Compliance

Barrierefreiheit

Veritas räumt bei seinen digitalen Angeboten der Barrierefreiheit hohe Priorität ein und achtet auf die Übereinstimmung mit den Web Content Accessibility Guidelines (WCAG) des World Wide Web Consortium. Universelle Barrierefreiheit zu erreichen, kann zwar eine Herausforderung darstellen, Veritas führt jedoch regelmäßige Bewertungen seiner Plattformen durch. Indem Veritas alle erkannten Probleme umgehend angeht, zeigt es sein unerschütterliches Engagement für die Bereitstellung einer integrativen Benutzererfahrung für alle.

AWS GovCloud

AWS GovCloud (US) ist für Kunden in Regierungsbehörden und deren Partner konzipiert und bietet eine sichere Cloud-Lösungsumgebung. Es stellt die Einhaltung einiger strenger Rahmenwerke für Standards und Regulierung sicher, darunter:

• FedRAMP High Baseline
• Sicherheitsrichtlinie der Criminal Justice Information Systems (CJIS) des Department of Justice
• U.S. International Traffic in Arms Regulations (ITAR)
• Export Administration Regulations (EAR)
• Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG) for Impact Levels 2, 4, and 5
• FIPS 140-2
• IRS-1075

Dadurch stellen wir sicher, dass Benutzer in einer richtlinienkonformen, sicheren und flexiblen Cloud-Infrastruktur arbeiten können, die auf die besonderen Anforderungen von Regierungsbehörden zugeschnitten ist.

Azure Government

Microsoft Azure Government wurde entwickelt, um die strengen Compliance-Standards zu erfüllen, wie sie von US-Regierungsbehörden gefordert werden. Es hat Genehmigungen und Autorisierungen von kritischen Frameworks erhalten, wie zum Beispiel:

• Federal Risk and Authorization Management Program (FedRAMP)
• Department of Defense (DoD) Cloud Security Requirements Guide (SRG) for Impact Levels 2, 4, and 5

Für seine speziellen US-Regierungsregionen – Arizona, Texas und Virginia – hat Azure Government die folgenden Zulassungen erhalten:

• FedRAMP High Provisional Authorization to Operate (P-ATO) des Joint Authorization Board (JAB)
• DoD IL2, IL4 und IL5 Provisional Authorizations (PA), ausgestellt von der Defense Information Systems Agency (DISA), sowie IL5 Provisional Authorizations, ausgestellt von der Defense Information Systems Agency (DISA)

CMMC

Die Cybersecurity Maturity Model Certification (CMMC) ist ein vom US-Verteidigungsministerium (DoD) entwickeltes Rahmenwerk zur Bewertung und Verbesserung der Cybersicherheitslage bei Verteidigungsauftragnehmern und -unterauftragnehmern in der industriellen Verteidigungsbasis. CMMC verlangt von Auftragnehmern die Einhaltung bestimmter Cybersicherheitsstandards und -praktiken, um Angebote für DoD-Aufträge mit verschiedenen Reifegraden abgeben zu können, die von grundlegender Cybersicherheitshygiene bis hin zu fortgeschrittenen Praktiken reichen.

Allgemeine Kriterien

Die Common Criteria for IT Security Evaluation dienen zusammen mit ihrem Gegenstück, der Common Methodology for IT Security Evaluation, als grundlegendes Element des internationalen Common Criteria Recognition Arrangement. Dadurch wird Folgendes sichergestellt:

• Produkte werden einer Bewertung durch unabhängige, lizenzierte Labore unterzogen, um bestimmte Sicherheitsmerkmale zu überprüfen
• Dokumente leiten den Zertifizierungsprozess und beschreiben detailliert die Anwendung der Kriterien und Methoden für verschiedene Technologietypen
• Zertifikate zur Validierung der Sicherheitsattribute eines bewerteten Produkts können von zahlreichen Systemen zur Zertifikatsautorisierung auf der Grundlage der Bewertungsergebnisse verteilt werden
• Alle CCRA-Unterzeichner erkennen diese Zertifikate an

Cybersecurity & Infrastructure Security Agency (CISA)

• EO 14028
  Die Executive Order (EO) 14028 trat am 12. Mai 2021 in Kraft, um die Cybersicherheit der USA zu stärken. Diese EO verpflichtet Behörden dazu, ihre Cybersicherheit und die Integrität ihrer Software-Lieferkette zu verbessern. EO 14028 fordert alle Softwareanbieter auf, der US-Regierung in einer Software-Stückliste (SBOM) die Komponenten aufzulisten, die sie zur Erstellung ihrer Produkte verwendet haben. Außerdem verpflichtet EO 14028 Behörden dazu, für ihre Produkte eine mehrstufige Authentifizierung, Verschlüsselung von Daten im Ruhezustand und während der Übertragung (FIPS 140-2) sowie eine Zero-Trust-Architektur durchzusetzen.

• IPv6/USGv6
  Die United States Government (USG) Version 6 ist ein Satz von technischen Anforderungen und Empfehlungen, die von der US-Regierung entwickelt wurden, um Bundesbehörden bei der Einführung und Bereitstellung des neuesten Internetprotokolls IPv6 zu unterstützen. Das USGv6-Profil beschreibt bestimmte Standards und Konfigurationen, die Bundesbehörden einhalten sollten, um Interoperabilität, Sicherheit und Einhaltung von IPv6-bezogenen Mandaten und Richtlinien zu gewährleisten.

