Dieses TÜV-Siegel ist damit die logische Bestätigung des konsequenten Weges von Pretioso mit der datomo Mobility Suite in den Bereichen Sicherheit und Datenschutz. Der Prozess der Prüfung und Zertifizierung der datomo Applikationen erfolgt auf Basis verschiedener ISO Richtlinien und Grundlagen aus ITIL (IT Infrastructure Library) sowie den best practices des TÜV. Die Anforderungen des Prüfkatalogs basieren weiterhin auf allen wichtigen Standards und Normen.
Mit dieser TÜV-Zertifizierung bietet datomo Mobile Device Management erneut ein weiteres herausragendes Differenzierungsmerkmal in puncto Sicherheit mobiler Endgeräte am Markt. Damit wird der Vorsprung vor den Marktbegleitern weiter ausgebaut, denn niemand kann derzeit eine umfassendere Zertifizierung seiner MDM Lösung anbieten.
Alle Aspekte aus dem Anforderungskatalog die der Zertifizierung zugrunde liegen, wurden vor dem Hintergrund der Sicherheit von Online Applikationen ausgewählt. Ziel war es dabei, höchstmögliches Maß an Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität zu gewährleisten. Die Prüfung der datomo Applikation basierte auf folgenden 3 Säulen:
- Organisatorische Prüfung der Prozesse von der Softwareentwicklung bis zum Managed Service
- Technische Analyse und Überprüfung der Applikation
- Überprüfung zur Beschaffung, Entwicklung und Wartung Informationssystemen
- Compliance hinsichtlich Datenschutzvorgaben
Unter den Bereich Allgemeine organisatorische Prüfung fallen dabei z.B. auch folgende Themengebiete der ISO 27001: Anforderungen an die Sicherheitsleitlinie (Security Policy), die Organisation der Informationssicherheit, das Asset Management, die Personalsicherheit, die physische und umgebungsbezogene Sicherheit, das Betriebs- und Kommunikationsmanagement, Zugangskontrollen, der Umgang mit Informationssicherheitsvorfällen, die Sicherstellung des Betriebs (IT Service Continuity Management) und die Einhaltung von Vorgaben (Compliance).
Bei der technischen Analyse der Applikation wurde geprüft, ob die IT-Infrastruktur auch den sicherheitstechnischen Anforderungen gerecht wird. Abgeleitet wurden diese Anforderungen aus internationalen Standards wie ISO 27033, aus Anforderungen der OSSTMM, der OWASP und den Best Practices der Sicherheitsindustrie und der TÜV Trust IT.
Zur technischen Analyse der Applikation gehörten im Einzelnen: die Beurteilung der Infrastruktur (Backupsysteme, Applikationsserver, Monitoringsysteme etc), die Analyse der Firewalls, wobei zum einen Standards für Firewalls definiert werden und darüber hinaus klar beschrieben wird, wie eine Firewall ausgelegt sein muss, um das System vor externen Zugriffen zu schützen. Darüber hinaus wird die Systemhärtung geregelt, werden Rahmenbedingungen für den Schutz von gespeicherten Informationen definiert und festgeschrieben, dass Netzwerkzugriffe nur von befugten Personen erfolgen dürfen. Es wird der Einsatz eines Schwachstellenmanagements definiert. Die Entwicklung von Software und Applikationen muss an Best Practice Vorgehensweisen angelehnt sein. Der Quellcode von Eigenentwicklungen ist überprüft worden, um eventuelle Sicherheitslücken zu identifizieren und Programmierfehler zu vermeiden. Ebenso festgeschrieben wurde die Administration der Infrastrukturen, denn aufgrund der erweiterten und privilegierten Rechte von Administratoren sind hier tiefgreifende Maßnahmen erforderlich. Zuletzt wurden Anforderungen an das Monitoring-System festgeschrieben, da ansonsten keine Fehleranalysen möglich sind.
In einem dritten Prüfbereich ging es u.a. darum, spezifische Anforderungen an Beschaffung, Entwicklung und Wartung von Informationssystemen zu definieren. Dabei wurden Sicherheitsanforderungen definiert und spezifiziert. Daran anschließend erfolgte die Validierung von Eingabe- und Ausgabedaten. Schließlich erfolgte noch die Definition für die Installation von Software und Updates in die Lösung sowie auch Maßnahmen zum Schutz des Quellcodes.
Insgesamt erfolgte mit dieser Zertifizierung eine komplette Analyse und Beurteilung von datomo Mobile Device Management über das komplette Einsatzszenario hinweg, von der Infrastruktur, in die die Lösung eingebettet ist über die Lösungskomponenten selber selbst bis hin zu den begleitenden Diensten. Der Erhalt des TÜV Siegels attestiert datomo MDM, dass es sich dabei um eine Lösung handelt, über die zu Recht behauptet werden kann, dass sie allen Anforderungen an eine sichere und zuverlässige Lösung erfüllt, die Unternehmens- und Mitarbeiterdaten adäquat schützt und in der sämtliche Daten sicher aufgehoben werden.
Gerade in der heutigen Zeit ist dieses ein besonders wertvolles Urteil.
Klaus Düll, Geschäftsführer der Pretioso, erläutert: „Wir sind hocherfreut über diese Zertifizierung von datomo Mobile Device Management. Wir haben schon immer kommuniziert und in der praktischen Umsetzung bewiesen, dass unsere Lösung besonders sicher ist. Nun freuen wir uns, dass uns das TÜV Siegel das auch noch offiziell attestiert. Damit ist ein weiterer großer Meilenstein in Richtung Alleinstellung, Einhaltung deutscher Sicherheitsstandards und deutschen Datenschutzes durch unsere Lösung gelegt.“
Thomas Doms, Projektleiter bei der TÜV Trust IT, berichtet: „Ich habe schon viele erfolgreiche Zertifizierungsprozesse begleitet. Bei Pretioso hat mich insbesondere die Fokussierung der Beteiligten auf Sicherheit und Datenschutz überzeugt. Anregungen werden motiviert aufgenommen, Verbesserungsmöglichkeiten umgehend umgesetzt. Sicherheit und Datenschutz wird bei diesem Anbieter aktiv gelebt.“