Neue NIST SP 800-53, CMMC, NIST 800-171, PCI DSS SAQ-A und -D, NIST Privacy, ISO 27701, NIST CSF, Microsoft SSPA und MVSP Frameworks, um mehr Kunden bei der Erreichung und Aufrechterhaltung der Compliance zu unterstützen

SOC 2 und ISO 27001 sind vertrauenswürdige Frameworks zum Schutz von Kunden- und Geschäftsdaten für Unternehmen in verschiedenen Branchen und Wachstumsstufen. Beide Berichte sind oft erforderlich, um Geschäfte in den Vereinigten Staaten bzw. international zu tätigen. Je nach den Branchen, die Ihr Unternehmen bedient, den geografischen Gebieten, in denen Sie tätig sind, und den Kunden, mit denen Sie Geschäfte machen, können jedoch andere Sicherheits-, Datenschutz- und Compliance-Frameworks erforderlich sein.

Deshalb freuen wir uns, die Unterstützung neuer Frameworks in den Bereichen Bundes-, Zahlungsverkehrs-, Datenschutz-, Handels- und Sicherheitsbest-Praktiken neben unserer bestehenden Unterstützung für SOC 2, ISO 27001, HIPAA, GDPR, CCPA und PCI DSS durch Secureframe anzukündigen. Zusammen hilft die moderne, All-in-One Governance-, Risiko- und Compliance (GRC)-Plattform von Secureframe Organisationen und Compliance-Teams dabei, Anforderungen zu verstehen, Kontrollen zu verwalten, Arbeitsabläufe zu optimieren und sowohl Aufgaben als auch die Beweiserhebung zu automatisieren, um eine kontinuierliche Einhaltung der Vorschriften in ihrem gesamten Unternehmen zu erreichen und aufrechtzuerhalten.

Zusätzlich hat Secureframe unser SOC 2-Angebot erweitert, um jetzt alle 5 verfügbaren Trust Services-Kriterien durch die Unterstützung von Processing Integrity und Privacy einzuschließen.

„Kunden loben Secureframe dafür, dass wir ihnen helfen, die strengsten globalen Standards zu erreichen und aufrechtzuerhalten, und fordern uns regelmäßig auf, die Fähigkeiten unserer Plattform auf andere Sicherheits-, Datenschutz- und Compliance-Frameworks zu erweitern, die in ihrem Geschäft erforderlich sind“, sagte Shrav Mehta, Gründer und CEO von Secureframe. „Die heutige Ankündigung unserer Erweiterung auf mehr Frameworks ist eine direkte Antwort auf das Kundenfeedback und den überwältigenden Erfolg und den Wert, den die Kunden mit unserer All-in-One Governance-, Risiko- und Compliance-Plattform erzielen.“

„Wir waren beeindruckt, wie schnell und einfach Secureframe uns geholfen hat, bereit für die Prüfung zu sein, um sowohl SOC 2 als auch ISO 27001 Compliance zu erreichen”, sagte Yingsong Wang, Information System Security Engineer bei Haystack Team Inc. „Wir freuen uns, dass Secureframe seine Plattform um weitere Frameworks, darunter ISO 27701, erweitert hat. Wir sind zuversichtlich, dass Secureframe Haystack weiterhin dabei helfen wird, kontinuierliche Compliance schnell und einfach zu erreichen und aufrechtzuerhalten.”

Lesen Sie weiter, um mehr über diese Frameworks zu erfahren und wie Secureframe Ihnen hilft, schnell und einfach compliant zu werden. Wenn Sie an der modernen All-in-One Sicherheits-, Datenschutz- und Compliance-Plattform von Secureframe interessiert sind, vereinbaren Sie bitte eine Demo.

Bundes-Frameworks

Das National Institute of Standards and Technology (NIST) wurde 1901 vom Kongress gegründet, um die industrielle Wettbewerbsfähigkeit der Vereinigten Staaten zu verbessern. Heute entwickelt NIST viele der Frameworks, die von Regierungsorganisationen und -agenturen zur Verwaltung von Cyber-Sicherheitsrisiken verwendet werden. Um Geschäfte mit Regierungsbehörden zu tätigen oder wenn ein Unternehmen sensible Regierungsdaten interagiert oder speichert, muss dieses Unternehmen mit einem oder mehreren dieser NIST-Frameworks konform sein.

NIST 800-53

Das National Institute of Standards and Technology (NIST) 800-53 ist ein Sicherheitskonformitätsstandard und -rahmenwerk, das vom NIST entwickelt wurde, um Bundesbehörden und deren unterstützende Auftragnehmer dabei zu helfen, die Anforderungen des Federal Information Security Modernization Act (FISMA) zu erfüllen. Jede Organisation, die mit der Bundesregierung zusammenarbeitet oder Bundesdaten verarbeitet, muss den NIST 800-53 einhalten, um die Beziehung aufrechtzuerhalten.

