Vertrauen durch Compliance

Zscaler erhielt die Zertifizierung nach ISO 27001. Durch diese Zertifizierung wird bescheinigt, dass unser Leistungsangebot auf international anerkannten Best Practices für Informationssicherheitsmanagement und umfassende Sicherheitskontrollen gemäß den Empfehlungen der ISO/IEC 27002: 2013 beruht.

Zscaler ist nach ISO 27001 und ISO 27701 zertifiziert und bescheinigt damit, dass seine Leistungen auf international anerkannten Best Practices für das Informationssicherheitsmanagement und für Managementsysteme für personenbezogene Daten (privacy information management systems, PIMS) basieren.

Der Verhaltenskodex ISO/IEC 27018:2014 regelt den Schutz personenbezogener Daten in der Cloud. Er basiert auf der ISO/IEC 27002 als internationaler Norm für Informationssicherheit und dient als Leitfaden für die Implementierung von Kontrollmechanismen nach ISO/IEC 27002 zum Schutz personenbezogener Daten in der Cloud.

Zscaler ist nach ISO 27017 im Umgang mit cloudspezifischen Informationssicherheitsrisiken und -bedrohungen bzgl. der in ISO/IEC 27002: 2013 und ISO/IEC 27001 Abs. 5–18 dargelegten Kontrollen zertifiziert. Damit wird bescheinigt, dass unser Leistungsangebot auf international anerkannten Best Practices für Anbieter und Kunden von Cloud-Services beruht.

Der SOC 2, Typ II Report bestätigt unabhängig, dass die Sicherheitskontrollen von Zscaler den geltenden Prinzipien und Kriterien für vertrauenswürdige Services des American Institute of Certified Public Accountants entsprechen.

SOC-Reports (System and Organization Controls) sind Berichte unabhängiger externer Prüfer, mit denen nachgewiesen wird, mit welchen Methoden Zscaler wichtige Compliance-Maßnahmen und -Ziele umsetzt. Der SOC 3 ist ein öffentlicher Bericht zu internen Kontrollmaßnahmen bzgl. Sicherheit, Verfügbarkeit, Verarbeitungssicherheit und Vertraulichkeit. SSAE 18 / ISAE 3402 Typ II.

Zscaler ist gemäß Security, Trust & Assurance Registry (STAR) Level 2 der Cloud Security Alliance (CSA) auf dem Goldniveau zertifiziert.

Zscaler verpflichtet sich zu einem verantwortungsbewussten Umgang mit den Daten unserer Kunden und Geschäftspartner in aller Welt unter Einhaltung branchenführender Best Practices in Bezug auf Sicherheit und Data Protection. Diese Bewertung dient ausschließlich zu Informationszwecken und soll Unternehmen Klarheit darüber verschaffen, wie Zscaler bei der Bereitstellung von Services und Produkten mit sensiblen Daten umgeht.

Die Deutsche Cyber-Sicherheitsorganisation (DCSO), das deutsche Kompetenzzentrum für Cybersicherheit, wurde 2015 von den Konzernen Allianz, BASF, Bayer und Volkswagen zur Bekämpfung organisierter Cyberkriminalität und Industriespionage gegründet. Die DCSO bringt Unternehmen, Behörden und Institutionen zusammen und schafft einen Raum für den vertrauensvollen Datenaustausch. Mit dem Cloud Vendor Assessment Service der DCSO wird das Sicherheitsniveau von Anbietern für Cloud-Services überprüft.

Trusted Information Security Assessment Exchange (TISAX®) ermöglicht die gegenseitige Anerkennung von Bewertungen der Informationssicherheit in der Automobilindustrie und dient als gemeinsamer Bewertungs- und Austauschmechanismus. So ist gewährleistet, dass vertrauliche Informationen sicher mit Partnern geteilt werden können und über die gesamte Lieferkette ein Vertrauensverhältnis aufrechterhalten wird. Zscaler hat sich einer TISAX-Evaluierung unterzogen.

The Health Insurance Portability and Accountability Act of 1996 (HIPAA) applies to individually identified health information that relates to an individual’s past, present, or future physical or mental health condition or any other identifying information that can be used to identify the individual. HIPAA was expanded in 2009 by the Health Information Technology for Economic and Clinical Health (HITECH) Act. As stated by the U.S. Department of Health and Human Services, the HIPAA Privacy Rule establishes national standards for the protection of certain health information.

