Vertrauen durch Compliance

Zscaler erhielt die Zertifizierung nach ISO 27001. Durch diese Zertifizierung wird bescheinigt, dass unser Leistungsangebot auf international anerkannten Best Practices für Informationssicherheitsmanagement und umfassende Sicherheitskontrollen gemäß den Empfehlungen der ISO/IEC 27002: 2013 beruht.

Zscaler ist nach ISO 27001 und ISO 27701 zertifiziert und bescheinigt damit, dass seine Leistungen auf international anerkannten Best Practices für das Informationssicherheitsmanagement und für Managementsysteme für personenbezogene Daten (privacy information management systems, PIMS) basieren.

Der Verhaltenskodex ISO/IEC 27018:2014 regelt den Schutz personenbezogener Daten in der Cloud. Er basiert auf der ISO/IEC 27002 als internationaler Norm für Informationssicherheit und dient als Leitfaden für die Implementierung von Kontrollmechanismen nach ISO/IEC 27002 zum Schutz personenbezogener Daten in der Cloud.

Zscaler ist nach ISO 27017 im Umgang mit cloudspezifischen Informationssicherheitsrisiken und -bedrohungen bzgl. der in ISO/IEC 27002: 2013 und ISO/IEC 27001 Abs. 5–18 dargelegten Kontrollen zertifiziert. Damit wird bescheinigt, dass unser Leistungsangebot auf international anerkannten Best Practices für Anbieter und Kunden von Cloud-Services beruht.

Der SOC 2, Typ II Report ist eine unabhängige Bestätigung dafür, dass die Sicherheitskontrollen von Zscaler die geltenden Prinzipien und Kriterien für vertrauenswürdige Services des American Institute of Certified Public Accountants erfüllen.

SOC-Reports (System and Organization Controls) sind Berichte unabhängiger externer Prüfer, mit denen nachgewiesen wird, mit welchen Methoden Zscaler wichtige Compliance-Maßnahmen und -Ziele umsetzt. Der SOC 3 ist ein öffentlicher Bericht zu internen Kontrollmaßnahmen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungssicherheit und Vertraulichkeit. SSAE 18 / ISAE 3402 Typ II.

Zscaler ist gemäß Security, Trust & Assurance Registry (STAR) Level 2 der Cloud Security Alliance (CSA) auf dem Goldniveau zertifiziert.

Zscaler verpflichtet sich zu einem verantwortungsbewussten Umgang mit den Daten unserer Kunden und Geschäftspartner in aller Welt unter Einhaltung branchenführender Best Practices in Bezug auf Sicherheit und Data Protection. Diese Bewertung dient ausschließlich zu Informationszwecken und soll Unternehmen Klarheit darüber verschaffen, wie Zscaler bei der Bereitstellung von Services und Produkten mit sensiblen Daten umgeht.

Die Deutsche Cyber-Sicherheitsorganisation (DCSO), das deutsche Kompetenzzentrum für Cybersicherheit, wurde 2015 von den Konzernen Allianz, BASF, Bayer und Volkswagen zur Bekämpfung organisierter Cyberkriminalität und Industriespionage gegründet. Die DCSO bringt Unternehmen, Behörden und Institutionen zusammen und schafft einen Raum für den vertrauensvollen Datenaustausch. Mit dem Cloud Vendor Assessment Service der DCSO wird das Sicherheitsniveau von Anbietern für Cloud-Services überprüft.

Trusted Information Security Assessment Exchange (TISAX®) ermöglicht die gegenseitige Anerkennung von Bewertungen der Informationssicherheit in der Automobilindustrie und dient als gemeinsamer Bewertungs- und Austauschmechanismus. So ist gewährleistet, dass vertrauliche Informationen sicher mit Partnern geteilt werden können und über die gesamte Lieferkette ein Vertrauensverhältnis aufrechterhalten wird. Zscaler hat sich einer TISAX-Evaluierung unterzogen.