NIST 800-53 hat ein größeres Volumen an Kontrollen mit spezifischeren und detaillierteren Anforderungen im Vergleich zu anderen Rahmenwerken. Zum Beispiel enthält NIST viele "organisatorisch definierte" Parameter, die nicht eindeutig sind, was bedeutet, dass jede Organisation für sich selbst die Parameter (d.h. Umfang und Häufigkeit) für die Kontrollen in ihrem Systemschutzplan (SSP) definieren muss.

Kommerzielle Unternehmen, die keine Bundesinformationen verarbeiten oder mit Bundesorganisationen und -behörden zusammenarbeiten, verwenden den NIST 800-53 häufig als Leitfaden zur Sicherung ihrer Systeme, unterliegen jedoch nicht unbedingt den FISMA-Vorschriften.

NIST 800-171

Das National Institute of Standards and Technology (NIST) 800-171 konzentriert sich auf den Schutz von Kontrollierter Unklassifizierter Information (CUI), die sich in nicht-bundeseigenen Systemen und Organisationen befindet. Die in NIST 800-171 beschriebenen Sicherheitsanforderungen gelten für Komponenten jedes nicht-bundeseigenen Systems oder jeder nicht-bundeseigenen Organisation, die CUI verarbeitet, speichert und/oder überträgt oder die Schutz für solche Komponenten bietet.

Es gibt keine Zertifizierungsstelle oder offizielle Prüfung, um die Einhaltung der NIST 800-171-Anforderungen eines Auftragnehmers zu bestimmen. Vertraglich gebundene Unternehmen, die mit dem Verteidigungsministerium (DoD) zusammenarbeiten, müssen jedoch NIST 800-171-Bewertungen durch eine zertifizierte Stelle oder einen Cybersicherheitspartner durchführen lassen. Secureframe automatisiert die Konformität, um im Prüfbereitschaftsprozess zu unterstützen, einschließlich Vorlagen und Dokumentation für SSP und Plan of Action and Milestones (POAM).

CMMC

Die Cybersecurity Maturity Model Certification (CMMC) ist ein Bewertungsrahmenwerk und ein Programm zur Zertifizierung von Gutachtern, das darauf abzielt, das Vertrauen in Konformitätsmaßnahmen zu verschiedenen Standards zu erhöhen, die vom National Institute of Standards and Technology (NIST) gemäß den Standards des Verteidigungsministeriums (DoD) veröffentlicht wurden. Unternehmen, die mit dem DoD zusammenarbeiten oder in Zukunft mit dem DoD zusammenarbeiten möchten, müssen CMMC-zertifiziert sein.

CMMC organisiert NIST-Sicherheitsanforderungen in eine Reihe von Domänen, die direkt den NIST-Kontrollfamilien und dem NIST 800-171-Rahmenwerk zugeordnet sind. CMMC 2.0 befindet sich derzeit in einer Übergangsphase während des Regelsetzungsprozesses, was bedeutet, dass es noch keine vertragliche Verpflichtung gibt. Das DoD untersucht Möglichkeiten, Anreize für Auftragnehmer zu schaffen, die während der Zwischenzeit freiwillig eine CMMC-Zertifizierung erhalten.

Für diese bundesweiten Rahmenwerke automatisiert Secureframe die Konformität mit Überwachung, automatisierten Tests, Vorlagen für Datenschutzrichtlinien und -verfahren sowie allem, was eine Organisation benötigt, um die Einhaltung von NIST 800-53, NIST 800-171 und CMMC zu erreichen. Die CMMC-Zuordnungen von Secureframe basieren auf Version 2.0 und geben staatlichen Auftragnehmern einen Vorsprung bei zukünftigen Anforderungen. Wenn Sie an der modernen All-in-One-Sicherheits-, Datenschutz- und Konformitätsplattform von Secureframe für die Konformitätsanforderungen Ihrer Organisation im Bereich der Bundesregierung interessiert sind, vereinbaren Sie bitte eine Demo.

Zahlungsrahmenwerke

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine Reihe von Sicherheitsstandards, die sicherstellen sollen, dass alle Unternehmen, die Kreditkarten- oder Karteninhaberdaten verarbeiten, speichern, übertragen oder darauf einwirken, eine sichere Umgebung aufrechterhalten.

Die PCI DSS-Compliance erfordert entweder einen Level 1 Report on Compliance (RoC) oder einen Self Assessment Questionnaire (SAQ) der Stufen 2-4. Secureframe unterstützte bereits Kunden dabei, einen Level 1 RoC zu erhalten, und unterstützt jetzt SAQ A und SAQ D.

