Was ist SOC 2-Compliance?

SOC 2 ist ein freiwilliger Compliance-Standard für Dienstleistungsorganisationen, der vom American Institute of CPAs (AICPA) entwickelt wurde und festlegt, wie Organisationen Kundendaten verwalten sollten. Der Standard basiert auf den folgenden Kriterien für Vertrauensdienste: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz. Ein SOC-2-Bericht wird auf die individuellen Bedürfnisse jeder Organisation zugeschnitten. Je nach ihren spezifischen Geschäftspraktiken kann jede Organisation Kontrollmechanismen entwickeln, die einem oder mehreren Vertrauensprinzipien folgen. Diese internen Berichte liefern Organisationen und ihren Aufsichtsbehörden, Geschäftspartnern und Lieferanten wichtige Informationen darüber, wie die Organisation ihre Daten verwaltet. Es gibt zwei Arten von SOC-2-Berichten:

  • Typ I beschreibt die Systeme der Organisation und ob das Systemdesign den relevanten Vertrauensprinzipien entspricht.
  • Typ II beschreibt die Betriebseffizienz dieser Systeme.

Kostenlose CSPM-Testversion Laden Sie das Datenblatt herunter

SOC-2- Compliance: Die Grundlagen und eine 4-stufige Checkliste Compliance

Warum ist Compliance von SOC 2 wichtig?

Compliance der SOC-2-Anforderungen zeigt an, dass eine Organisation ein hohes Maß an Informationssicherheit aufrechterhält. Strenge Compliance-Anforderungen (überprüft durch Vor-Ort-Audits) können dazu beitragen, dass sensible Informationen verantwortungsvoll behandelt werden.

 

Die Einhaltung von SOC 2 bietet folgende Vorteile:

  • Verbesserte Informationssicherheitspraktiken – durch die Anwendung der SOC 2-Richtlinien kann sich die Organisation besser gegen Cyberangriffe verteidigen und Sicherheitslücken verhindern.
  • Ein Wettbewerbsvorteil – denn Kunden bevorzugen die Zusammenarbeit mit Dienstleistern, die nachweislich über solide Informationssicherheitspraktiken verfügen, insbesondere im Bereich IT- und Cloud-Dienste.

Wer kann ein SOC-Audit durchführen?

SOC-Audits dürfen nur von unabhängigen Wirtschaftsprüfern (Certified Public Accountants) oder Wirtschaftsprüfungsgesellschaften durchgeführt werden.

 

Das AICPA hat Berufsstandards festgelegt, die die Arbeit von SOC-Auditoren regeln sollen. Darüber hinaus müssen bestimmte Richtlinien in Bezug auf die Planung, Durchführung und Überwachung der Prüfung befolgt werden. Alle AICPA-Prüfungen müssen einer Peer-Review unterzogen werden.

 

Organisationen von Wirtschaftsprüfern können Nicht-Wirtschaftsprüfer mit entsprechenden IT- und Sicherheitskenntnissen zur Vorbereitung von SOC-Audits einstellen, die Abschlussberichte müssen jedoch vom Wirtschaftsprüfer erstellt und offengelegt werden.

 

Wenn die vom Wirtschaftsprüfer durchgeführte SOC-Prüfung erfolgreich ist, kann die Dienstleistungsorganisation das AICPA-Logo auf ihrer Website hinzufügen.

SOC-2-Sicherheitskriterium: Eine 4-Punkte-Checkliste

Sicherheit ist die Grundlage der SOC 2-Konformität und ein allgemeiner Standard, der allen fünf Trust Service Criteria gemeinsam ist.

 

Die Sicherheitsprinzipien von SOC 2 konzentrieren sich auf die Verhinderung der unbefugten Nutzung von Vermögenswerten und Daten, die von der Organisation verwaltet werden. Dieses Prinzip verpflichtet Organisationen zur Implementierung von Zugriffskontrollen, um böswillige Angriffe, unbefugtes Löschen von Daten, Missbrauch, unbefugte Änderung oder Offenlegung von Unternehmensinformationen zu verhindern.

 

Hier ist eine grundlegende Checkliste zur SOC-2-Konformität, die Kontrollen zur Abdeckung von Sicherheitsstandards umfasst:

  1. Zugangskontrollen– logische und physische Beschränkungen von Vermögenswerten, um den Zugriff durch unbefugtes Personal zu verhindern.
  2. Änderungsmanagement– ein kontrollierter Prozess zur Steuerung von Änderungen an IT-Systemen und Methoden zur Verhinderung unautorisierter Änderungen.
  3. Systembetrieb– Kontrollmechanismen, die laufende Abläufe überwachen, Abweichungen von den organisatorischen Verfahren erkennen und beheben können.
  4. Risikominderung– Methoden und Aktivitäten, die es der Organisation ermöglichen, Risiken zu identifizieren, darauf zu reagieren und sie zu mindern sowie alle sich daraus ergebenden Geschäftsrisiken zu bewältigen.

 

Beachten Sie, dass die SOC-2-Kriterien nicht genau vorschreiben, was eine Organisation tun sollte – sie sind auslegungsbedürftig. Die Unternehmen sind dafür verantwortlich, Kontrollmaßnahmen auszuwählen und umzusetzen, die jedes Prinzip abdecken.

