In unserer Lesereihe über Gaia-x möchte Sectank Sie heute über die Gaia-x Compliance informieren. Gaia-x ist schon so weit, dass es eine automatisierte Compliance anbietet. Lesen Sie dazu das Compliance Dokument, das folgt.
Inhalt
- Warum Gaia-X Compliance wichtig ist
- Kernkomponenten der Gaia-X Compliance
- Vorteile für Teilnehmer des Ökosystems
Gaia-X konzentriert sich darauf, eine vertrauenswürdige, sichere und konforme Umgebung für globale Organisationen zu schaffen, um zusammenzuarbeiten. Das Compliance-Dokument beschreibt die Standards für Cloud-Dienste, den Austausch von Daten und digitale Infrastrukturen. Dieses Dokument legt die grundlegenden Regeln fest, an die sich die Teilnehmer des Gaia-X-Ökosystems halten müssen, und diese Regeln stehen im Einklang mit den europäischen Werten von Transparenz, Offenheit, Datenschutz und Cybersicherheit, während gleichzeitig Wettbewerbsfähigkeit und Innovation gefördert werden.
Warum Gaia-X Compliance wichtig ist
1. Offenheit und Transparenz: Gaia-X trägt zu den breiteren Bemühungen um interoperable Datenspeicher bei, die auf einer föderierten Cloud-Infrastruktur basieren, die Offenheit und Transparenz fördert und mit verschiedenen Initiativen übereinstimmt, die sicherstellen, dass alle Beteiligten klare Einblicke in die Operationen, die Datenverarbeitung und die Prozesse der Dienstanbieter haben. Dieses Prinzip ist in der gesamten Branche unerlässlich, um Vertrauen innerhalb des Ökosystems aufzubauen.
2. Sicherheit und Datenschutz: Im Einklang mit der DSGVO und anderen wichtigen Vorschriften (wie dem Data Act und dem Data Governance Act) garantiert Gaia-X, dass personenbezogene und nicht personenbezogene Daten sicher verarbeitet werden. Anbieter müssen sicherstellen, dass entsprechende Verträge, Datenschutzmaßnahmen und technische Sicherheitsvorkehrungen getroffen werden.
3. Europäische Souveränität: Gaia-X setzt sich dafür ein, die europäische Kontrolle und Werte über die digitale Infrastruktur sicherzustellen und dafür zu sorgen, dass Daten und Dienste mit europäischen Gesetzen und Standards übereinstimmen. Während Gaia-X die Interoperabilität innerhalb Europas fördert, sind unsere Werkzeuge und Rahmenwerke so gestaltet, dass sie anpassbar sind. Sie können auf andere Regionen angewendet werden, sodass Nutzer in verschiedenen Wirtschaftsräumen ihre lokalen Gesetze, Vorschriften und Standards einhalten können, was Gaia-X eine globale Interoperabilität ermöglicht.
Kernkomponenten der Gaia-X Compliance
1. Standardbasierter Ansatz: Das Compliance-Rahmenwerk basiert auf weltweit anerkannten globalen Standards wie ISO/IEC 27001 und BSI C5 und bietet gleichzeitig Flexibilität für regionsspezifische Anforderungen. Dies gewährleistet ein universelles Sicherheits- und Compliance-Niveau in allen Sektoren.
Gaia-X verwendet überprüfbare Zertifikate und verknüpfte Daten, die eine Echtzeit-, automatisierte Validierung der Compliance-Standards ermöglichen.
2. Labels zur Differenzierung: Gaia-X führt die Standardkonformität für Cloud-Dienste sowie 3 optionale Labelstufen ein, beginnend mit Label Level 1 (der niedrigsten Stufe) bis hin zu Label Level 3 (der höchsten Stufe), die verschiedene Grad der Compliance in Bezug auf Transparenz, Autonomie, Datenschutz, Sicherheit, Interoperabilität, Portabilität, Nachhaltigkeit und europäische Kontrolle darstellen.
Gaia-X Standard Compliance: Ein universeller Satz von Standards, der auf alle Arten von Anbietern weltweit anwendbar ist.
Gaia-X Label Level 1: Einstiegskompatibilität mit standardisierten Datenschutz- und Sicherheitsanforderungen gemäß europäischen Gesetzen.
Gaia-X Label Level 2: Höhere Datenschutz- und Sicherheitsstandards gemäß europäischen Gesetzen, basierend auf weit verbreiteten Zertifizierungen.
Gaia-X Label Level 3: Höchstes Compliance-Niveau für Dienste, die außergewöhnliche Datenhandhabung, Sicherheit und rechtliche Kontrolle erfordern, ausschließlich für europäische Anbieter.