PCI DSS SAQ A

SAQ A ist für jede E-Commerce- oder Mail-/Telefon-Bestellorganisation gedacht, bei der während der Transaktion keine Zahlungskarten vorhanden sind. Alle Funktionen für Karteninhaberdaten werden an einen Drittanbieter ausgelagert, und keine Karteninhaberdaten werden auf den Systemen oder den Räumlichkeiten des Händlers gespeichert, verarbeitet oder übertragen.

PCI DSS SAQ D (Händler und Dienstleister)

Alle Händler, die in keine andere SAQ-Kategorie passen, müssen einen SAQ D ausfüllen. Alle Dienstleister, die berechtigt sind, einen SAQ auszufüllen, benötigen ebenfalls einen SAQ D.

Für diese Zahlungsrahmen macht Secureframe die Erlangung und Aufrechterhaltung der Compliance schnell und einfach durch automatische Beweiserfassung durch Integrationen, Vorlagen für PCI DSS-Richtlinien und -Verfahren, automatisierte und kundenspezifische Tests und alles andere, was ein Unternehmen zur Erreichung der PCI DSS-Compliance benötigt. Wenn Sie an Secureframes moderner, umfassender Sicherheits-, Datenschutz- und Compliance-Plattform für die PCI DSS-Compliance Ihres Unternehmens interessiert sind, vereinbaren Sie bitte eine Demo.

Datenschutzrahmenwerke

Mit der zunehmenden Menge an von Unternehmen gesammelten persönlichen und Verbraucherdaten sind die Bedenken hinsichtlich des Schutzes und der Verbreitung dieser Daten gestiegen. Secureframe hilft Unternehmen bereits, die Anforderungen an den Datenschutz wie HIPAA, GDPR und CCPA zu erfüllen. Jetzt haben wir zwei weitere Rahmenwerke hinzugefügt, um Ihre Datenschutz- und Compliance-Haltung zu verbessern.

NIST-Datenschutzrahmenwerk

Das Datenschutzrahmenwerk des National Institute of Standards and Technology (NIST) wurde von NIST entwickelt, um Organisationen einen Rahmen zur Kommunikation und Priorisierung ihrer Aktivitäten zum Schutz der Privatsphäre zu bieten. Es handelt sich um ein umfassendes Rahmenwerk, das mit Technologietrends auf dem neuesten Stand gehalten wird und technologie-, sektor-, standard-, gesetz- und rechtsgebietsneutral ist.

Das NIST-Datenschutzrahmenwerk wurde entwickelt, um flexibel und von jedem Organisationstyp weltweit unabhängig von den lokalen Gesetzen und Vorschriften verwendet werden zu können. Dadurch kann das Rahmenwerk schnell übernommen werden, aber es bedeutet auch, dass Organisationen weiterhin die Einhaltung von Gesetzen und Vorschriften wie GDPR und CCPA nachweisen müssen, falls diese gelten.

ISO 27701

Der ISO 27701-Standard ist Teil der ISO 27000-Familie von Standards. Während ISO 27001 die Informationssicherheit abdeckt, erweitert ISO 27701 die bestehende Informationssicherheit auf den Datenschutz. Daher erfordert ISO 27701, dass die Organisation ein Datenschutz-Informationsmanagementsystem (PIMS) einrichtet, pflegt und kontinuierlich verbessert. Angesichts der wachsenden Popularität und des Interesses am Datenschutz wurde ISO 27701 unter Berücksichtigung bestehender rechtlicher Datenschutzrahmen, einschließlich der Anforderungen des GDPR-Rechtsrahmens, erstellt.

ISO 27701 ist keine eigenständige Zertifizierung, sondern eine Erweiterung von ISO 27001. Dies liegt daran, dass die Informationssicherheit entscheidend für den Schutz von Daten ist, einschließlich personenbezogener Daten oder personenbezogener Informationen (PII). Organisationen, die ISO 27701 abschließen möchten, müssen ISO 27001 vorher oder gleichzeitig abschließen. Die ISO 27701-Zertifizierung wird an das ISO 27001-Zertifikat gebunden sein.

Die Einhaltung von Datenschutzrichtlinien erfordert viel Zeit und Mühe, um die spezifischen erforderlichen Kontrollen zu verstehen und entsprechende Richtlinien und Verfahren zu erstellen. Die Secureframe-Plattform wurde speziell entwickelt, um Organisationen dabei zu helfen, sich schnell und sicher zu konformieren. Secureframe vereinfacht die Compliance mit automatisierten und benutzerdefinierten Tests, Vorlagen für Datenschutzrichtlinien und -verfahren und allem anderen, was eine Organisation benötigt, um HIPAA, GDPR, CCPA, NIST Privacy Framework und ISO 27001-Compliance schnell zu erreichen. Wenn Sie an Secureframes moderner All-in-One-Plattform für Sicherheit, Datenschutz und Compliance interessiert sind, vereinbaren Sie bitte einen Demo-Termin.

