Option: Custom Private Cloud oder On Premise-Betrieb

Wir betreiben auf Wunsch das System auch auf einer Private Cloud-Lösung oder on-premise auf vom Kunden bereitgestellten Linux VMs. Auch bei dieser Option setzen wir unser automatisiertes Deployment-Verfahren ein und integrieren die Umgebung in unsere Tools. Die Installation ist allerdings immer kundenspezifisch und viele Aspekte müssen individuell konzipiert, gebaut und betrieben werden. Dies macht daher in der Regel nur Sinn, wenn der Kunde über eine grössere Umgebung verfügt und der Nutzen daraus die entstehenden Mehrkosten übersteigt.

Marketplace Apps

Die meisten Atlassian Produkte lassen sich durch Apps funktionell erweitern. Drittsoftware-Hersteller haben so die Möglichkeit, die Produkte von Atlassian für weitere Anwendungsfälle zu erweitern. Nach unserer Erfahrung haben die meisten Kunden innerhalb weniger Wochen nach Betriebsaufnahme eine Handvoll zusätzlicher Apps im Einsatz, da diese ihre Anwendungsfälle noch besser Unterstützen helfen. Die verfügbaren Apps können im Atlassian Marketplace durchstöbert werden. Im Gegensatz zur Atlassian Cloud werden Apps in unsere Installation hinzugefügt und danach durch uns betrieben. Wir gewähren keinen Softwareherstellern, weder Atlassian noch Hersteller von Apps, Zugang zu den Kundendaten.

ISO/IEC 27018-Zertifizierung des Datenschutzes

linkyard ist bereits nach ISO/IEC 27001:2013 zertifiziert. Nächstes Jahr steht bei uns wieder eine externe Zertifizierung an, nachdem wir nun zwei Jahre Aufrechterhaltungsaudits zu bestehen hatten. Wir planen für nächstes Jahr gleichzeitig zusätzlich die externe Auditierung des Datenschutzes nach ISO 27018 vorzunehmen, nachdem unsere Akkreditierungsstelle dieses Jahr die Grundlagen zur Prüfung dieses neuen Standards geschaffen hat.

--

linkyard ist Spezialistin für den sicheren Betrieb von Collaboration Services. Rund 100 Kunden - darunter viele aus Branchen mit besonders hohen Informationssicherheits- und Datenschutzanforderungen wie Banken, Versicherungen, öffentliche Verwaltung oder sonstigen kritischen Infrastrukturen zählen auf unsere Dienstleistungen. Das Informationssicherheits-Managementsystem von linkyard ist nach ISO 27001:2013 zertifiziert.

Wie können wir dir helfen?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.