DISA STIG

Die Security Technical Implementation Guides (STIGs) der Defense Information Systems Agency (DISA) dienen als Konfigurations-Benchmarks zur Optimierung der Sicherheit sowohl der Hardware als auch der Software. Ihr vorrangiges Ziel ist der Schutz der IT-Infrastruktur des US-amerikanischen Verteidigungsministeriums.

FedRamp

• Die Verwaltung von Daten auf interner Hardware ist oft kompliziert, zeitaufwändig und teuer, aber wenn die Cloud nicht richtig verwaltet wird, stellt sie ein potenzielles Sicherheitsrisiko dar.
• Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Regierungsprogramm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet.
• bluesource hat mit Veritas zusammengearbeitet, um eine sichere Cloud-Lösung zu entwickeln, die den strengen FedRAMP-Richtlinien entspricht, um eine sichere Umgebung innerhalb von Microsoft Azure zu schaffen, in der Bundesbehörden auf Enterprise Vault, die eDiscovery Platform und Merge1 als SaaS-Lösungen zugreifen können.
• Regierungsbehörden können "Cloud Smart"-Anforderungen erfüllen, ihren FITARA-Score verbessern und sofortige Kosteneinsparungen beobachten, ohne zusätzliches Personal einstellen zu müssen.
• Der Kunde ist Eigentümer der Veritas-Softwarelizenz, genau wie bei der Lösung am Standort. bluesource wird die Hardware- und Management-Gebühren für das vollständige Hosting und Management gemäß den strengen Anforderungen von FedRAMP anbieten.
• Um ein Angebot einzuholen oder weitere Informationen zu erhalten, wenden Sie sich per E-Mail unter sales@bluesource.net an bluesource.

FIPS 140-2

Der Federal Information Processing Standard (FIPS) 140-2 beschreibt Sicherheitsanforderungen für kryptografische Module. Es gilt für ein Spektrum von Anwendungen und Umgebungen über vier progressive Qualitätsstufen. Zu den Schlüsselbereichen gehören Designspezifikationen, Ports, Schnittstellen, Rollen, physische Sicherheit, Betriebsumgebung, Verwaltung kryptografischer Schlüssel, elektromagnetische Überlegungen, Selbsttests, Designsicherung und Angriffsabwehr.

IRAP

Das Information Security Registered Assessors Program (IRAP) ist eine Initiative des Australian Cyber Security Centre (ACSC) zur Verbesserung der Cybersicherheitslage australischer Regierungsbehörden und Unternehmen, die Dienstleistungen für die Regierung erbringen.

National Institute of Standards in Technology (NIST)

Das National Institute of Standards and Technology (NIST) ist eine nicht regulierende Bundesbehörde im US-Handelsministerium, die Innovation und industrielle Wettbewerbsfähigkeit der USA fördert. NIST hat Rahmenwerke und Standards für die Cybersicherheit entwickelt, etwa das NIST Cybersecurity Framework (CSF), das Orientierungshilfen für die Verwaltung und Verbesserung des Risikomanagements bei der Cybersicherheit bietet. Bei den Special Publications (SP)/Risk Management Frameworks (RMF) ist besonders auf NIST SP 800-53, NIST SP 800-37 RMF, Intelligence Community Directive (ICD) 503, NIST 800-171 und NIST 800-218 hinzuweisen.

Sheltered Harbor

Sheltered Harbor ist eine gemeinnützige Brancheninitiative in den USA mit dem Ziel, die Widerstandsfähigkeit und Sicherheit des Finanzsektors hinsichtlich Cyberbedrohungen und Betriebsrisiken zu verbessern. Diese Maßnahme wurde als Reaktion auf die zunehmende Häufigkeit und Raffinesse von Cyberangriffen auf Finanzinstitute ins Leben gerufen. Durch die Übernahme der Standards von Sheltered Harbor als Best Practice können Finanzinstitute die Vermögenswerte ihrer Kunden besser schützen und das Vertrauen in die Stabilität und Sicherheit des Finanzsystems aufrechterhalten.

SOC 2

SOC 2-Bewertungen stellen unabhängige Prüfungsdokumente Dritter bereit, die verdeutlichen, wie eine Organisation wesentliche Compliance-Kontrollen und -Ziele einhält. Diese Bewertungen wurden im Einklang mit den Trust Services Criteria des Auditing Standards Board der AICPA entwickelt und konzentrieren sich auf die Informationssysteme einer Organisation in Bezug auf Aspekte wie Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz.

TLS 1.3

Das kryptografische Protokoll TLS (Transport Layer Security) 1.3 bietet Mechanismen zum sicheren Schutz von Daten während der Internetkommunikation. Bei TLS wird durch Verschlüsselung, Authentifizierung und Schlüsselaustauschmechanismen eine sichere Verbindung zwischen einem Client und einem Server hergestellt.

WORM-Compliance

Die von der Financial Industry Regulatory Authority festgelegten Richtlinien schreiben vor, dass Daten sicher aufbewahrt, verschlüsselt und unveränderlich auf WORM-Medien (Write Once Read Many) gespeichert werden müssen. Solche Daten müssen abrufbar sein und Unternehmen müssen in der Lage sein, umfassende Audit-Pfade für die Datennutzung und -löschung bereitzustellen.