Appian Cloud Trust Center

Branchenführende Zuverlässigkeit

Appian Cloud verfügt über ein umfassendes Programm für Datensicherheit und regulatorische Compliance, das mehrere Branchenstandards erfüllt – mehr dazu unten. Appian unterzieht sich häufigen Prüfungen durch Drittanbieter, um bestätigen zu lassen, dass sämtliche Kontrollen zum Schutz der Kundendaten effektiv funktionieren.

Logo AICPA-SOC-Zertifizierung

SOC 2

SOC 2-Berichte richten sich an eine Vielfalt von Benutzern, welche die internen Kontrollmechanismen eines Dienstleisters verstehen können müssen. Konkret geht es dabei um die geltenden „Trust Services Principles and Criteria“ (Vertrauensdienstprinzipien und -kriterien). Zu diesen gehören Grundsätze in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

In Berichten vom Typ II werden die Zuverlässigkeit der Beschreibung, die das Management eines Dienstleisters für das eigene System abgibt, sowie die Ordnungsmäßigkeit des Designs und der Effektivität von Kontrollen über einen bestimmten Zeitraum hinweg (nicht nur zu einem bestimmten Zeitpunkt), untersucht.

SOC 2-Berichte vom Typ II enthalten eine von einer unabhängigen Audit-Firma durchgeführte, detaillierte Bewertung der Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen von Appian Cloud.

Logo AICPA-SOC 3 Zertifizierung

SOC 3

Der SOC 3-Bericht für Appian Cloud ist öffentlich verfügbar und enthält eine Zusammenfassung des Appian Cloud SOC 2-Berichts. Der SOC 3-Bericht bietet Gewissheit über die Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen von Appian Cloud gemäß den „Trust Services Principles“ (Vertrauensdienstprinzipien) der AICPA. Hierzu gehört die Meinung eines externen Prüfers zur Wirksamkeit der Kontrollmechanismen.

Logo PCI-DSS-Compliant

PCI-DSS

Der Payment Card Industry (PCI) Security Standards Council bietet Standards zur Verbesserung der Datensicherheit bei Kreditkartentransaktionen an. Beim PCI Data Security Standard (PCI-DSS) handelt es sich um ein Regelwerk für die Entwicklung eines soliden Datensicherheitsprozesses für Kreditkartentransaktionen. Hierzu gehören Vorbeugung, Erkennung und ein angemessener Umgang mit Sicherheitspannen. Kunden können die PCI-DSS-Zertifizierung von Appian Cloud nutzen – nachdem sie den PCI-DSS-Bestimmungen von Appian Cloud zugestimmt haben – , um die Komplexität ihrer eigenen PCI-Compliance zu reduzieren.

Appian Cloud wurde von einem unabhängigen externen Prüfer bewertet und erfüllt die PCI-DSS-Bestimmungen.

Logo HIPAA-Compliance

HIPAA

Der United States Health Insurance Portability and Accountability Act von 1996 (HIPAA) reguliert die Sicherheit und den Datenschutz von geschützten Gesundheitsdaten (Protected Health Information, PHI).

Appian Cloud erfüllt die HIPAA-Sicherheitsanforderungen. HIPAA-Compliance bedeutet, dass Kunden nach der Unterzeichnung einer Geschäftspartnervereinbarung (Business Associate Agreement) geschützte Gesundheitsdaten (Protected Health Information, PHI) sicher in der Appian Cloud verarbeiten und speichern können.

FedRAMP-Logo

FedRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein behördenweites Programm der US-Regierung, das einen standardisierten Ansatz für Sicherheitsprüfungen, Autorisierungen und kontinuierliche Überwachung für Cloud-Produkte und -Services bietet. Wenn ein Cloud-System FedRAMP-konform ist, verfügt es über eine gut etablierte, sehr sichere Umgebung, die umfassende Tests bestanden hat, bevor US-amerikanische Bundesbehörden das System nutzen dürfen.

Appian Cloud ist FedRAMP-konform und hat eine Betriebszulassung (Agency Authorization to Operate, ATO) auf der Stufe „Moderate“ erhalten.

Aufgrund der FedRAMP-Konformität gilt die Appian Cloud nun als angemessene Lösung zur Gewährleistung von wesentlichen Zeit- und Kosteneinsparungen, verbessertem Sicherheitsrisikomanagement sowie mehr Programmtransparenz für missionskritische Tätigkeiten von Bundesbehörden. Diese Genehmigung kann von anderen Bundesbehörden weiterverwendet werden, um die Zeit und Personalkosten zu sparen, deren Aufwand beim Einsatz von Nicht-FedRAMP-Systemen nötig wäre.

Logo DISA-Compliance

DISA Level 2

FedRAMP+ ist der FedRAMP-Prozess des US-Verteidigungsministeriums (United States Department of Defense, DoD), in dessen Rahmen cloudbasierte Systeme vor dem Einsatz durch das DoD unabhängig geprüft und genehmigt werden.

