Foto von Joakim Nådell auf Unsplash
Teil 2 der Tech-Blogreihe dreht sich um das Gaia-X Compliance Document (24.11 Release). Hier brechen wir die technischen Inhalte auf ein einfacheres Level herunter und geben einen kompakten Überblick über die Inhalte. Die Änderungen zur Version (24.06 Release) können hier eingesehen werden. Das war der erste Teil unserer Blogreihe zum Architecture Document.
1. tl;dr
Gaia-X Compliance prüft die Einhaltung von Standards, Zertifizierungen und Verhaltenskodizes durch technische Mittel. Es gibt vier Compliance-Stufen; höhere Stufen verlangen strengere Kriterien. Der Prozess beinhaltet Selbsterklärungen oder externe Zertifizierungen durch unabhängige Stellen. Wichtige Themen sind Datenschutz, Cybersicherheit, Portabilität, europäische Kontrolle und Nachhaltigkeit. Gaia-X entwickelt ein System zur kontinuierlichen Konformitätsbewertung, das regelmäßig aktualisiert wird. Das maschinenlesbare Compliance-Label bestätigt die Einhaltung der Standards.
2. Scope
Gaia-X prüft die Compliance durch technische Mittel, Standards, Zertifizierungen und Verhaltenskodizes. Fehlen zertifizierte Mittel, entwickelt Gaia-X neue Methoden.
2.1 Designprinzipien für Gaia-X Compliance und Labels
Gaia-X-Compliance umfasst vier Stufen. Das Standardschema bildet die Basis für drei weitere Stufen, die jeweils zusätzliche Kriterien erfordern. Insgesamt gibt es 63 verschiedene Kriterien. Bestehende Normen und Standards werden genutzt, bei Bedarf entstehen neue Prozesse. Jede Stufe bietet automatisierte und manuelle Validierungsmethoden.
Abb.: Gaia-X Compliance Schemata, Quelle: Gaia-X European Association for Data and Cloud AISBL
2.2 Proof of Concept / Bootstrapping
Kriterien müssen stets überprüfbar sein. Gaia-X entwickelt ein Konformitätsbewertungsprogramm, dass die Nutzung bestehender Standards überprüft. Gaia-X behält sich vor, die Kriterien bei Unklarheiten oder mangelnder Vergleichbarkeit anzupassen. Gaia-X passt Kriterien bei Unklarheiten an und entwickelt das Programm kontinuierlich weiter, um Konsistenz und Vergleichbarkeit zu gewährleisten.
2.3 Erweiterbarkeit der Gaia-X Compliance
Gaia-X-Compliance gilt für alle Services im Gaia-X-Ökosystem. Teilnehmer, Serviceangebote und Ressourcen erhalten entsprechende Credentials. Das Schema kann durch ein Ökosystem, wie im Architecture Document beschrieben, erweitert werden.
2.4 Gültigkeitsdauer
Das Gaia-X Compliance Dokument wird spätestens alle 18 Monate aktualisiert. Für die Anpassung an mögliche neue Kriterien und Anforderungen gilt eine Übergangsfrist von 12 Monaten. Diese Übergangsfrist ermöglicht eine entsprechende Anpassung für Betroffene.
3. Gaia-X-Compliance-Kriterien für Cloud-Services
Compliance-Bescheinigungen erfolgen durch Erklärungen oder Zertifizierungen:
Selbsterklärungen: Unternehmen validieren intern durch den Gaia-X-Compliance-Service.
Zertifizierung: Externe, unabhängige Stellen (Conformity Assessment Bodies) prüfen die Einhaltung.
Je nach Stufe genügt eine Selbsterklärung oder es ist ein externes und unabhängiges Zertifikat notwendig.
3.1 Contractual Framework
Verträge zwischen Kunden und Anbietern unterliegen grundlegenden Anforderungen. Gaia-X bewertet interne Prozesse statt einzelner Verträge. Die Kriterien für Governance, materielle Anforderungen und Transparenz stehen im Compliance Document.
Beispiel Kriterium P1.2.3: Der Provider muss sicherstellen, dass es Bestimmungen für Änderungen gleich welcher Art, gibt. Hier reicht für alle Level eine Selbsterklärung.
3.2 Datenschutz
Die Verarbeitung personenbezogener Daten folgt der DSGVO, insbesondere Artikel 28 zur Auftragsverarbeitung.
Kriterium P2.1.2: Der Provider muss sicherstellen, dass es Bestimmungen für Änderungen, gleich welcher Art, gibt. Für das Standard Level und Level 1 reicht hier eine Selbsterklärung aus, für Level 2/3 benötigt es eine Zertifizierung.
