ETFFIN Finance >> Finanzbildung >  >> Finanzverwaltung >> Unternehmen

Was ist eine ISO-Zertifizierung? ISO-Bedeutung und BigCommerces ISO 27001-Errungenschaft

Bei BigCommerce waren wir begeistert, die Zertifizierung nach ISO/IEC 27001:2013 zu erhalten. Im Gegensatz zum Gewinn einer olympischen Goldmedaille im Abfahrtslauf oder eines Wirtschaftsnobelpreises weiß jedoch möglicherweise nicht jeder sofort, warum wir uns so darüber freuen oder welchen Wert eine Zertifizierung nach dem Informationssicherheitsstandard für unsere Kunden bedeutet.

In diesem Deep Dive sehen wir uns Folgendes an:

  1. Was ISO-Zertifizierung eigentlich bedeutet
  2. Wer die ISO ist und was sie tut,
  3. Wer bietet Tests für die ISO-Sicherheit an und letztendlich
  4. Was es für Ihren E-Commerce-Shop bedeutet.

Was ist eine ISO-Zertifizierung?

Zunächst einmal steht ISO für International Organization for Standardization. Dies ist die Organisation, die Standards für Organisationen auf internationaler Ebene entwickelt und veröffentlicht. Es ist jedoch nicht die Organisation, die tatsächlich die Zertifizierung durchführt (mehr dazu weiter unten).

Die ISO wurde 1947 gegründet, als sich Delegierte aus 25 Ländern in London am Institute of Civil Engineers trafen, um die internationale Koordinierung von Industrienormen zu erleichtern. Heute besteht die Gruppe aus Mitgliedern aus 164 Ländern, die gemeinsam an der Entwicklung der ISO-Standards arbeiten.

Was genau meinen wir mit Standards? Laut der ISO-Website erstellen sie die „Dokumente, die Anforderungen, Spezifikationen, Richtlinien oder Merkmale enthalten, die verwendet werden können, um konsequent sicherzustellen, dass Materialien, Produkte, Prozesse und Dienstleistungen für ihren Zweck geeignet sind.“

ISO-Zertifizierung bedeutet, dass ein Unternehmen:

  • Qualitätsmanagementsysteme,
  • Datensicherheit,
  • Risikoaversionsstrategien und
  • Standardisierte Geschäftspraktiken.

ISO-zertifizierte Unternehmen müssen sich einer strengen Konformitätsbewertung durch Tests und Inspektionen durch eine auf diesen Standard spezialisierte Drittgruppe unterziehen. Unternehmen, die diese Bewertungen bestehen, weisen nach, dass sie den jeweiligen zugehörigen Standard erreicht haben.

Durch das Erreichen einer Zertifizierung schafft es Verbrauchern und anderen Interessengruppen Vertrauen in die Systeme des Unternehmens und stellt sicher, dass die relevanten Sicherheits-, Gesundheits- oder Umweltbedingungen erfüllt werden.

Worauf ist ISO 27000 spezialisiert

Die ISO hat mehr als 22.000 Standards zu allen Themen veröffentlicht, von Gesundheit und Sicherheit über Lebensmittelmanagement bis hin zu nachhaltiger Entwicklung. Sie geben Unternehmen in jedem Sektor etwas, an das sie sich halten müssen, wenn sie ihre Technologie und Verfahren so ausrichten, dass ein messbares, konsistentes Qualitätsniveau sichergestellt wird.

Die ISO/IEC 27000-Standardfamilie betrifft Best Practices für die Verwaltung sicherer Daten, wie Finanzinformationen, geistiges Eigentum oder wirklich alle Informationen, die einem Unternehmen von Dritten anvertraut werden.

ISO/IEC 27001:2013 spezifiziert innerhalb dieser Normenfamilie die Anforderungen für „die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems im Kontext der Organisation“.

Die Zertifizierung nach ISO/IEC 27001:2013 ist der einzige auditierbare internationale Standard, der die Anforderungen an ein Informationssicherheits-Managementsystem definiert. Unternehmen wie BigCommerce, die nach ISO/IEC 27001:2013 zertifiziert sind, demonstrieren die Einhaltung dieser Best Practices für strenge Datensicherheit und Sicherheitsmanagementsysteme. Hier sind ein paar Beispiele dafür, was das beinhaltet.