HITRUST has developed the HITRUST CSF, a certifiable framework that provides organizations with the needed structure, details and clarity relating to information protection.The assessment performed by an Authorized External Assessor to validate such information, and HITRUST's independent confirmation that the work was performed in accordance with the HITRUST® Assurance Program requirements, The Zscaler Zero Trust Platform, facilities, and supporting infrastructure of the Organization ("Scope") meet the HITRUST CSF® v11.2.0 Implemented, 1-year (i1) certification criteria.

Die IRS-Veröffentlichung 1075 (Internal Revenue Service Publication 1075) legt Normen für die Informationssicherheit sowie Richtlinien und Vereinbarungen zum Schutz von US-Regierungsbehörden und ihren Beauftragten fest, die auf Bundessteuerdaten (Federal Tax Information, FTI) zugreifen. Auch wenn der IRS keine offizielle Empfehlung oder Zertifizierung für die Einhaltung der IRS-Veröffentlichung 1075 ausgibt, unterstützt Zscaler Unternehmen beim Schutz von FTI-Daten, die auf der Zscaler-Plattform verwaltet werden. Dazu passen wir unsere Implementierungen der Sicherheitskontrollen NIST 800-53 und FedRAMP an die entsprechenden Sicherheitsanforderungen der IRS-Veröffentlichung 1075 an. Zscaler arbeitet eng mit dem IRS zusammen, um sicherzustellen, dass unsere GovClouds (US) die Anforderungen der IRS-Veröffentlichung 1075 zur Speicherung und Verarbeitung von FTI-Daten erfüllen.

Zscaler Internet Access (ZIA) und Zscaler Private Access (ZPA) sind gemäß FedRAMP der US-Bundesbehörden („High Impact“-Stufe) zugelassen. Darüber hinaus ist ZIA derzeit die einzige SASE- und TIC-3.0-Lösung (Secure Access Service Edge und Trusted Internet Connections), die die höchste Autorisierungsstufe des FedRAMP erhalten hat.

Regierungsbehörden wie das US-Verteidigungsministerium können unsere marktführenden Zero-Trust-Plattformen nutzen, um den Remote-Zugriff auf Cloud-basierte Anwendungen abzusichern und gleichzeitig Anwendererfahrung sowie Kosten zu optimieren.

Zscaler Internet Access (ZIA) und Zscaler Private Access (ZPA) sind seit 2018 gemäß FedRAMP für die Stufe „Moderate Impact“ zugelassen, sodass Bundesbehörden, Verteidigungsministerien und entsprechende Auftragnehmer die Vorteile der Zscaler Zero Trust Exchange in vollem Umfang nutzen können.

Mit ZIA und ZPA profitieren Behörden von allen Vorteilen der Zero-Trust-Sicherheit und können so den betrieblichen Aufwand reduzieren, Abläufe optimieren und Kosten senken.

Zscaler Private Access (ZPA) hat eine vorläufige Zulassung (Provisional Authorization to Operate, P-ATO) auf Impact Level 5 (IL5) gemäß dem Cloud Computing Security Requirements Guide des US-Verteidigungsministeriums (DoD CC SRG) erhalten. Diese Zertifizierung ist Voraussetzung für die Nutzung von Zscaler Zero Trust Exchange durch US-Behörden und ihre Vertragspartner zum Schutz von Systemen, in denen hochsensible CUI-Daten (Controlled Unclassified Information) verwaltet werden, sowie von National Security Systems (NSSs) ohne Geheimhaltungsgrad. Zscaler Internet Access (ZIA) hat eine Zulassung (Authorization to Operate, ATO) auf Impact Level 2 (IL2) erhalten. Die Defense Innovation Unit (DIU) des US-Verteidigungsministeriums hat Zscaler mit der Entwicklung von Prototypen für Technologien zur Zugriffssicherung auf Basis von ZPA und ZIA beauftragt.

Zscaler erfüllt die Anforderungen des Federal Information Processing Standard (FIPS 140-2) des National Institute of Standards and Technology (NIST) für kryptografische Module. Zertifizierungen Nr. 3154 (für Zscaler Mobile Cryptographic Module), Nr. 3159 (für Zscaler Crypto Module) und Nr. 3188 (für Zscaler Java Crypto) anzeigen

Zscaler Private Access (ZPA) und Zscaler Internet Access (ZIA) wurden von einem zertifizierten IRAP-Gutachter geprüft. Der Bericht zeigt, dass Zscaler die in Australien geltenden Vorgaben erfüllt.

