Was ist SOC 2: Ein Leitfaden zur Datensicherheit und zum Verständnis der SOC 2-Compliance

Veröffentlicht: 2021-06-24

In der heutigen datengesteuerten Gesellschaft steht die Informationssicherheit bei den meisten Unternehmen im Vordergrund. Zwischen internen Bedenken und externen Schwachstellen, wie z. B. der Auslagerung von Geschäftsfunktionen an einen Drittanbieter (z. B. einen SaaS- oder Cloud-Computing-Anbieter), gibt es eine Reihe von Möglichkeiten, wie Daten gefährdet oder offengelegt werden können. Dies kann ein Unternehmen jeder Größe anfällig für Datendiebstahl, Ransomware, Malware und Lecks machen, aber größere Unternehmen sind am stärksten gefährdet.

Wenn Ihr Unternehmen sicherheitsbewusst ist und mit einer neuen App oder einem neuen Anbieter zusammenarbeiten oder einfach Ihren aktuellen Technologie-Stack neu bewerten möchte, sollten Sie die SOC 2-Konformität als Mindestanforderung in Betracht ziehen. Die Einhaltung von SOC 2 gilt als einer der strengsten und branchenweit anerkanntesten Prüfungsstandards, die vom American Institute of Certified Public Accountants (AICPA) festgelegt wurden, um Dienstanbieter bei der sicheren Verwaltung von Daten in der Cloud zu unterstützen. Es wird schnell zu einer Anforderung für SaaS-Unternehmen, die wettbewerbsfähig bleiben wollen, oder für diejenigen, die mit Kunden auf Unternehmensebene zusammenarbeiten, von denen viele ihren eigenen Sicherheits- und Compliance-Kontrollen unterliegen.

Was ist SOC2

Service Organization Control (SOC) 2 oder SOC 2 ist eine Reihe von Kriterien, die von der AICPA erstellt wurden, um die Systeme, Prozesse und Kontrollen zu bewerten, die für die nichtfinanzielle Berichterstattung und das Kundendatenmanagement eines Unternehmens vorhanden sind. Dieses Prüfungsverfahren basiert auf fünf Vertrauensdienstkriterien (TSC) und ist ein loser Rahmen, der für jedes Unternehmen, seine Geschäftspraktiken und die entsprechenden Kontrollen einzigartig ist. Die fünf TSCs sind Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Eine SOC 2-Zertifizierung wird erlangt, wenn ein externer Prüfer eine Bewertung darüber abschließen konnte, wie ein Anbieter eine oder mehrere dieser TSCs erfüllt. Sobald diese Prüfung abgeschlossen ist, erhält der Anbieter entweder einen SOC-Bericht vom Typ I oder Typ II, in dem dargelegt wird, wie seine internen Kontrollen Risiken im Zusammenhang mit den fünf Kriterien angehen.

Eine SOC 2 Typ I-Zertifizierung bedeutet, dass ein Auditor den Umfang und das Design der internen Kontrollprozesse der Organisation in Bezug auf relevante TSCs bewertet hat. Dieser Bericht bewertet die Kontrollen zu einem bestimmten Zeitpunkt, sodass eine konsistente Leistung nicht bewertet wird und ein vorbereitender Schritt zum Erreichen einer Typ-II-Zertifizierung ist. Stellen Sie sich Typ I als theoretische Grundlinie vor, bei der das Kontrolldesign eines Unternehmens untersucht und implementiert wird, aber nicht „im Straßenverkehr getestet“ wurde.

Eine SOC 2 Typ II-Zertifizierung kann erreicht werden, nachdem der Prüfer in der Lage war, die operative Wirksamkeit dieser Kontrollen über einen bestimmten Zeitraum, typischerweise sechs bis 12 Monate, zu untersuchen. Dies ist ein Schritt über dem Typ-I-Bericht, da er bestätigt, dass die Kontrollprozesse nicht nur gut konzipiert und implementiert, sondern auch konsequent durchgeführt werden. Stellen Sie sich Typ II als die reale Welt vor, wo sie richtig gebaut sind, an Ort und Stelle sind und nachweislich funktionieren und den Kunden noch mehr Vertrauen bieten.

