SOC 2 wurde vom American Institute of CPAs (AICPA) entwickelt und definiert Kriterien für die Verwaltung von Kundendaten auf der Grundlage von fünf "Vertrauensdienstprinzipien" - Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.

Im Gegensatz zum PCI DSS, der sehr starre Anforderungen stellt, sind die SOC 2-Berichte für jede Organisation einzigartig. Im Einklang mit den spezifischen Geschäftspraktiken entwickelt jede Organisation ihre eigenen Kontrollen, um einen oder mehrere der Vertrauensgrundsätze zu erfüllen.

Diese internen Berichte liefern Ihnen (sowie Aufsichtsbehörden, Geschäftspartnern, Lieferanten usw.) wichtige Informationen darüber, wie Ihr Dienstanbieter Daten verwaltet.

• Typ I beschreibt die Systeme eines Anbieters und ob sie geeignet sind, die einschlägigen Vertrauensgrundsätze zu erfüllen.
• Typ II beschreibt die operative Wirksamkeit dieser Systeme.

 

SOC2-Zertifizierung

Die SOC-2-Zertifizierung wird von externen Prüfern erteilt. Sie beurteilen anhand der vorhandenen Systeme und Prozesse, inwieweit ein Anbieter einen oder mehrere der fünf Vertrauensgrundsätze einhält.

1. Sicherheit

Das Sicherheitsprinzip bezieht sich auf den Schutz von Systemressourcen vor unberechtigtem Zugriff. Zugangskontrollen tragen dazu bei, potenziellen Systemmissbrauch, Diebstahl oder unbefugtes Entfernen von Daten, den Missbrauch von Software und die unzulässige Änderung oder Offenlegung von Informationen zu verhindern.

IT-Sicherheitstools wie Netzwerk- und Web Application Firewalls (WAFs), Zwei-Faktor-Authentifizierung und Intrusion Detection sind nützlich, um Sicherheitsverletzungen zu verhindern, die zu einem unbefugten Zugriff auf Systeme und Daten führen können.

2. Verfügbarkeit

Der Verfügbarkeitsgrundsatz bezieht sich auf die Erreichbarkeit des Systems, der Produkte oder Dienstleistungen, wie sie in einem Vertrag oder einem Service Level Agreement (SLA) festgelegt ist. Die Mindestanforderungen an die Systemverfügbarkeit werden also von beiden Parteien festgelegt.

Dieser Grundsatz bezieht sich nicht auf die Systemfunktionalität und die Benutzerfreundlichkeit, sondern auf sicherheitsbezogene Kriterien, die die Verfügbarkeit beeinflussen können. Die Überwachung der Netzleistung und -verfügbarkeit, die Ausfallsicherung von Standorten und die Behandlung von Sicherheitsvorfällen sind in diesem Zusammenhang entscheidend.

3. Integrität der Verarbeitung

Der Grundsatz der Integrität der Verarbeitung befasst sich damit, ob ein System seinen Zweck erfüllt (d.h. die richtigen Daten zum richtigen Zeitpunkt zum richtigen Preis liefert) oder nicht. Dementsprechend muss die Datenverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert sein.

Die Integrität der Verarbeitung impliziert jedoch nicht unbedingt die Integrität der Daten. Wenn Daten vor der Eingabe in das System Fehler enthalten, liegt es in der Regel nicht in der Verantwortung der verarbeitenden Stelle, diese zu erkennen. Die Überwachung der Datenverarbeitung in Verbindung mit Qualitätssicherungsverfahren kann dazu beitragen, die Integrität der Verarbeitung zu gewährleisten.

4. Vertraulichkeit

Daten gelten als vertraulich, wenn ihr Zugang und ihre Offenlegung auf eine bestimmte Gruppe von Personen oder Organisationen beschränkt ist. Beispiele hierfür sind Daten, die nur für die Mitarbeiter des Unternehmens bestimmt sind, sowie Geschäftspläne, geistiges Eigentum, interne Preislisten und andere Arten von sensiblen Finanzinformationen.

Die Verschlüsselung ist eine wichtige Maßnahme zum Schutz der Vertraulichkeit bei der Übertragung. Netzwerk- und Anwendungs-Firewalls können zusammen mit strengen Zugangskontrollen eingesetzt werden, um Informationen zu schützen, die auf Computersystemen verarbeitet oder gespeichert werden.

5. Datenschutz

Der Grundsatz des Schutzes der Privatsphäre bezieht sich auf die Erfassung, Verwendung, Aufbewahrung, Offenlegung und Beseitigung personenbezogener Daten durch das System in Übereinstimmung mit dem Datenschutzhinweis einer Organisation sowie mit den Kriterien, die in den allgemein anerkannten Datenschutzgrundsätzen (GAPP) des AICPA festgelegt sind.

Personenbezogene Informationen (PII) beziehen sich auf Details, die eine Person identifizieren können (z. B. Name, Adresse, Sozialversicherungsnummer). Einige personenbezogene Daten, die sich auf Gesundheit, Rasse, Sexualität und Religion beziehen, gelten ebenfalls als sensibel und erfordern im Allgemeinen ein zusätzliches Schutzniveau. Es müssen Kontrollen eingerichtet werden, um alle PII vor unbefugtem Zugriff zu schützen.

Die Bedeutung der SOC 2-Konformität

Auch wenn die Einhaltung von SOC 2 für SaaS- und Cloud Computing-Anbieter nicht zwingend erforderlich ist, kann ihre Bedeutung für die Sicherheit Ihrer Daten nicht hoch genug eingeschätzt werden.

Die Enterprise IT Division (Summit) unterzieht sich regelmäßigen Audits, um sicherzustellen, dass die Anforderungen der fünf Vertrauensgrundsätze erfüllt werden und dass wir weiterhin SOC-2-konform bleiben. Die Konformität erstreckt sich auf alle von uns angebotenen Dienste, einschließlich der Sicherheit von Webanwendungen, des DDoS-Schutzes, der Bereitstellung von Inhalten über unser CDN, des Lastausgleichs und der Angriffsanalyse.