IT-Sicherheitsanforderungen regelmäßig überprüfen

5. Zugriffsrechte auf Daten und Systeme: Der Auftraggeber muss festlegen, welche Zugriffsrechte auf die Daten ein Managed-Hosting-Provider bekommt. Dazu gehört beispielsweise, dass die Mitarbeiter im Rechenzentrum des Managed-Hosting-Providers die Daten auf keinen Fall unbefugt an Dritte weiterleiten können. Um dies zu verhindern, muss der Managed-Hosting-Provider entsprechende Sicherheitsmaßnahmen implementieren.

6. Physische Datensicherheit: Der Managed-Hosting-Provider ist für die physische Sicherheit der Daten seiner Kunden im Rechenzentrum verantwortlich. Er muss leistungsstarke Security- und Versorgungssysteme aufbauen, um die Daten der Kunden gegen physische Einflüsse wie Feuer oder Wasser zu schützen. Erforderlich sind neben einer regelmäßigen Datensicherung auch strenge Zugangskontrollen und diverse Alarmeinrichtungen.

7. Sicherheitszertifikate: Der Managed-Hosting-Provider muss für alle Sicherheitsanforderungen qualifiziert sein und diese auch mit einem Zertifikat nachweisen. Werden gar vertrauliche Kreditkartendaten verarbeitet, wird auch die Unterstützung des Payment-Card-Industry (PCI)-Sicherheitsstandardswichtig. PCI ist für alle Handelsunternehmen und Dienstleister relevant, die Kreditkarten-Transaktionen übermitteln, abwickeln und speichern. Was Sicherheitszertifikate angeht, muss der Managed-Hosting-Provider ein überprüfbares Qualitäts- und Sicherheitsmanagement eingeführt haben und sich jährlich rezertifizieren lassen.

8. Kontinuierliche Überprüfung der Security-Maßnahmen: Die Erstellung von IT-Sicherheitsanforderungen ist ein iterativer Prozess, dessen Wirksamkeit in regelmäßigen Abständen - mindestens ein bis zwei Mal pro Jahr - überprüft werden muss. Strukturierte Prozesse, klare Verantwortlichkeiten und die Fähigkeit, sich rasch an neue Sicherheitsanforderungen anpassen zu können, sind für Managed-Hosting-Provider ein absolutes Muss.