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) regelt den Umgang mit medizinischen Daten, die sich auf den vergangenen, gegenwärtigen oder zukünftigen physischen oder psychischen Gesundheitszustand bestimmbarer natürlicher Personen beziehen, sowie allen anderen Daten, die zur Bestimmung von Personen verwendet werden können. Der HIPAA wurde 2009 durch den Health Information Technology for Economic and Clinical Health (HITECH) Act erweitert. Die HIPAA-Datenschutzregel des US-Gesundheitsministeriums legt nationale Standards zum Schutz bestimmter Gesundheitsdaten fest.

HITRUST hat das HITRUST CSF als zertifizierbares Framework entwickelt, das Unternehmen die erforderliche Struktur, Details und Klarheit in Bezug auf den Informationsschutz bietet. Im Rahmen der Bewertung, die von einem autorisierten externen Gutachter durchgeführt wird, und der unabhängigen Bestätigung von HITRUST, dass die Arbeit in Übereinstimmung mit den Anforderungen des HITRUST® Assurance Program durchgeführt wurde, konnte der Nachweis erbracht werden, dass die Zscaler Zero-Trust-Plattform, Einrichtungen und unterstützende Infrastruktur des Unternehmens („Geltungsbereich“) die Zertifizierungskriterien gemäß HITRUST CSF® v11.2.0 Implemented, 1-year (i1) erfüllen.

Die IRS-Veröffentlichung 1075 (Internal Revenue Service Publication 1075) legt Normen für die Informationssicherheit sowie Richtlinien und Vereinbarungen zum Schutz von US-Regierungsbehörden und ihren Beauftragten fest, die auf Bundessteuerdaten (Federal Tax Information, FTI) zugreifen. Auch wenn der IRS keine offizielle Empfehlung oder Zertifizierung für die Einhaltung der IRS-Veröffentlichung 1075 ausgibt, unterstützt Zscaler Unternehmen beim Schutz von FTI-Daten, die auf der Zscaler-Plattform verwaltet werden. Dazu passen wir unsere Implementierungen der Sicherheitskontrollen NIST 800-53 und FedRAMP an die entsprechenden Sicherheitsanforderungen der IRS-Veröffentlichung 1075 an. Zscaler arbeitet eng mit dem IRS zusammen, um sicherzustellen, dass unsere GovClouds (US) die Anforderungen der IRS-Veröffentlichung 1075 zur Speicherung und Verarbeitung von FTI-Daten erfüllen.

Zscaler Internet Access (ZIA) und Zscaler Private Access (ZPA) sind gemäß FedRAMP der US-Bundesbehörden („High Impact“-Stufe) zugelassen. Darüber hinaus ist ZIA derzeit die einzige SASE- und TIC-3.0-Lösung (Secure Access Service Edge und Trusted Internet Connections), die die höchste Autorisierungsstufe des FedRAMP erhalten hat.

Regierungsbehörden wie das US-Verteidigungsministerium können unsere marktführenden Zero-Trust-Plattformen nutzen, um den Remote-Zugriff auf Cloud-basierte Anwendungen abzusichern und gleichzeitig Anwendererfahrung sowie Kosten zu optimieren.

Zscaler Internet Access (ZIA) und Zscaler Private Access (ZPA) sind seit 2018 gemäß FedRAMP für die Stufe „Moderate Impact“ zugelassen, sodass Bundesbehörden, Verteidigungsministerien und entsprechende Auftragnehmer die Vorteile der Zscaler Zero Trust Exchange in vollem Umfang nutzen können.

Mit ZIA und ZPA profitieren Behörden von allen Vorteilen der Zero-Trust-Sicherheit und können so den betrieblichen Aufwand reduzieren, Abläufe optimieren und Kosten senken.

Zscaler Private Access (ZPA) hat eine vorläufige Zulassung (Provisional Authorization to Operate, P-ATO) auf Impact Level 5 (IL5) gemäß dem Cloud Computing Security Requirements Guide des US-Verteidigungsministeriums (DoD CC SRG) erhalten. Diese Zertifizierung ist Voraussetzung für die Nutzung von Zscaler Zero Trust Exchange durch US-Behörden und ihre Vertragspartner zum Schutz von Systemen, in denen hochsensible CUI-Daten (Controlled Unclassified Information) verwaltet werden, sowie von National Security Systems (NSSs) ohne Geheimhaltungsgrad. Zscaler Internet Access (ZIA) hat eine Zulassung (Authorization to Operate, ATO) auf Impact Level 2 (IL2) erhalten. Die Defense Innovation Unit (DIU) des US-Verteidigungsministeriums hat Zscaler mit der Entwicklung von Prototypen für Technologien zur Zugriffssicherung auf Basis von ZPA und ZIA beauftragt.