Der ITAR-Bericht (International Traffic in Arms Regulations) enthält Compliance-relevante Informationen zu den Plattformen Zscaler Private Access (ZPA) und Zscaler Internet Access (ZIA) Government Cloud („GovCloud“).

Zscaler hält die Bestimmungen der Criminal Justice Information Services ein und gewährleistet Data Protection gemäß den CJIS-Sicherheitsrichtlinien

Zur Unterstützung der Electronic and Information Accessibility Standards, die in Abschnitt 508 des Rehabilitation Act definiert sind, veröffentlichen wir mithilfe von Voluntary Product Accessibility Templates (VPATs) Eigenbewertungen zur Barrierefreiheit von Zscaler-Produkten. Abschnitt 508 wurde 1998 in das US-Bundesgesetz gegen Diskriminierung aufgrund von Behinderungen aufgenommen und beinhaltet Anforderungen zur Entwicklung und Förderung barrierefreier Informationstechnologie.

Zscaler wurde von der Cybersecurity and Infrastructure Security Agency (CISA) des US-Ministeriums für Heimatschutz gemäß den im Leitfaden „Trusted Internet Connection (TIC) 3.0 Overlay“ definierten Empfehlungen geprüft. TIC ist eine Cybersicherheitsinitiative zur Stärkung der Sicherheit von Netzwerken und Perimetern in allen US-Bundesbehörden. Konkret soll durch TIC 3.0 der Schutz von Daten, Netzwerken und Perimetern verbessert sowie transparenter Einblick in den Traffic der Behörden, insbesondere in Cloud-Kommunikationen, ermöglicht werden.

In der Special Publication 800-63C des National Institute of Standards and Technology (NIST) werden Anforderungen für Identitätsanbieter und Relying Parties (RPs) in föderierten Identitätsmanagementsystemen festgelegt. Föderierte Identitäten verbinden die Identität eines Users über mehrere Sicherheitsdomänen hinweg, indem der Identitätsanbieter Authentifizierungs- sowie (optional) Teilnehmerattribute anhand von Assertions für mehrere separat verwaltete RPs bereitstellt. Ebenso können RPs mehrere Identitätsanbieter verwenden.

Das National Institute of Standards and Technology (NIST) 800-53 erstellt Normen und Richtlinien für die Informationssicherheit, die für alle Informationssysteme auf US-Bundesebene gelten. Zscaler erfüllt NIST 800-53 bzgl. der Vertraulichkeit, Sicherheit und Verfügbarkeit von Daten und Informationssystemen.

Für Anbieter, die im Rahmen des öffentlichen Auftrags- und Beschaffungswesens bundesstaatliche und kommunale Behörden in den USA beliefern, gelten strenge Sicherheitsauflagen, die im State Risk and Authorization Management Program (StateRAMP) für Cybersicherheit standardisiert sind. Zscaler Internet Access (ZIA) erhielt die Zulassung für die „Moderate Impact“-Stufe gemäß StateRAMP. Durch diese Zertifizierung wird nachgewiesen, dass ZIA die Anforderungen der bundesstaatlichen und kommunalen Behörden für den Schutz von Mitarbeitern und Daten erfüllt.

Das Texas Risk and Authorization Management Program (TX-RAMP) gewährleistet einen standardisierten Ansatz für die Sicherheitsbewertung, kontinuierliche Überwachung und Zulassung von externen Drittanbietern, die Daten bundesstaatlicher Behörden oder öffentlicher Bildungseinrichtungen im US-Bundesstaat Texas verarbeiten. Zscaler erhielt die Zulassung auf Impact Level 2 gemäß TX-RAMP und ist damit zur Verarbeitung vertraulicher bzw. regulierter Daten in Systemen mit mittlerer oder hoher Risiko-Stufe berechtigt. 

Der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) ist ein vom BSI (Bundesamt für Sicherheit in der Informationstechnik) in Deutschland eingeführtes und von der Bundesregierung unterstütztes Zertifizierungssystem. Mit C5 können Unternehmen im Rahmen der von der Bundesregierung herausgegebenen Sicherheitsempfehlungen für Cloud-Anbieter darlegen, dass ihre Betriebssicherheit bei der Nutzung von Cloud-Diensten im Hinblick auf gängige Cyberangriffe gewährleistet ist.