1. Sichere Daten.

Wie oben erläutert, schaffen die ISO/IEC 27000-Standards Vorschriften, die dabei helfen, zu definieren, wie ein sicheres Informationssicherheits-Managementsystem aussieht. Die Sicherung der Daten, die in Ihren Systemen vorhanden sind, ist eine der strengsten Errungenschaften in der SaaS-Branche.

2. Risikomanagement.

Das Risikomanagement großer Unternehmen ist schwer planbar und erfordert oft einen strukturierten Ansatz. Es gibt separate Standards, die sich speziell mit dem Risikomanagement befassen (ISO 31000), aber ISO 27000 gilt immer noch in Bezug darauf, wie die Sicherung von Daten ein geringeres Risiko für ein Unternehmen durch Datenschutzverletzungen gewährleisten kann. ISO-Zertifizierung bedeutet, dass ein Unternehmen Pläne für das Risikomanagement entwickelt hat und vorbildliche Arbeit bei der Aufrechterhaltung der Sicherheit und Minimierung von Risiken leistet.

3. Sichere Geschäftspraktiken.

Da sich die ISO 27000-Standards mit Best Practices in Informationssicherheitssystemen befassen, muss die Einhaltung von IT- und sicherheitsrelevanten Standards auf breiter Front überprüft werden, um eine ISO 27001:2013-Zertifizierung zu erhalten. Insgesamt beweist diese Zertifizierung, dass ein Unternehmen professionell und ethisch handelt, für die Zukunft plant und Datenschutz und -sicherheit respektiert.

Erläuterung der ISO 27001-Zertifizierung von BigCommerce

Nachdem Sie nun eine allgemeine Vorstellung davon haben, was die ISO-Zertifizierung – und insbesondere ISO/IEC 27001:2013 – bedeutet, lassen Sie uns in den Zertifizierungsprozess eintauchen:Welche Hürden wurden überschritten und welche Kästchen angekreuzt wurden, um zu beweisen, dass BigCommerce das Äußerste einhält Informationsstandards.

Sobald Sie den gesamten strengen Prozess und die zu erreichenden Standards verstanden haben, wird deutlicher, warum BigCommerce eine der wenigen SaaS-E-Commerce-Plattformen ist, die diese Zertifizierung erhalten haben.

Um die Zertifizierung zu erhalten, müssen Unternehmen einen sechsteiligen Planungsprozess durchlaufen, der alle folgenden Punkte umfasst.

1. Sicherheitsrichtlinien.

Das Unternehmen muss Spezifikationen bereitstellen, die seine Sicherheitsrichtlinien detailliert beschreiben, einschließlich der Dokumentation, wer für die Verwaltung verantwortlich ist und wie interne Audits durchgeführt werden. BigCommerce hat Standards für definierte Sicherheitsrichtlinien erfüllt oder übertroffen.

2. ISMS-Geltungsbereich.

Der zweite Teil des Planungsprozesses definiert den Geltungsbereich des zu zertifizierenden Informationssicherheits-Managementsystems. Das ISMS muss kontinuierliche Verbesserungen sowie Korrektur- und Präventivmaßnahmen aufweisen, die ergriffen wurden, um die höchste Sicherheit zu gewährleisten. Der Umfang und die Roadmap des BigCommerce ISMS haben den erforderlichen Standard erreicht oder übertroffen.

3. Risikobewertungen.

Um Risiken bestmöglich zu steuern und zu vermeiden, muss das betreffende Unternehmen alle potenziellen Risiken bewerten. BigCommerce hat das Risiko in seiner Organisation bewertet und Standards erfüllt oder übertroffen.

4. Identifizierte Risiken.

Auch hier besteht der beste Weg zur Risikominderung darin, sich dessen bewusst zu sein – unbekannte Unbekannte zu begrenzen und potenzielle Risiken offenzulegen. BigCommerce verwaltet derzeit erkennbare Risiken, um die Sicherheit und Zufriedenheit der Kunden zu gewährleisten.

5. Kontrollziele auswählen.

Der 27001-Standard schreibt keine spezifischen Informationssicherheitskontrollen vor, schlägt jedoch spezifische Kontrollziele vor, die erfüllt werden sollten. BigCommerce nimmt dies ernst und hat die erforderlichen Sicherheitsziele erfüllt.