Zscaler erfüllt die Anforderungen des Federal Information Processing Standard (FIPS 140-2) des National Institute of Standards and Technology (NIST) für kryptografische Module. Zertifizierungen Nr. 3154 (für Zscaler Mobile Cryptographic Module), Nr. 3159 (für Zscaler Crypto Module) und Nr. 3188 (für Zscaler Java Crypto) anzeigen

Zscaler Private Access (ZPA) und Zscaler Internet Access (ZIA) wurden von einem zertifizierten IRAP-Gutachter geprüft. Der Bericht zeigt, dass Zscaler die in Australien geltenden Vorgaben erfüllt.

Der ITAR-Bericht (International Traffic in Arms Regulations) enthält Compliance-relevante Informationen zu den Plattformen Zscaler Private Access (ZPA) und Zscaler Internet Access (ZIA) Government Cloud („GovCloud“).

Zscaler hält die Bestimmungen der Criminal Justice Information Services ein und gewährleistet Data Protection gemäß den CJIS-Sicherheitsrichtlinien

Zur Unterstützung der Electronic and Information Accessibility Standards, die in Abschnitt 508 des Rehabilitation Act definiert sind, veröffentlichen wir mithilfe von Voluntary Product Accessibility Templates (VPATs) Eigenbewertungen zur Barrierefreiheit von Zscaler-Produkten. Abschnitt 508 wurde 1998 in das US-Bundesgesetz gegen Diskriminierung aufgrund von Behinderungen aufgenommen und beinhaltet Anforderungen zur Entwicklung und Förderung barrierefreier Informationstechnologie.

Zscaler wurde von der Cybersecurity and Infrastructure Security Agency (CISA) des US-Ministeriums für Heimatschutz gemäß den im Leitfaden „Trusted Internet Connection (TIC) 3.0 Overlay“ definierten Empfehlungen geprüft. TIC ist eine Cybersicherheitsinitiative zur Stärkung der Sicherheit von Netzwerken und Perimetern in allen US-Bundesbehörden. Konkret soll durch TIC 3.0 der Schutz von Daten, Netzwerken und Perimetern verbessert sowie transparenter Einblick in den Traffic der Behörden, insbesondere in Cloud-Kommunikationen, ermöglicht werden.

In der Special Publication 800-63C des National Institute of Standards and Technology (NIST) werden Anforderungen für Identitätsanbieter und Relying Parties (RPs) in föderierten Identitätsmanagementsystemen festgelegt. Föderierte Identitäten verbinden die Identität eines Users über mehrere Sicherheitsdomänen hinweg, indem der Identitätsanbieter Authentifizierungs- sowie (optional) Teilnehmerattribute anhand von Assertions für mehrere separat verwaltete RPs bereitstellt. Ebenso können RPs mehrere Identitätsanbieter verwenden.

Das National Institute of Standards and Technology (NIST) 800-53 erstellt Normen und Richtlinien für die Informationssicherheit, die für alle Informationssysteme auf US-Bundesebene gelten. Zscaler erfüllt NIST 800-53 bzgl. der Vertraulichkeit, Sicherheit und Verfügbarkeit von Daten und Informationssystemen.

Für Anbieter, die im Rahmen des öffentlichen Auftrags- und Beschaffungswesens bundesstaatliche und kommunale Behörden in den USA beliefern, gelten strenge Sicherheitsauflagen, die im State Risk and Authorization Management Program (StateRAMP) für Cybersicherheit standardisiert sind. Zscaler Internet Access (ZIA) erhielt die Zulassung für die „Moderate Impact“-Stufe gemäß StateRAMP. Durch diese Zertifizierung wird nachgewiesen, dass ZIA die Anforderungen der bundesstaatlichen und kommunalen Behörden für den Schutz von Mitarbeitern und Daten erfüllt.

