pluscloud open

Daten in zertifizierten Rechenzentren in Deutschland (u.a. Köln/CGN3, Düsseldorf/DUS6, Hamburg/HAM5/HAM6; Betrieb/Support u.a. Dresden) im Scope der ISO/IEC 27001:2022. (stated/partial)

Metadaten verbleiben an plusserver Standorten (DE); Basiskriterien zu Logging/Monitoring/Metadata Management werden im Rahmen BSI C5 geprüft (IKS-Kontrollen). Scope je Service im Auditbericht belegt (stated/partial).

DE-only Datacenter; logische Mandantentrennung über OpenStack/Cloud-Controls (Details je Service nicht öffentlich vollständig belegt) → partial.

EU/DE-basierter Betrieb & Support; Support-Standort Dresden im Scope von ISO 27001/ISO 9001/ISO 50001 (Zertifikats-Anlagen). (stated/verified via Zertifikatscope)

Keine externen Abhängigkeiten laut Anbieter: DNS/PKI/Identity/Monitoring werden selbst betrieben/hosted (Open Source wo möglich); Kunden können eigene Services integrieren. (stated)

plusserver GmbH (DE) – Eigentuer/Investor: BC Partners (UK) (stated).

Ultimate Parent: BC Partners (UK). Nicht EU-owned; kein US-Parent – US-spezifische Durchgriffsrisiken geringer, aber Non‑EU Governance berücksichtigen.

plusserver GmbH (DE): Betrieb in DE, Vertrags-/AVV-Setup (stated).

Kein unabhängiges Advisory Board dokumentiert.

Keine spezifische Dokumentation zu EU Root CA / Trust Services.

BSI C5 Typ II (Prüfbericht-Download erfordert Disclaimer-Bestätigung); ISAE 3402 Typ II wird synonym zu SOC (internationales Pendant) genutzt. (verified/partial – öffentliche Einsicht eingeschränkt)

ISO/IEC 27001:2022 vorhanden (gültig laut Zertifikat 14.10.2025–31.05.2026; inkl. Statement of Applicability/SoA). Scope umfasst Cloud-/Hosting-Services inkl. genutzter DC-Kapazitäten & Betrieb/Support-Standorte. (verified)

IT‑Grundschutz: laut Anbieter 'bestanden', BSI‑Zertifikat noch ausstehend → derzeit kein öffentliches Zertifikat. (partial/in progress)

N/A.

OpenStack/SCS-basiert, API & IaC; S3/Swift Kompatibilitaet (stated).

Fokus OpenStack IaaS (+ modulare Add-ons); begrenztere PaaS-Tiefe (partial).

Mehrere Standorte in DE (u.a. Köln/CGN3, Düsseldorf/DUS6, Hamburg/HAM5/HAM6; Betrieb/Support u.a. Dresden) – georedundante Setups möglich je Service. (verified/partial)

Evidence Pack: Zertifikate (ISO 27001/9001/50001) + PCI DSS öffentlich; BSI C5/ISAE 3402 & IDW PH 9.860.1 Reports via Download mit Disclaimer-Bestätigung. (verified/partial)

Guardrails: Secure-by-default (aktuelle OS/Images), Best-Practice Konfigurationen; SCS-Standard-Compliance für pluscloud open angestrebt; Teile durch BSI C5 belegbar. (partial)

Default Deny nicht durchgängig erzwingbar; optional IP-Allowlisting bereits bei Bestellung/Kundenportal möglich; zusätzlich Security-Onboarding. (partial)

Unabhängige Verifikation: BSI C5 Typ II (über Zeitraum), ISO 27001/9001/50001; IKS-Kontrollen. (verified/partial)

Blackbox-Exposure reduziert: Zugriff auf kundenverschlüsselte Daten ausgeschlossen; kein unmittelbarer Zugriff auf kundenseitig verwaltete Systeme; Break-Glass/Privileged Access organisatorisch geregelt (Managed-Optionen erfordern Admin-Zugriff). Confidential Computing derzeit nicht. (partial)

Operator Access Exclusion: Zugriff auf kundenverschlüsselte Daten ausgeschlossen; ohne Confidential Computing (kein technischer Ausschluss auf Workload-Ebene), Managed-Optionen mit Admin-Zugriff. (partial)

Steuerung via IaC oder GUI; Self-Service via API (stated).

OpenStack/K8s Fokus; DevOps Toolchain teils extern (partial).

Observability: Integration eigener Monitoring/Logging-Services möglich; plusserver betreibt Basisplattform selbst (Details je Produkt öffentlich begrenzt). (partial)

Quotas/Limits dokumentiert (u.a. in plusserver Docs für OpenStack/K8s/PSKE); Quota-Erhöhung über Support-Ticket beschrieben (partial→ok).

Referenzarchitekturen nicht breit oeffentlich → TBD.

Security-Services als Bausteine verfügbar (z.B. SOC/EDR, DDoS/WAF, NGFW, Workload Protection/IAM) – kein durchgängig „unified“ Security Stack out-of-the-box belegt. (partial)

Maßnahmen zur Energieeffizienz beschrieben, aber keine PUE-KPIs/Targets veröffentlicht. (Quelle: plusserver Nachhaltigkeit)

100% Naturstrom + CO₂-Einsparung genannt; kein vollständiges Carbon/Wasser-Reporting (Scopes/WUE) in Quelle. (Quelle: plusserver Nachhaltigkeit)