Appian Cloud verfügt aktuell über eine vorläufige Genehmigung des DoD (DoD Provisional Authorization, PA) für den Impact Level 2. Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

DoD-Kunden können die PA von Appian Cloud nutzen, wenn sie ihr eigenes System für den Betrieb auf Appian Cloud evaluieren und autorisieren möchten.

Logo FISMA-Compliance

FISMA

Der 2002 verabschiedete und 2014 modifizierte Federal Information Security Management Act (FISMA) bietet einen umfassenden Rechtsrahmen zur Gewährleistung der Wirksamkeit von Datensicherheitskontrollen für IT-Systeme der US-Bundesregierung. Das Office of Management and Budget (OMB), das Department of Homeland Security (DHS) und das National Institute of Standards and Technology (NIST) haben gemeinsam ein Programm implementiert, um die entsprechenden Standards festzulegen und deren Einhaltung zu überwachen.

Appian Cloud verfügt über einen Sicherheitsrahmen mit einer soliden Sicherheitskontrollstruktur, die es Bundesorganisationen ermöglicht, eine Authorization to Operate (ATO) zu erlangen.

Logo GxP-Compliance

GxP

Unternehmen aus der Pharma- und Life-Science-Branche sind beim Aufbau von Systemen im Zusammenhang mit Daten zu maßgeblichen Direktiven gesetzlich zur Einhaltung von Richtlinien zur guten Validierungs- und Arbeitspraxis (GxP) verpflichtet. Hierzu gehören Daten und Prozesse im Zusammenhang mit klinischen Versuchen, Labordaten, Qualitätskontrolle, vorschriftsmäßiger Datenverwaltung, Herstellung und elektronischen Patientendaten.

Appian Cloud wurde einer unabhängigen, von Experten aus der Life-Science-Branche durchgeführten Prüfung unterzogen. Hierbei wurden die Kontrollmaßnahmen der Appian Cloud und ihre Erfüllung der GxP-Validierungsanforderungen und -standards für Computersysteme untersucht.

Kunden können diesen unabhängigen Prüfbericht nutzen, um ihre GxP-Compliance und -Diligence-Maßnahmen zu ergänzen und zu unterstützen.

FDA-Logo

FDA

Die Food and Drug Administration (FDA) führte 21 CFR Part 11 als Anforderung für gewerbliche Life-Science-Unternehmen ein, die von der FDA geforderte Daten und Unterschriften in elektronischer Form aufbewahren, um bestimmten Standards zu entsprechen und die Anforderungen zu erfüllen, die an gute klinische, Labor- und Herstellungsverfahren gestellt werden. Diese Regulierung verfolgt eine Reihe unterschiedlicher Hauptziele. Zum einen soll die Unversehrtheit von Daten gewahrt bleiben. Des Weiteren sollen am System vorgenommene Änderungen dokumentiert, begründet und nicht zurückgewiesen werden. Es soll gewährleistet werden, dass Computersysteme vertrauenswürdig sind und Anwendungen sollen für ihre geplante Zweckbestimmung validiert werden.

Appian Cloud unterstützt die Funktionen und Technologie, die Kunden brauchen, um mit 21 CFR Part 11 konforme Anwendungen erstellen zu können.

Logo von Crown Commercial Service Supplier

UK G-Cloud

G-Cloud 9 ist ein digitaler Marktplatz, mit dem der öffentliche Dienst in GB Menschen und Technologie für behördenübergreifende Projekte finden kann. Ermöglicht wird der G-Cloud-Framework durch den Crown Commercial Service (CCS), der auf diese Weise die Geschäfts- und Beschaffungsaktivitäten des öffentlichen Dienstes optimieren und gleichzeitig Einsparungen für die Steuerzahler erzielen will. Diese Zielsetzungen werden erreicht, indem der Service diverse Maßnahmen kombiniert, professionelle Beratung anbietet, die Qualität von Angeboten vorab prüft und Unternehmen die Möglichkeit zu Direktkäufen gibt.

Der Crown Commercial Service (CCS) arbeitet sowohl mit Behörden als auch mit Unternehmen im gesamten öffentlichen Dienst, damit jede Geschäftsbeziehung bestmöglich genutzt und die Qualität der Dienstleistungserbringung stetig verbessert werden kann.

Appian Cloud ist mit dem G-Cloud-Framework kompatibel.Die G-Cloud-Zertifizierung von Appian Cloud ist auf dem digitalen Marktplatz unter gov.uk verfügbar.

„VPAT 508 Compliant“-Logo

508/VPAT

In Abschnitt 508 des Rehabilitation Act von 1973 ist festgelegt, dass die elektronische und Informationstechnologie von Bundesbehörden für Menschen mit Behinderung zugänglich sein muss.