SOC-2- Compliance : Weitere Kriterien

Sicherheit umfasst die Grundlagen. Wenn Ihre Organisation jedoch im Finanz- oder Bankwesen tätig ist oder in einer Branche, in der Datenschutz und Vertraulichkeit von größter Bedeutung sind, müssen Sie möglicherweise höhere Compliance-Standards erfüllen.

 

Kunden bevorzugen Dienstleister, die alle fünf SOC-2-Prinzipien vollständig einhalten. Dies beweist, dass sich Ihre Organisation stark für Informationssicherheitspraktiken engagiert.

 

Zusätzlich zu den grundlegenden Sicherheitsprinzipien erfahren Sie hier, wie Sie weitere SOC-2-Prinzipien einhalten können:

  • Verfügbarkeit– Kann der Kunde gemäß den vereinbarten Nutzungsbedingungen und Service-Levels auf das System zugreifen?
  • Verarbeitungsintegrität– wenn das Unternehmen Finanz- oder E-Commerce-Transaktionen anbietet, sollte der Prüfbericht administrative Details enthalten, die dem Schutz der Transaktion dienen. Ist die Übertragung beispielsweise verschlüsselt? Wenn das Unternehmen IT-Dienstleistungen wie Hosting und Datenspeicherung anbietet, wie wird die Datenintegrität innerhalb dieser Dienstleistungen gewährleistet?
  • Vertraulichkeit– Gibt es Einschränkungen hinsichtlich der Weitergabe von Daten? Wenn Ihr Unternehmen beispielsweise über spezifische Anweisungen für die Verarbeitung personenbezogener Daten (PII) oder geschützter Gesundheitsdaten (PHI) verfügt, sollten diese in das Prüfdokument aufgenommen werden. Das Dokument sollte die Methoden und Verfahren zur Datenspeicherung, -übertragung und zum Datenzugriff spezifizieren, um die Einhaltung der Datenschutzrichtlinien, wie z. B. der Mitarbeiterrichtlinien, zu gewährleisten.
  • Datenschutz– wie sammelt und nutzt das Unternehmen Kundendaten? Die Datenschutzrichtlinien des Unternehmens müssen mit den tatsächlichen Betriebsabläufen übereinstimmen. Wenn ein Unternehmen beispielsweise behauptet, seine Kunden jedes Mal zu warnen, wenn es Daten erhebt, muss das Prüfdokument genau beschreiben, wie die Warnungen auf der Unternehmenswebsite oder einem anderen Kanal bereitgestellt werden. Der Umgang mit personenbezogenen Daten muss mindestens dem Privacy Management Framework (PMF) des AICPA entsprechen.

SOC 1 vs SOC 2

SOC 1 und SOC 2 sind zwei unterschiedliche Compliance-Standards mit unterschiedlichen Zielen, die beide von der AICPA reguliert werden. SOC 2 ist kein „Upgrade“ von SOC 1. Die folgende Tabelle erläutert die Unterschiede zwischen SOC 1 und SOC 2.

SOC 1 SOC 2
Zweck Unterstützt eine Dienstleistungsorganisation bei der Berichterstattung über interne Kontrollen im Zusammenhang mit den Finanzberichten ihrer Kunden. Unterstützt eine Dienstleistungsorganisation bei der Berichterstattung über interne Kontrollen zum Schutz von Kundendaten, die für die fünf Trust Services Criteria relevant sind.
Kontrollziele Ein SOC-1-Audit umfasst die Verarbeitung und den Schutz von Kundendaten in Geschäfts- und IT-Prozessen. Ein SOC-2-Audit umfasst alle Kombinationen der fünf Prinzipien. Manche Dienstleistungsorganisationen beschäftigen sich beispielsweise mit Sicherheit und Verfügbarkeit, während andere aufgrund der Art ihrer Geschäftstätigkeit und regulatorischer Anforderungen alle fünf Prinzipien anwenden.
Prüfung beabsichtigt für Der Wirtschaftsprüfer der Manager der geprüften Organisation, externe Prüfer, Nutzer (Kunden der geprüften Dienstleistungsorganisation) und Wirtschaftsprüfer, die deren Jahresabschlüsse prüfen. Führungskräfte, Geschäftspartner, potenzielle Kunden, Compliance-Beauftragte und externe Prüfer der geprüften Organisation.
Audit verwendet für Hilft den Anwendern, die Auswirkungen der Kontrollmechanismen von Dienstleistungsorganisationen auf ihre Finanzberichte zu verstehen. Überwachung von Serviceorganisationen, Lieferantenmanagementplänen, internen Corporate-Governance- und Risikomanagementprozessen sowie der regulatorischen Aufsicht.

SOC 2- Compliance mit Check Point

Viele Produkte von Check Point erfüllen die Kriterien für vertrauenswürdige Dienste gemäß SOC 2 Compliance, wie zum Beispiel Check Point Posture Management, Check Point Connect, Workspace Security Products, Check Point Portal und mehr. Die vollständige Liste finden Sie hier .