Das Texas Risk and Authorization Management Program (TX-RAMP) gewährleistet einen standardisierten Ansatz für die Sicherheitsbewertung, kontinuierliche Überwachung und Zulassung von externen Drittanbietern, die Daten bundesstaatlicher Behörden oder öffentlicher Bildungseinrichtungen im US-Bundesstaat Texas verarbeiten. Zscaler erhielt die Zulassung auf Impact Level 2 gemäß TX-RAMP und ist damit zur Verarbeitung vertraulicher bzw. regulierter Daten in Systemen mit mittlerer oder hoher Risiko-Stufe berechtigt. 

Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) ist ein vom BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland eingeführtes und von der Bundesregierung unterstütztes Zertifizierungssystem. Mit C5 können Unternehmen im Rahmen der von der Bundesregierung herausgegebenen Sicherheitsempfehlungen für Cloud-Anbieter darlegen, dass ihre Betriebssicherheit bei der Nutzung von Cloud-Diensten im Hinblick auf gängige Cyberangriffe gewährleistet ist.

Zscaler ist gemäß dem STIC-Produkt- und Servicekatalog (CPSTIC) des spanischen National Cryptologic Center (CCN) zertifiziert. Dies zeigt, dass Zscaler nachweislich in der Lage ist, sichere Services für die öffentliche Verwaltung sowie für strategisch wichtige Unternehmen und Organisationen in Spanien bereitzustellen. Um diese Qualifikation zu erlangen, hat Zscaler mit einem unparteiischen externen Prüfer zusammengearbeitet, um sich der notwendigen Prüfung zu unterziehen und die erforderlichen Standards zu erfüllen.

Zscaler erhielt die Zertifizierung für Cyber Security Essentials des britischen National Cyber Security Centre (NCSC). Die NCSC-Zertifizierung berechtigt uns zur Annahme öffentlicher Aufträge im Rahmen des „Commercial Crown Services“-Programms. Die NCSC-Zertifizierung ist für den Umgang mit bestimmten Arten von sensiblen und personenbezogenen Daten im Auftrag britischer Regierungsbehörden vorgeschrieben.

Die ENS (Esquema Nacional de Seguridad) ist ein umfassender Rahmen aus Sicherheitskontrollen und -standards, den Dienstanbieter implementieren müssen, um Daten für spanische Regierungsbehörden und staatliche Organisationen sicher zu verarbeiten. Zscaler hat die ENS High-Zertifizierung erhalten, die höchstmögliche Akkreditierungsstufe. Diese Zertifizierung unterstreicht die führende Rolle von Zscaler bei der Bereitstellung von Zero-Trust-Architektur und sicheren Zugriffslösungen und stellt sicher, dass unsere cloudnative Plattform die strengen Sicherheitsanforderungen erfüllt, die im öffentlichen Sektor zum Schutz vertraulicher Daten erforderlich sind. Durch diese Akkreditierung unterstützt Zscaler staatliche Behörden und Einrichtungen in Spanien in dem Bemühen, ihre digitale Transformation zu beschleunigen, Risiken zu reduzieren und die Resilienz gegen Cyberbedrohungen zu erhöhen.

Zscaler Internet Access for Japanese Government (ZIA-JG) und Zscaler Private Access for Japanese Government (ZPA-JG) sind offiziell zugelassene Cloud-Dienste im Sinne des japanischen Information System Security Management and Assessment Program (ISMAP). Die Einhaltung der japanischen Sicherheitsstandards wurde extern geprüft und von den zuständigen Regulierungsbehörden bestätigt. Nachweise zur ISMAP-Zertifizierung der Zscaler-Dienste finden Sie im Verzeichnis der ISMAP-Clouddienste(nur in japanischer Sprache). Weitere Informationen zum ISMAP finden Sie auf der offiziellen ISMAP-Website.