3.3 Cybersecurity
Allgemeine Sicherheitsmaßnahmen…
…sind unabhängig von Anbieter, Typ, Zweck oder Datenkategorie des Serviceangebotes und beziehen sich auf die gesamte Organisation des Anbieters.
… gelten als Orientierung für die Sicherheitskriterien und werden bei dessen Abschluss aktualisiert.
Beispiel Kriterium P3.1.10: Sicherheit der Kommunikation: Gewährleistung des Schutzes von Informationen in Netzen und den entsprechenden Informationsverarbeitungssystemen. Selbsterklärung für Standard-Level und Level 1, externe und unabhängige Zertifizierung für Level 2 und 3.
3.4 Portabilität
Datenportabilität richtet sich nach Artikel 6 der Verordnung über den freien Verkehr nicht personenbezogener Daten und gilt für jedes Serviceangebot.
Beispielsweise müssen für Compliance Level 3 alle der hier genannten Kriterien von einem externen und unabhängigen Zertifikat bestätigt sein.
3.5 Europäische Kontrolle
Je nach Compliance-Level variieren die für Verarbeitung, Speicherung und Zugang zu Kundendaten sowie den Hauptsitz des Anbieters.
Kriterium P5.1.1: Für Level 2 Konformität muss der Serviceanbieter die Möglichkeit anbieten, dass alle Kundendaten ausschließlich in der EU/EEA verarbeitet und gespeichert werden.
3.6 Nachhaltigkeit
Kriterien für die Nachhaltigkeit betreffen beispielsweise den CO2-Fußabdruck, Wasserverbrauch und die Einhaltung von Energiestandards.
4. Gaia-X Compliance-Kriterien für Datenaustauschdienste
Die Compliance-Kriterien für Datenaustauschdienste umfassen in Bezug auf die Datenanbieter, Datenprodukte und Datennutzer und sollen Vertrauen und Compliance im Gaia-X-Ökosystem sichern.
Für jedes Datenprodukt muss der Datenproduktanbieter über die rechtliche Genehmigung des/der Datenproduzenten zur Aufnahme der Daten in das Datenprodukt verfügen. Für das Standard-Level und Level 1 reicht hier eine Selbsterklärung, für Level 2 und 3 braucht es ein externes und unabhängiges Zertifikat.
5. Gaia-X Trust Anchors
Akkreditierte Stellen der Gaia-X Association stellen Bescheinigungen für spezifische Ansprüche aus. Jeder Trust Anchor hat einen definierten Attestierungsbereich.
5.1 Trust Anchors
Rolle des Unterzeichners:
In der Gaia-X-Ontologie kann ein Kriterium vorschreiben, dass ein Attribut vom selben Aussteller eines anderen Attributes signiert werden muss.
Trust Service Provider (TSP):
Alle Ansprüche müssen mit kryptographischem Material signiert werden, das auf einen Trust Anchor (meist TSP) zurückgeführt werden kann.
5. 2 Vertrauenswürdige Datenquellen
Kann ein Trust Anchor Ansprüche nicht signieren, akkreditiert Gaia-X Notare, die „nicht maschinenlesbare“ Nachweise in „maschinenlesbare“ umwandeln.
5. 3 Conformity Assessment Bodies (CABs), “Equivalence CAB”, “Gap CAB”
Gaia-X akzeptiert alle akkreditierten Organisationen. „Äquivalenz-CABs“ und „Lücken-CABs“ stellen in speziellen Fällen Zertifizierungen aus. Ein eigener Prozess genehmigt „Lücken-CABs“.
6. Liste der Gaia-X Conformity Assessment Bodies
Gaia-X akzeptiert verschiedene CABs für unterschiedliche Standards. Für jeden zu überprüfenden Standard gibt es eine Liste an zugelassenen Überwachungsstellen. Die Anzahl der zugelassenen CABs variiert je nach Standard.
7. Gaia-X Label Format
Im Falle der Verifizierung und Validierung eines Compliance Levels (siehe Punkt 2.2) stellt Gaia-X ein maschinenlesbares, strukturiertes und signiertes Dokument aus. Dieses Label belegt die Einhaltung der Gaia-X-Standards.
8. Vollmacht
Gaia-X bietet ein flexibles Vollmachtsformat zur Rechtedelegation. Die Vollmacht funktioniert als W3C Verifiable Credential und ermöglicht eine überprüfbare Rechteübertragung. Das JSON-Schema ist im Gaia-X-Register hinterlegt.
9. Wie man ein Gaia-X-kompatibler Nutzer wird
Mit drei Voraussetzungen und sieben Schritten erreicht man Gaia-X-Compliance. Das Gaia-X Verifiable Credential belegt die Konformität des Teilnehmers oder seiner Dienste.