VPAT (Voluntary Product Accessibility Template) ist ein Tool, das dafür verwendet wird, zu dokumentieren, ob ein Produkt den geltenden Barrierefreiheitsstandards im Sinne von Abschnitt 508 des Rehabilitation Act entspricht.

Appian hat die VPAT-Anforderungen erfolgreich erfüllt und das Produkt von Appian entspricht den in Abschnitt 508 dargelegten Vorschriften.

Logo AICPA-SOC 1 Zertifizierung

SOC 1/ISAE 3402

SOC-Berichte (Service Organization Controls), zuvor als SAS-70-Berichte bekannt, sollen Betreibern und Anbietern von Informationssystemen dabei helfen, Vertrauenswürdigkeit und Zuverlässigkeit ihrer Serviceprozesse und -kontrollen zu belegen.

Appian veröffentlicht einen SOC-1-Bericht vom Typ II sowie einen ISAE-3402-Bericht (International Standards for Assurance Engagements). Diese Prüfung wird von einem unabhängigen Buchhalter (Certified Public Accountant, CPA) durchgeführt und untersucht die internen Kontrollen einer Dienstleistungsorganisation über einen bestimmten Zeitraum hinweg, die sich auf das Finanzberichtswesen von Kunden, die entsprechende Leistungen in Anspruch nehmen, auswirken könnten. Diese Berichte sind häufig wichtige Komponenten von Kundenevaluierungen der eigenen internen Kontrollprozesse in Bezug auf Finanzberichte, um die Finanzprüfungserklärung und die Compliance-Anforderungen von Kunden zu unterstützen.

Bei Untersuchungen vom Typ II geht es um die Angemessenheit bzw. den Wahrheitsgehalt der Beschreibung, die das Management für das System einer Dienstleistungsorganisation abgibt, sowie die Angemessenheit des Konzeptes und der betrieblichen Leistung von Kontrollen bei der Erreichung der in der Beschreibung aufgeführten Ziele über einen bestimmten Zeitraum hinweg, nicht nur zu einem bestimmten Zeitpunkt.

„Cloud Security Alliance“-Logo

Cloud Security Alliance

Das STAR-Programm (Security, Trust and Assurance Registry) der Cloud Security Alliance (CSA) bietet einen umfassenden Vertrauens- und Sicherheitsrahmen für Cloud-Anbieter. Das STAR-Programm der CSA ist ein öffentlich zugängliches Verzeichnis, das dafür konzipiert wurde, die unterschiedlichen Sicherheitsanforderungen und Reifestufen von Anbietern und Verbrauchern zu erfassen. Es wird von Kunden, Anbietern, Branchen und Regierungen weltweit genutzt. Mithilfe des STAR-Programms können Cloud-Provider ihre Kontrollen gemäß der Cloud Controls Matrix (Cloud-Kontrollen-Matrix) der CSA einstufen.

Appian Cloud ist im CSA Security, Trust and Assurance Registry registriert, da es den Consensus Assessments Initiative Questionnaire (CAIQ), der 133 Kontrollen in 16 Bereichen abdeckt, eingereicht hat.

„Privacy Shield Framework“-Logo

Zwischen den USA und der EU bzw. den USA und der Schweiz geltende Privacy-Shield-Regelwerke

Die Privacy-Shield-Regelwerke zwischen den USA und der EU bzw. zwischen den USA und der Schweiz wurden vom amerikanischen Handelsministerium Department of Commerce sowie der Europäischen Kommission bzw. der Schweizer Regierung aufgestellt. Sie sollen Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung von Datenschutzanforderungen bieten, wenn sie im Rahmen transatlantischer Handelsbeziehungen personenbezogene Daten aus der Europäischen Union bzw. der Schweiz in die USA übertragen.

Die Privacy-Shield-Regelwerke ersetzten 2016 (EU) und 2017 (Schweiz) das amerikanisch-europäischen Safe-Harbor-Abkommen. Weitere Informationen zu diesen Rechtsrahmen finden Sie auf privacyshield.gov.

Appian hält sich in Bezug auf die Erfassung, Nutzung und Speicherung personenbezogener Daten aus der Europäischen Union, die in die Vereinigten Staaten von Amerika übertragen werden, an die Rahmenbedingungen des Privacy-Shield zwischen der EU und den USA, wie vom U.S. Department of Commerce dargelegt. Die Privacy Shield-Zertifizierung von Appian ist in der Privacy-Shield-Liste einsehbar.

Qualys SSL Labs

Qualys SSL Labs bietet eine tiefgreifende Analyse der Sicherheitskonfigurationen von Webservern im Internet, insbesondere mit Bezug auf die SSL/TLS-Konfiguration. Die Web-Tier der Appian Cloud wurde von SSL Labs mit A+ eingestuft.