Die Zscaler Zero Trust Exchange erfüllt mit Stufe 3 die höchste Zertifizierungsstufe des singapurischen Multi-Tier Cloud Security(MTCS) Standard (SS 584). Diese bescheinigt, dass die Zero Trust Exchange die für regulierte Organisationen und den Staat Singapur geltenden Sicherheitsvorgaben für Anwendungsfälle mit potenziell gravierenden Folgen erfüllt. Ausschlaggebend für diese Einstufung bilden rigorose Audits durch eine unabhängige MTCS-Zertifizierungsstelle. Die MTCS-Zertifizierung von Zscaler lässt sich dem Verzeichnis zertifizierter Cloud-Dienste der Infocomm Media Development Authority (IMDA) Singapurs entnehmen. Darin findet sich die Zero Trust Exchange als zertifizierte SaaS. Weitere Informationen zum MTCS-Programm finden Sie ebenfalls auf der genannten Website.

Das kanadische Regierungsprogramm „Protected B“ ist eine Klassifizierungsstufe innerhalb des staatlichen Sicherheitskonzepts, das zum Schutz sensibler Informationen dient, die bei einer Offenlegung Einzelpersonen, Unternehmen oder der Nation schweren Schaden zufügen könnten. Das Canadian Centre for Cyber Security (CCCS) hat das Cloud Service Provider IT Security Assessment Program ins Leben gerufen, um CSPs anhand der Anforderungen zu bewerten, die in der Information Technology Security Guidance (ITSG-33) festgelegt sind, einem kanadischen Standard, der auf die Grundsätze und Vorgaben des Sicherheitskatalogs NIST SP 800-53 abgestimmt ist. Zscaler wurde von CCCS anhand der ITSG-33 geprüft und hat die IT-Anforderungen der kanadischen Regierung für die Kategorisierung „Medium“ von Informationen und Services erfüllt.

Der Payment Card Industry Data Security Standard (PCI-DSS) soll vor Kreditkartenbetrug, Sicherheitsbedrohungen und Cyberrisiken im Kartenzahlungsverkehr schützen. Das PCI Security Standards Council wurde 2006 von MasterCard, American Express, Visa, JCB International und Discover Financial Services als offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten gegründet.

Als oberste Finanzaufsichtsbehörde ist die Australian Prudential Regulation Authority (APRA) für die Regulierung australischer Finanzinstitute verantwortlich. Die APRA beaufsichtigt Banken, Kreditgenossenschaften, Bausparkassen, allgemeine Versicherungs- und Rückversicherungsunternehmen, Lebensversicherungen, private Krankenversicherungen, Hilfsvereine und einen Großteil der Pensionskassen und fördert die finanzielle Sicherheit von Institutionen und die Stabilität des australischen Finanzsystems. Das Whitepaper enthält allgemeine Informationen für Finanzinstitute, die an einer Nutzung von Zscaler-Services interessiert sind.

Zscaler verpflichtet sich, in allen Geschäftsbeziehungen ethisch und integer zu handeln und in unserem Unternehmen und unserer Lieferkette eine Kultur zu fördern, die frei von modernen Formen der Sklaverei und Menschenhandel ist und in der alle Mitarbeiter mit Respekt und Würde behandelt werden.

Zscaler betreibt die größte Cloud-Sicherheitsplattform der Welt. Das Cloud-Operations-Team von Zscaler ist bestrebt, die Stabilität der Plattform auch bei naturbedingten oder von Menschen verursachten Katastrophen bzw. unvorhersehbaren Notfällen zu gewährleisten.

Supervisory Statement 2/21 (SS 2/21) regelt unter dem Titel „Outsourcing and Third Party Risk Management“ (2021) das Lieferantenmanagement von Finanzinstituten aus Großbritannien. Die Prudential Regulation Authority (PRA) gehört zur Bank of England und ist für Regulierungsaufgaben in Großbritannien zuständig. Da Zscaler kein britisches Finanzinstitut ist, unterliegt es o. g. SS 2/21 nicht unmittelbar. Die Bescheinigung dient dem Nachweis der Einhaltung einschlägiger Anforderungen im Bereich der Datensicherheit nach Kap. 7 der Norm.