Was macht eine SOC 2-Zertifizierung aus?

Wie bereits erwähnt, wird eine SOC 2-Zertifizierung vergeben, wenn ein externer Prüfer einen Dienstanbieter als konform mit einem oder mehreren der oben genannten relevanten TSCs eingestuft hat. Lassen Sie uns auf jedes dieser Kriterien eingehen und wie sie sich auf ein Unternehmen beziehen können:

  1. Sicherheit: Dieses Prinzip bezieht sich auf die Systemressourcen einer Organisation und darauf, wie sie vor unbefugtem Zugriff geschützt sind, entweder physisch oder logisch. Zugriffskontrollen verhindern das unbefugte Entfernen, Ändern oder Offenlegen von Informationen sowie Diebstahl, Missbrauch oder Missbrauch. Möglichkeiten, wie dies verwaltet werden kann, sind Sicherheitstools wie Zwei-Faktor-Authentifizierung, Netzwerk- und App-Firewalls und Intrusion Detection, um unbefugten Zugriff durch Sicherheitsverletzungen zu verhindern.
  2. Verfügbarkeit: Dieses Prinzip bezieht sich auf das System, den Service oder das Produkt, das für den Betrieb oder die Verwendung verfügbar ist, wie in einem Vertrag oder einer Vereinbarung zum Servicelevel (SLA) beschrieben. Dies wird sowohl vom Anbieter als auch vom Kunden als akzeptables Mindestniveau festgelegt und bezieht sich nicht auf die Benutzerfreundlichkeit oder Funktionalität eines Systems, sondern auf die Sicherheitskriterien, die sich auf den Zugriff auswirken können. Möglichkeiten, wie dies verwaltet werden kann, sind Leistungsüberwachung, Notfallwiederherstellung und Umgang mit Sicherheitsvorfällen.
  3. Verarbeitungsintegrität: Dieses Prinzip bezieht sich auf ein System, das seinen beabsichtigten Zweck erfüllt, indem es die richtigen Daten zur richtigen Zeit und zu den richtigen Kosten liefert. Es muss genau, vollständig, rechtzeitig, gültig und autorisiert sein. Dies entspricht nicht unbedingt der Datenintegrität, da Fehler vor der Eingabe in das System nicht in der Verantwortung des Auftragsverarbeiters liegen. Dies kann durch Qualitätssicherungsverfahren (QA) und Prozessüberwachung verwaltet werden.
  4. Vertraulichkeit: Dieses Prinzip basiert auf der Überlegung, dass vertrauliche Daten geschützt sind. Dies können Daten sein, deren Zugriff oder Offenlegung ausdrücklich eingeschränkt ist, wie z. B. interne Preisstrukturen, geistiges Eigentum oder sensible Finanzinformationen. Das bedeutet, dass die Übertragung Verschlüsselung beinhalten sollte und die Speicherung Zugriffskontrollen, Netzwerk-/App-Firewalls zum Schutz vor unbefugten Benutzern haben sollte.
  5. Datenschutz: Das letzte Prinzip betrifft die Erfassung, Nutzung, Aufbewahrung, Offenlegung und Entsorgung personenbezogener Daten durch das System gemäß der eigenen Datenschutzerklärung des Unternehmens sowie den Kriterien der allgemein anerkannten Datenschutzgrundsätze (GAPP) der AICPA. Dazu gehören personenbezogene Daten (PII) wie Namen, Adressen oder Sozialversicherungsnummern, die verwendet werden können, um eine Person zu identifizieren, oder andere personenbezogene Daten, die als sensibel gelten, wie z. B. Gesundheitsakten. Dies geschieht durch Zugriffskontrollen, 2-Faktor-Authentifizierung und Verschlüsselung.