6. Erklärung zur Anwendbarkeit.

Nachdem BigCommerce die ersten fünf Schritte des Prozesses durchlaufen hatte, beantragte es die ISO/IEC 27001:2013-Zertifizierung und erhielt sie!

Was dies für unsere Kunden bedeutet

Der Grund, warum sich BigCommerce für diesen strengen Zertifizierungsprozess entschieden hat, ist der Wert, den er unseren Kunden bieten kann. Diese Zertifizierung zeigt unser Engagement für Informationssicherheit, Compliance und Regulierungspraktiken. Dies gibt unseren Kunden die Gewissheit in Bezug auf Folgendes:

1. Erstklassige Standortsicherheit.

E-Commerce-Websites können es sich nicht leisten, unterdurchschnittliche oder inkonsistente Sicherheit zu haben. Wenn Sie Ihre E-Commerce-Website auf der BigCommerce-Plattform erstellen, können Sie sicher sein, dass Ihre Website aktiv und sicher bleibt.

2. Geschützte IP.

Obwohl der Schutz Ihrer Kundendaten unglaublich wichtig ist, sind dies natürlich nicht die einzigen sensiblen Informationen in Ihrem System. Durch die Zusammenarbeit mit einer Plattform, die die Informationssicherheit wertschätzt und sich dafür bewährt hat, können Sie sicher sein, dass das gesamte geistige Eigentum auf Ihrer Website in den Systemen von BigCommerce sicher aufbewahrt wird.

3. Schutz vor DDoS-Angriffen.

Ein verteilter Denial-of-Service (DDoS)-Angriff ist ein böswilliger Versuch, den normalen Verkehrsfluss und die Funktion einer Website zu stören, indem der Server oder das Netzwerk überlastet wird. Da BigCommerce zusätzliche Sicherheitsmaßnahmen und Best Practices hinzugefügt hat, müssen Sie sich keine Sorgen über einen DDoS-Angriff auf Ihre oder unsere Website machen.

Wer bietet Tests für ISO-Qualität an?

Wie oben erwähnt, stellt die ISO die Standards bereit, aber sie bietet keine eigentlichen Zertifizierungen für die Bewertung, ob ein Unternehmen diese Standards erfüllt hat oder nicht. Stattdessen haben sie einen Ausschuss, CASCO, der sich mit der Konformitätsbewertung befasst.

Um die Zertifizierung tatsächlich zu erhalten, muss ein Unternehmen eine externe Zertifizierungsgruppe durchlaufen, die die erforderlichen CASCO-Standards erfüllt.

1. Beratungsgruppen für Cybersicherheit.

Cybersicherheitsgruppen führen Websites und Backend-Systeme von Unternehmen strengen Tests durch, um festzustellen, ob es irgendwelche Lücken im System gibt, die eine Verletzung ermöglichen könnten. Die Zertifizierung von BigCommerce wurde von der Beratungsgruppe für Cybersicherheit Coalfire ISO durchgeführt. Coalfire ISO ist eine qualifizierte ISO 27001-Zertifizierungsstelle, die sicherstellt, dass BigCommerce die geltenden Sicherheitsgesetze, -vorschriften und -standards einhält.

2. QA-Organisationen von Drittanbietern.

Nachdem die Beratungsgruppe für Cybersicherheit die Risiken bewertet und behandelt hat, kann eine externe QA-Organisation sicherstellen, dass ein Unternehmen alle erforderlichen Standards für Richtlinien, Verfahren, Prozesse und Systeme erfüllt, die alle Arten von Informationen verwalten, die durch das Unternehmen fließen. BigCommerce wurde von einer unabhängigen QA-Organisation bewertet, die sicherstellte, dass wir „eine formelle Reihe von Richtlinien, Verfahren, Prozessen und Systemen eingerichtet haben, die Informationsrisiken für seine digitale und physische Präsenz verwalten.“

Der Zertifizierungsprozess und die anschließende Qualitätssicherung sind keine einmalige Angelegenheit. Es handelt sich um eine dreijährige Verpflichtung zu kontinuierlichen Prozessprüfungen, die alle sechs Monate durchgeführt werden, um sicherzustellen, dass BigCommerce die Vorschriften einhält und unsere Risikoverbesserungspläne abschließt.