Hinweis:
Gaia-X Standard Compliance und Gaia-X Label Level 1 sind durch eine Erklärung zugänglich: „Ich erkläre hiermit, dass…“. Der Compliance-Engine wird eine digital signierte JSON-Erklärung verwendet, statt traditioneller Papierarbeit.
Gaia-X Label Level 2 und Gaia-X Label Level 3 hängen von Bestätigungen durch vertrauenswürdige Dritte ab, die als Konformitätsbewertungsstellen (CAB) bekannt sind.
Labelling Kriterien, gruppiert nach Abschnitten, die jeweils mit den technischen Artefakten verknüpft sind, die ihre automatische Konformitätsbewertung ermöglichen:
- Vertraglicher Rahmen – 17 Kriterien: Konsolidierung der Anforderungen für rechtlich bindende Handlungen, einschließlich der Allgemeinen Geschäftsbedingungen und geltender Gesetze.
- Datenschutz – 10 Kriterien: Sicherstellung des Schutzes von Kunden- und Verbraucherdaten gemäß den DSGVO-Vorgaben.
- Cybersicherheit – 20 Kriterien: Sicherstellung von modernen Datenspeichertechnologien und sicherem Zugang, gemäß Standards wie SecNumCloud.
- Portabilität – 2 Kriterien: Sicherstellung, dass Kunden nicht in einen Anbieter eingesperrt sind.
- Europäische Kontrolle – 8 Kriterien: Sicherstellung, dass die Datenspeicherung und -verarbeitung durch die Anbieter ausschließlich innerhalb der EU/EWR erfolgt. Der Zugang zu diesen Labels wird ausschließlich durch formelle Bestätigung gewährt.
- Nachhaltigkeit – 4 Kriterien: Ermöglicht die Bereitstellung von Informationen zur ökologischen Nachhaltigkeit der Infrastruktur, die die Daten und Dienste hostet.
3. Vertrauensanker und Validierung: Gaia-X bietet einen Vertrauensrahmen, der sicherstellt, dass überprüfbare Zertifikate durch das Gaia-X Digital Clearing House (GXDCH) validiert werden, um kontinuierliche
und automatisierte Vertrauensbewertungen über alle Dienste hinweg zu ermöglichen. Vertrauensanker sind vertrauenswürdige Quellen für die Erklärung und Bestätigung. Beispielsweise muss ein EV-SSL- oder eIDAS-Zertifikat verwendet werden, um die Erklärung zu unterzeichnen. Die Liste der akkreditierten Konformitätsbewertungsstellen (CAB) wird ebenfalls in der Liste der vertrauenswürdigen
Anker geführt, die von der AISBL gepflegt wird.
Vorteile für Teilnehmer des Ökosystems
Gaia-X Compliance ist darauf ausgelegt, allen Organisationen zu dienen, von KMU bis hin zu Hyperscalern und öffentlichen Sektoren, einschließlich Regierungen. Es erleichtert die Verwendung eines standardisierten Vokabulars zur Beschreibung von Diensten und Daten, was die Interoperabilität über Ökosysteme hinweg fördert. Dies ermöglicht den Austausch von Metadaten bezüglich Daten und Diensten, ohne direkten Zugriff auf die zugrunde liegenden Daten zu benötigen.
- Für Nutzer: Unternehmen und Regierungen können Dienste mit Vertrauen auswählen, die ihren spezifischen Sicherheits- und Compliance-Anforderungen entsprechen und sicherstellen, dass Daten nach höchsten Standards verwaltet werden. Dies schützt vor Anbieterabhängigkeit und ermöglicht es, Rechte gemäß europäischen Gesetzen und Werten durchzusetzen. Mit wachsender Akzeptanz können Verbraucher ähnliche Dienste vergleichen und fundierte Entscheidungen treffen.
- Für Anbieter: Gaia-X legt einen klaren Weg für Zertifizierungen und Compliance fest und hilft Unternehmen, ihre Einhaltung von höchsten Sicherheits-, Datenschutz- und Interoperabilitätsstandards nachzuweisen. Dies stärkt ihre Glaubwürdigkeit und positioniert sie als führende Anbieter auf dem europäischen digitalen Markt. Cloud-Anbieter nutzen das Vertrauen, das ihnen durch diese Zertifizierung entgegengebracht wird, um ihre Compliance mit europäischen Vorschriften und Werten zu demonstrieren. Sie verwenden ein standardisiertes Format zur Beschreibung ihrer Dienste und veröffentlichen diese in gemeinsamen Katalogen. Dieser gemeinsame Ansatz, der die Gaia-X-Ontologie nutzt, ermöglicht die Cloud-Interoperabilität durch die konsequente Verwendung von gemeinsamen Begriffen.