Wer braucht SOC 2

Wie bereits erwähnt, ist die Einhaltung von SOC 2 einer der am weitesten verbreiteten Prüfungsstandards für Datensicherheit und -verwaltung, was bedeutet, dass viele Unternehmen einen Bericht verlangen, bevor sie den Kauf einer neuen Software oder eines neuen Dienstes genehmigen können.

Der SOC 2-Bericht zeigt potenziellen und aktuellen Kunden, dass Sie sich verpflichtet fühlen, die Interessen ihrer Kunden und ihre eigenen Interessen zu schützen. Einige Branchen, die SOC 2-konform sein sollten, sind:

  • Buchhaltung, Cloud Computing, CRMs, Datenanalyse, Dokumenten- oder Datensatzverwaltung, Finanzdienstleistungen, Personalwesen, IT-Sicherheitsmanagement, medizinische Ansprüche, SaaS-Anbieter (wie Justuno!) und mehr.

Warum SOC 2 wichtig ist

Die Einhaltung von SOC 2 ist für Dienstleister, die in stark regulierten Bereichen oder mit Kunden tätig sind, die börsennotierte Unternehmen sind, erforderlich, um als rentabler Anbieter angesehen zu werden. Dieser Bericht gibt potenziellen Kunden die Gewissheit, dass ihre Daten geschützt sind und Sie keine Möglichkeit haben, über Integrationen Schwachstellen in ihre Systeme einzuführen.

Da der Datenschutz weiter an Bedeutung gewinnt und weitere Vorschriften eingeführt werden, wird die Einhaltung von SOC 2 immer wichtiger. Nur ein paar Gründe, warum es wichtig ist:

  • Unternehmen können ohne sie Geschäfte verlieren oder umgekehrt einen Wettbewerbsvorteil gegenüber langsameren Konkurrenten erlangen.
  • Es ist billiger als eine massive Datenschutzverletzung
  • Es stärkt den Ruf und die Vertrauenswürdigkeit eines Unternehmens

SOC 2 ist jedoch nicht die einzige Art von SOC-Bericht, es gibt zwei weitere:

  • SOC 1: Berichte zu internen Kontrollen der Finanzberichterstattung, um den Benutzern zu versichern, dass ihre Finanzinformationen sicher gehandhabt und für andere Wirtschaftsprüfer generiert werden. Dies kann tatsächlich von einigen Organisationen verlangt werden, z. B. börsennotierten Unternehmen.
  • SOC 3: Berichtet über die gleichen 5 TSCs wie SOC 2, ist aber öffentlich für jeden zugänglich, der nur über ein hohes Maß an Informationen verfügt, da SOC 2 hochsensible Infrastrukturskizzen enthält.

Letztendlich hängt die Art des SOC-Berichts, nach der Sie als Unternehmen suchen sollten, von den erbrachten Dienstleistungen und dem verfolgten Kundenkreis ab.

Abschließende Gedanken

Die Einhaltung von SOC 2 ist keine Voraussetzung für SaaS-Anbieter, aber ihre Bedeutung kann nicht hoch genug eingeschätzt werden. Ob Sie ein Unternehmen sind, das seine eigenen SOC-Berichte sucht, oder ein Unternehmen, das externe Anbieter vergleichen möchte, es ist wichtig zu verstehen, was ein SOC-Audit ist, worauf Sie in den Systemen eines Unternehmens achten müssen und wie sich dies auf Ihre eigene Organisation auswirkt.

Justuno ist SOC 2 Typ II-konform in den TSCs: Sicherheit, Verfügbarkeit und Verarbeitungsintegrität, wie von Dansa, D'Arata, Soucia LLP im Jahr 2021 zertifiziert. Als SaaS-Plattform, die ständig mit personenbezogenen Daten und oft sensiblen Informationen umgeht, ist dies für Justuno wichtig dass wir die strengsten Sicherheits-, Integritäts- und Datenschutzstandards einhalten und aufrechterhalten.