Allgemeine Informationssicherheitsrahmenwerke

Es gibt viele Rahmenwerke zum Schutz sensibler Daten vor Cyberangriffen. Nachfolgend sind zusätzliche Rahmenwerke aufgeführt, die Secureframe unterstützt, um Organisationen dabei zu helfen, ihre Sicherheits-, Datenschutz- und Compliance-Position zu verbessern. Eines dient dem Schutz der Cybersecurity kritischer Infrastrukturen (NIST CSF), ein anderes ist unternehmensspezifisch zum Schutz vertraulicher Daten (Microsoft SSPA) und eines soll kleinen Unternehmen helfen, schnell eine vernünftige Sicherheitsposition einzurichten (MVSP).

NIST CSF

Das Cybersecurity Framework des National Institute of Standards and Technology (NIST CSF) wurde 2014 eingeführt und mit der Version 1.1, die am 16. April 2018 öffentlich verfügbar gemacht wurde, aktualisiert, um gemeinsames Wissen und bewährte Praktiken im Zusammenhang mit Cyberrisiken und Bedrohungen kritischer Infrastrukturen zu etablieren. Das US National Institute of Standards and Technology hat in Zusammenarbeit mit Experten aus dem privaten Sektor und der Regierung ein Rahmenwerk für die Cybersecurity kritischer Infrastrukturen erstellt.

Es gibt einige verschiedene Arten von Organisationen, die NIST CSF implementieren möchten, darunter Organisationen, die:

• Mit der US-Bundesregierung zusammenarbeiten
• Für Institutionen arbeiten, die durch Bundeszuschüsse unterstützt werden
• Innerhalb der Lieferkette einer Bundesbehörde arbeiten
• Jede kommerzielle Organisation, die eine starke Sicherheitsposition demonstrieren möchte

Das NIST CSF-Rahmenwerk hilft, Cyberrisiken zu bewerten und eine Kontrollbewertung über die gesamte Organisation durchzuführen.

Microsoft SSPA

Microsofts Supplier Security and Privacy Assurance (SSPA)-Programm ist eine Reihe von Sicherheits- und Datenschutzanforderungen und -praktiken, die Datenschutzanforderungen („DPR“) festlegen, die Lieferanten („Anbieter“), die Teil der Informationslieferkette von Microsoft sind, erfüllen müssen, bevor sie Geschäfte mit Microsoft tätigen. SSPA gilt für Lieferanten, die Microsoft-Personen- oder vertrauliche Daten im Rahmen ihrer Lieferantenbeziehung mit Microsoft verarbeiten möchten. Alle eingeschriebenen Lieferanten müssen anschließend jährlich SSPA-Konformitätsaufgaben durchführen.

MVSP

Minimum Viable Secure Product (MVSP) ist eine minimale Sicherheitsbasislinie für unternehmensfertige Produkte und Dienstleistungen. MVSP wurde von Industriepartnern entwickelt (einschließlich, aber nicht beschränkt auf: Google, Okta, Salesforce und Slack; Secureframe ist der MVSP-Arbeitsgruppe beigetreten und wird beginnen, zur weiteren Entwicklung dieses Rahmenwerks beizutragen). Entwickelt mit Einfachheit im Sinn, enthält die Checkliste nur diejenigen Kontrollen, die mindestens implementiert werden müssen, um eine vernünftige Sicherheitsposition zu gewährleisten.

Für diese allgemeinen Rahmenwerke automatisiert Secureframe Compliance mit Überwachung, automatisierten Tests, Vorlagen für erforderliche Richtlinien und Verfahren sowie allem anderen, was eine Organisation benötigt, um die NIST CSF-, Microsoft SSPA- und MVSP-Compliance zu erreichen. Wenn Sie an Secureframes moderner, umfassender Plattform für Sicherheit, Datenschutz und Compliance interessiert sind, vereinbaren Sie bitte eine Demo.

SOC 2 Datenschutz und Integrität der Verarbeitung

Verarbeitungsintegrität und Datenschutz sind zwei der fünf Trust Services-Kriterien, die die SOC 2-Standards ausmachen:

• Datenschutz untersucht, wie die Kontrollaktivitäten einer Organisation die persönlich identifizierbaren Informationen (PII) der Kunden schützen. Es stellt auch sicher, dass ein System, das persönliche Daten verwendet, den allgemein akzeptierten Datenschutzgrundsätzen (GAPP) des AICPA entspricht.
• Die Verarbeitungsintegrität Kriterien bestimmen, ob ein System seine beabsichtigten Funktionen ohne Verzögerung, Fehler, Auslassung oder versehentliche Manipulation ausführt.

Bereit, loszulegen?

Wenn Sie an Secureframes moderner, umfassender Plattform für Sicherheit, Datenschutz und Compliance interessiert sind, vereinbaren Sie bitte eine Demo.