Zertifizierung und Compliance

Für einen zuverlässigen Sicherheitsstatus sind Technologiezertifizierungen und die Berücksichtigung der branchenüblichen Compliance-Vorgaben entscheidend. Aus diesem Grund stellt FireEye sicher, dass seine Sicherheitslösungen und -technologien die wichtigsten Zertifizierungen und Compliance-Anforderungen der Branche erfüllen oder übertreffen.

Zertifizierung und Compliance

FedRAMP | ISO 27001 | SAFETY Act | SOC 2
PCI DSS | EU-US Privacy Shield | NIST

Zertifizierungen

FedRAMP-zertifiziert

FedRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung zur Standardisierung der Sicherheitsprüfung, Autorisierung und kontinuierlichen Überwachung von Cloud-Produkten und -Services. Mithilfe von FedRAMP können Behörden schnell von alten, anfälligen IT-Infrastrukturen zu innovativen, sicheren und kostengünstigeren Cloud-Umgebungen wechseln. Diese Zertifizierung umfasst nicht nur die FireEye Email Security-Lösungen (ETP-GOV), sondern auch unser AVAS-Modul mit Antiviren- und Anti-Spam-Software sowie Funktionen für die Erkennung von Angriffen mit gefälschten Identitäten.

ISO 27001-zertifiziert

ISO 27001

Dies ist einer der höchsten international anerkannten Standards für Informationssicherheit und die Zertifizierung deckt alle Sicherheitsaspekte in Bezug auf Menschen, Prozesse und Systeme ab. Die ISO/IEC-27001:2013-Zertifizierung bezieht sich nur auf Informationssicherheits-Managementsysteme (ISMS), die FireEye Email Security Cloud Edition unterstützen, und entspricht den Angaben in der Anwendbarkeitserklärung (Statement of Applicability, SoA) vom 11. Juni 2018. Die zertifizierte Infrastruktur befindet sich in Rechenzentren in der EMEA-Region (Europa) und in Nordamerika. Colocation-Rechenzentren und Cloud-Hostingservices zählen nicht zu den ISMS.

SAFETY Act-zertifiziert

SAFETY Act

Der US-amerikanische SAFETY Act (Support Anti-terrorism by Fostering Effective Technologies Act) soll die Entwicklung und den Einsatz von Technologien zur Bekämpfung terroristischer Bedrohungen fördern. Das Gesetz bietet Unterstützung beim Risikomanagement und bei Rechtsstreitigkeiten. Damit soll auch sichergestellt werden, dass Unternehmen nicht durch Haftungsrisiken davon abgehalten werden, Technologien zu entwickeln und zu vermarkten, die Leben retten könnten. FireEye bietet die MVX-Engine und die MVX-Cloud-Services (Multi-Vector Virtual Execution) als Sicherheitsplattform zum Schutz vor Malware an. Die FireEye MVX-Technologie führt verdächtige Inhalte auf einer virtuellen Maschine aus und kann dort Software auf Schadcode und schädliches Verhalten untersuchen. Software-Updates werden über den Cloud-Service von FireEye bereitgestellt.

SOC-2-zertifiziert

SOC 2 (Service Organization and Controls)

FireEye wird jedes Jahr von einem unabhängigen Unternehmen auf Einhaltung der SSAE18-Vorgaben überprüft. Dabei werden die Kontrollsysteme anhand der Kriterien des AICPA-Leitfadens (American Institute of Certified Public Accountants) hinsichtlich der Sicherheit, Verfügbarkeit, Verarbeitungsintegrität sowie Vertraulichkeit und des Datenschutzes (SOC 2®) bewertet. Außerdem werden die Eignung des Designs und die betriebliche Effektivität in Hinblick auf die Sicherheit, Verfügbarkeit und Vertraulichkeit gemäß den Trust Services Principles (TSP Session 100A) kontrolliert. FireEye kann Benutzern bei Bedarf einen Compliance-Bericht (SOC-2-Type-II-Bericht) für die unten aufgeführten Lösungen bereitstellen. Er umfasst eine Beschreibung der FireEye-Kontrollumgebung und das Ergebnis des externen Audits der FireEye-Kontrollsysteme, die die Prinzipien und Kriterien der AICPA Trust Services bezüglich Sicherheit, Verfügbarkeit und Vertraulichkeit erfüllen.

  • FireEye Dynamic Threat Intelligence Cloud
  • FireEye Email Security Cloud Edition
  • FireEye Managed Defense 
  • FireEye Cloud Multi-Vector Virtual Execution (MVX)
  • FireEye Endpoint Security Cloud

Compliance

PCI DSS V. 3.2 (Payment Card Industry Data Security Standard)

Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Informationssicherheitsstandard, der vom PCI Security Standards Council festgelegt wurde. Er soll den Schutz der Karteninhaberdaten verbessern und die Einführung konsistenter Datenschutzmaßnahmen in Bezug auf die technischen und operativen Komponenten fördern.

FireEye wird jedes Jahr von einem qualifizierten Sicherheitsprüfer (Qualified Security Assessor, QSA) auf die Erfüllung der Kriterien des PCI-Selbstbeurteilungsfragebogens für Serviceanbieter (SBF) überprüft. Wir haben die Prüfung bestanden und eine entsprechende Konformitätsbescheinigung (Attestation of Compliance, AoC) für die FireEye Managed Defense-Services erhalten.

EU-US Privacy Shield und Swiss-US Privacy Shield

Bei der Erfassung, Nutzung und Aufbewahrung personenbezogener Daten aus Mitgliedsstaaten der Europäischen Union und der Schweiz erfüllt FireEye die Vorschriften des Privacy Shield Frameworks zwischen der EU und den USA und des Privacy Shield Frameworks zwischen der Schweiz und den USA in der vom U.S. Department of Commerce veröffentlichten Form. FireEye hält sich an die Grundsätze der Privacy Shield-Vereinbarung hinsichtlich Benachrichtigung, Entscheidungsfreiheit, Weitergabe, Sicherheit, Datenintegrität und Zweckgebundenheit, Zugriff und Rückanspruch, Durchsetzung und Haftung in Bezug auf alle personenbezogenen Daten, die im Rahmen seines Privacy Shield-Zertifikats von der EU bzw. der Schweiz in die USA übertragen werden.

NIST 800-171

Die National Institute of Standards and Technology Special Publication 800-171 wurde im Juni 2015 veröffentlicht. Der Schwerpunkt liegt auf dem Schutz vertraulicher, aber nicht geheimer Informationen in nicht staatlichen Informationssystemen und Organisationen. Außerdem werden Sicherheitsanforderungen zur Einhaltung dieser Ziele aufgeführt. FireEye hat eine Selbstbewertung vorgenommen, bei der die Compliance mit den Vorgaben gemäß NIST 800-171 bestätigt wurde. FireEye überprüft die Compliance mit NIST 800-171 regelmäßig.