Warum ISO 27001 für E-Commerce-Shops wichtig ist

Die Bedeutung der Datensicherheit im E-Commerce kann nicht genug betont werden. Kunden von Online-Shops verlassen sich darauf, dass diese Shops ihre sensiblen Zahlungs- und persönlichen Daten sicher aufbewahren. Wenn ihr Vertrauen in ein Unternehmen durch eine Sicherheitsverletzung beschädigt wird, kann es schwierig sein, es zurückzugewinnen.

Laut Untersuchungen von IBM Security und dem Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung für ein Unternehmen weltweit auf 3,86 Millionen US-Dollar. In den USA ist der durchschnittliche Preis pro Verstoß sogar noch höher:7,91 Millionen $.

Hier sind einige der Dinge, die verloren gehen können, wenn ein Unternehmen Sicherheit und Schutz nicht ernst nimmt und einen systematischen Ansatz zur Verwaltung vertraulicher Informationen verfolgt (oder mit einer Plattform arbeitet, die diese pflegt).

1. Zahlungssicherheit.

Wenn Sie Hunderte oder sogar Tausende von Kundenzahlungen verarbeiten, benötigen Sie ein stark gesichertes System, damit keine wichtigen Informationen herausrutschen. Es gibt einen Grund, warum E-Commerce-Unternehmen die am häufigsten angegriffene Branche sind. Sie sind ein beliebtes Ziel für Hacker, weil sie so viele Informationen wie die Kredit- und Debitkartendaten ihrer Kunden enthalten. Ihre Website ist der sichere Verwahrer dieser sensiblen Informationen, und es ist äußerst wichtig, dass Sie die höchsten Sicherheitsstandards einhalten, um sie zu schützen.

2. Kundeninformationen.

Zahlungsinformationen sind nicht die einzigen sensiblen Daten, die Sie über Ihre Kunden haben, an denen Hacker interessiert sein könnten. Kundeninformationen wie Namen, Adressen, Telefonnummern und E-Mail-Adressen können alle gefährdet sein, wenn Sie auf einer unsicheren Website hosten.

3. Kundenvertrauen.

Das Kundenvertrauen während der gesamten Käuferreise ist ein wichtiger Teil Ihres gesamten Kundenerlebnisses. Sie möchten, dass Ihre Kunden ein starkes Vertrauen in Ihre Marke haben. Der Verlust dieses Vertrauens kann sie zu Ihren Konkurrenten schicken. Kunden wissen zu lassen, dass Sie ihr bestes Interesse am Herzen haben, ist der beste Weg, um langfristige Kundenbeziehungen aufrechtzuerhalten. Indem Sie sich für eine Plattform mit ISO/IEC 27001:2013-Zertifizierung entscheiden, können Sie Ihren Kunden versichern, dass sie in jedem Bereich Ihrer Website sicher sind.

Schlussfolgerung

BigCommerce freute sich, in diesem Frühjahr unsere ISO/IEC 27001:2013-Zertifizierung bekannt zu geben, da sie viel Arbeit bedeutet, um sicherzustellen, dass unsere Prozesse und Technologien darauf ausgerichtet sind, Risiken zu mindern und Daten für unsere Kunden zu sichern.

Noch wichtiger ist, dass es unser Engagement demonstriert, die Informationssicherheit zu einer unserer höchsten Prioritäten zu machen. Dies ist etwas, das jeder Händler berücksichtigen sollte, wenn er eine Plattform für den E-Commerce auswählt oder anwendet. Nichts sollte dem Zufall oder Risiko überlassen werden, und die Bewertung einer Plattform hinsichtlich ihrer Sicherheitslage, ihres Engagements und ihrer Zertifizierung sollte eine Anforderung sein.

E-Commerce ist eine riesige – und immer noch wachsende Branche, deren Umsatz bis 2020 voraussichtlich 604 Milliarden $ erreichen wird. Da immer mehr Menschen auf Online-Shops vertrauen, um ihre Daten zu schützen, können Sie es sich nicht leisten, eine unsichere Website zu haben.

Schützen Sie Ihre Kundendaten und Ihr geistiges Eigentum, indem Sie auf einer Plattform aufbauen, die sowohl ISO/IEC 27001:2013 entspricht als auch PCI-Compliance auf höchstem Niveau hält.