Zscaler ist gemäß dem STIC-Produkt- und Servicekatalog (CPSTIC) des spanischen National Cryptologic Center (CCN) zertifiziert. Dies zeigt, dass Zscaler nachweislich in der Lage ist, sichere Services für die öffentliche Verwaltung sowie für strategisch wichtige Unternehmen und Organisationen in Spanien bereitzustellen. Um diese Qualifikation zu erlangen, hat Zscaler mit einem unparteiischen externen Prüfer zusammengearbeitet, um sich der notwendigen Prüfung zu unterziehen und die erforderlichen Standards zu erfüllen.

Zscaler erhielt die Zertifizierung für Cyber Security Essentials des britischen National Cyber Security Centre (NCSC). Die NCSC-Zertifizierung berechtigt uns zur Annahme öffentlicher Aufträge im Rahmen des „Commercial Crown Services“-Programms. Die NCSC-Zertifizierung ist für den Umgang mit bestimmten Arten von sensiblen und personenbezogenen Daten im Auftrag britischer Regierungsbehörden vorgeschrieben.

Die ENS (Esquema Nacional de Seguridad) ist ein umfassender Rahmen aus Sicherheitskontrollen und -standards, den Dienstanbieter implementieren müssen, um Daten für spanische Regierungsbehörden und staatliche Organisationen sicher zu verarbeiten. Zscaler hat die ENS High-Zertifizierung erhalten, die höchstmögliche Akkreditierungsstufe. Diese Zertifizierung unterstreicht die führende Rolle von Zscaler bei der Bereitstellung von Zero-Trust-Architektur und sicheren Zugriffslösungen und stellt sicher, dass unsere cloudnative Plattform die strengen Sicherheitsanforderungen erfüllt, die im öffentlichen Sektor zum Schutz vertraulicher Daten erforderlich sind. Durch diese Akkreditierung unterstützt Zscaler staatliche Behörden und Einrichtungen in Spanien in dem Bemühen, ihre digitale Transformation zu beschleunigen, Risiken zu reduzieren und die Resilienz gegen Cyberbedrohungen zu erhöhen.

Zscaler Internet Access for Japanese Government(ZIA-JG) and Zscaler Private Access for Japanese Government(ZPA-JG) are registered cloud services under Japan’s Information System Security Management and Assessment Program(ISMAP). These services have been audited by independent third parties to and accepted by the ISMAP program regulators to meet the security standards of the Japanese government. Evidence of ISMAP certification for Zscaler services can be found on the ISMAP cloud services list(available in Japanese only). For more information about ISMAP, please refer to the official ISMAP website.

The Zscaler Zero Trust Exchange platform has attained the highest level of certification(Level 3) under Singapore’s Multi-Tier Cloud Security(MTCS) standard(SS 584). This certification attests that the Zero Trust Exchange meets the security requirements of high-impact use cases by regulated organizations and government in Singapore, based on rigorous audits conducted by an independent MTCS certification body. Evidence of Zscaler's MTCS certification can be found on the certified cloud services list operated by Singapore's Infocomm Media Development Authority(IMDA), where the Zero Trust Exchange is listed as a certified SaaS. Further information about the MTCS scheme may be found on the same website.

Der Payment Card Industry Data Security Standard (PCI-DSS) soll vor Kreditkartenbetrug, Sicherheitsbedrohungen und Cyberrisiken im Kartenzahlungsverkehr schützen. Das PCI Security Standards Council wurde 2006 von MasterCard, American Express, Visa, JCB International und Discover Financial Services als offenes Forum für die Weiterentwicklung, Verbesserung, Archivierung, Verbreitung und Implementierung von Sicherheitsstandards für den Schutz von Kontodaten gegründet.

Als oberste Finanzaufsichtsbehörde ist die Australian Prudential Regulation Authority (APRA) für die Regulierung australischer Finanzinstitute verantwortlich. Die APRA beaufsichtigt Banken, Kreditgenossenschaften, Bausparkassen, allgemeine Versicherungs- und Rückversicherungsunternehmen, Lebensversicherungen, private Krankenversicherungen, Hilfsvereine und einen Großteil der Pensionskassen und fördert die finanzielle Sicherheit von Institutionen und die Stabilität des australischen Finanzsystems. Das Whitepaper enthält allgemeine Informationen für Finanzinstitute, die an einer Nutzung von Zscaler-Services interessiert sind.