Wir setzen uns dafür ein, dass unsere internationalen Kunden und Partner die spezifischen Compliance-Anforderungen der Volksrepublik China erfüllen können. Die Lizenzen/Zertifizierungen und die Unterlagen für Zscaler Clouds, die unsere Technologiepartner besitzen, erfragen Sie bitte bei Ihrem Zscaler-Kontakt/Account Manager.

Im März 2023 veröffentlichte das Securities and Exchange Board of India (SEBI) das Framework for Adoption of Cloud Services by SEBI Regulated Entities (REs). Das Framework enthält Anforderungen zu Governance, grundlegender Sicherheit sowie rechtlichen und regulatorischen Bedingungen, die regulierte Unternehmen übernehmen sollten, um ihre Cloud-Serviceanbieter effektiv zu verwalten. Zentrale Risiken und obligatorische Kontrollmaßnahmen, die regulierte Unternehmen vor der Einführung von Cloud-Computing implementieren müssen. In diesem Whitepaper finden Sie allgemeine Informationen für regulierte Unternehmen, die den Service von Zscaler nutzen möchten. Regulierte Unternehmen können diese Informationen nutzen, um das Servicerisiko im Hinblick auf die Einhaltung von Sicherheits-, Datenschutz- und Geschäftsrisiken zu bewerten und mehr darüber zu erfahren, wie Zscaler die Framework-Anforderungen erfüllt.

Die Secure by Design Principles des Vereinigten Königreichs zielen darauf ab, die Cyber-Resilienz der Regierung zu erhöhen und den Datenaustausch zwischen Organisationen zu verbessern. Die Richtlinie wurde vom Central Digital and Data Office (CDDO) und einer regierungsübergreifenden Arbeitsgruppe in Zusammenarbeit mit der Government Security Group, dem National Security Centre (NCSC) und Branchenexperten entwickelt. Als strategische Priorität, die in der Roadmap zur Transformation in eine digitale Zukunft: 2022 bis 2025 und in der Cybersicherheitsstrategie der Regierung verankert ist, hat sich Zscaler verpflichtet, seine Kunden bei der Ausrichtung an diesen Grundsätzen zu unterstützen. Das Whitepaper zu den Zscaler-Funktionen und seiner internen Ausrichtung zur Unterstützung der Secure by Design-Leitlinien Großbritanniens bietet Kunden Einblicke, wie Produkte und Dienste von Zscaler genutzt werden können, um diese Prinzipien zu erfüllen, und wie sich Zscaler intern an diesen Prinzipien ausrichtet.

Die Network and Information Systems Directive (NIS2) ist eine aktualisierte Fassung der NIS Directive, die auf die Stärkung der Cybersicherheit in kritischen Sektoren abzielt. NIS2 erweitert den Geltungsbereich auf weitere Sektoren und Branchen wie Energie, Verkehr, Banken und Gesundheitswesen und verschärft die Sicherheits- und Meldepflichten. Im Whitepaper von Zscaler wird erläutert, wie die Zscaler Zero Trust Exchange – sowie spezifische Funktionen und Tools – zur Bewältigung dieser neuen Herausforderungen beiträgt. Die Services von Zscaler unterstützen Organisationen bei der Optimierung ihrer Sicherheitsmaßnahmen zur Erfüllung der NIS 2 mit Schwerpunkt auf Schlüsselbereiche wie Risikomanagement, Incident Detection, Response und Governance.

Künstliche Intelligenz (KI) hat sich branchenübergreifend zu einer transformativen Größe entwickelt, die sowohl Innovationen fördert als auch neue Herausforderungen mit sich bringt. Als Reaktion darauf hat die Europäische Union (EU) das EU-Gesetz über künstliche Intelligenz („EU-KI-Gesetz“) verabschiedet. Das Gesetz stellt eine bedeutende aufsichtsrechtliche Entwicklung dar, die Vertrauen, Transparenz und Verantwortlichkeit beim Einsatz von Systemen der künstlichen Intelligenz („KI-Systeme“) in verschiedenen Branchen fördern und potenziellen Risiken im Zusammenhang mit KI entgegenwirken soll.