Zscaler verpflichtet sich, in allen Geschäftsbeziehungen ethisch und integer zu handeln und in unserem Unternehmen und unserer Lieferkette eine Kultur zu fördern, die frei von modernen Formen der Sklaverei und Menschenhandel ist und in der alle Mitarbeiter mit Respekt und Würde behandelt werden.

Zscaler betreibt die größte Cloud-Sicherheitsplattform der Welt. Das Cloud-Operations-Team von Zscaler ist bestrebt, die Stabilität der Plattform auch bei naturbedingten oder von Menschen verursachten Katastrophen bzw. unvorhersehbaren Notfällen zu gewährleisten.

Supervisory Statement 2/21 (SS 2/21) regelt unter dem Titel „Outsourcing and Third Party Risk Management“ (2021) das Lieferantenmanagement von Finanzinstituten aus Großbritannien. Die Prudential Regulation Authority (PRA) gehört zur Bank of England und ist für Regulierungsaufgaben in Großbritannien zuständig. Da Zscaler kein britisches Finanzinstitut ist, unterliegt es o. g. SS 2/21 nicht unmittelbar. Die Bescheinigung dient dem Nachweis der Einhaltung einschlägiger Anforderungen im Bereich der Datensicherheit nach Kap. 7 der Norm.

Wir setzen uns dafür ein, dass unsere internationalen Kunden und Partner die spezifischen Compliance-Anforderungen der Volksrepublik China erfüllen können. Die Lizenzen/Zertifizierungen und die Unterlagen für Zscaler Clouds, die unsere Technologiepartner besitzen, erfragen Sie bitte bei Ihrem Zscaler-Kontakt/Account Manager.

Im März 2023 veröffentlichte das Securities and Exchange Board of India (SEBI) das Framework for Adoption of Cloud Services by SEBI Regulated Entities (REs). Das Framework enthält Anforderungen zu Governance, grundlegender Sicherheit sowie rechtlichen und regulatorischen Bedingungen, die regulierte Unternehmen übernehmen sollten, um ihre Cloud-Serviceanbieter effektiv zu verwalten. Zentrale Risiken und obligatorische Kontrollmaßnahmen, die regulierte Unternehmen vor der Einführung von Cloud-Computing implementieren müssen. In diesem Whitepaper finden Sie allgemeine Informationen für regulierte Unternehmen, die den Service von Zscaler nutzen möchten. Regulierte Unternehmen können diese Informationen nutzen, um das Servicerisiko im Hinblick auf die Einhaltung von Sicherheits-, Datenschutz- und Geschäftsrisiken zu bewerten und mehr darüber zu erfahren, wie Zscaler die Framework-Anforderungen erfüllt.

Die Secure by Design Principles des Vereinigten Königreichs zielen darauf ab, die Cyber-Resilienz der Regierung zu erhöhen und den Datenaustausch zwischen Organisationen zu verbessern. Die Richtlinie wurde vom Central Digital and Data Office (CDDO) und einer regierungsübergreifenden Arbeitsgruppe in Zusammenarbeit mit der Government Security Group, dem National Security Centre (NCSC) und Branchenexperten entwickelt. Als strategische Priorität, die in der Roadmap zur Transformation in eine digitale Zukunft: 2022 bis 2025 und in der Cybersicherheitsstrategie der Regierung verankert ist, hat sich Zscaler verpflichtet, seine Kunden bei der Ausrichtung an diesen Grundsätzen zu unterstützen. Das Whitepaper zu den Zscaler-Funktionen und seiner internen Ausrichtung zur Unterstützung der Secure by Design-Leitlinien Großbritanniens bietet Kunden Einblicke, wie Produkte und Dienste von Zscaler genutzt werden können, um diese Prinzipien zu erfüllen, und wie sich Zscaler intern an diesen Prinzipien ausrichtet.

The Network and Information Systems Directive (NIS2) is an update to the original NIS Directive aimed at strengthening cybersecurity across critical sectors. NIS2 broadens the scope to include more sectors and entities, such as energy, transport, banking, and healthcare, while imposing stricter security and reporting requirements. The Zscaler white paper explores how the Zscaler Zero Trust Exchange™ platform—as well as specific capabilities and tools—can help meet these new challenges. Taking advantage of Zscaler services, organizations can enhance their security practices to support NIS 2 compliance, focusing on key areas such as risk management, incident detection, response, and governance.