Was ist SOC 2 Typ-II-Compliance?

Was ist SOC 2 Type II Compliance?

SOC 2 Typ-II-Compliance ist ein Framework für Serviceorganisationen, das angemessene Kontrollen für Datensicherheitskriterien demonstriert.

In der heutigen serviceorientierten Landschaft gibt es die Daten eines Unternehmens nur selten in seiner eigenen IT-Umgebung. Diese Daten werden häufig von vielen Anbietern und Dienstleistern genutzt. Ein großer Teil der Entscheidung, mit welchem Anbieter man diesen Daten vertrauen möchte, wird mithilfe von Zertifizierungen getroffen, die die Einhaltung bestimmter Standards für Sicherheit und Vertraulichkeit nachweisen können. 

Compliance-Zertifizierungen fallen unter Frameworks und werden von externen Auditoren überprüft. Sie können Kunden einen Genehmigungsstempel geben, dass ein Anbieter über alle erforderlichen Kontrollen und Schutzmaßnahmen verfügt, um sicherzustellen, dass seine Daten so sicher wie möglich sind. Eines dieser Frameworks wird als „Service Organization Control“-Framework (SOC) bezeichnet.

Wenn Sie ein Anbieter oder Serviceprovider sind, werden Sie möglicherweise gebeten, SOC-2-Daten-Compliance-Berichte bereitzustellen. Wenn Sie Kunde sind, können Sie eine SOC-Zertifizierung anfordern, um zu überprüfen, ob ein Anbieter oder Anbieter über die richtigen Kontrollen für die Daten-Compliance verfügt. 

Im Folgenden erhalten Sie einen genaueren Blick auf diesen serviceanbieterspezifischen Compliance-Standard, was er beinhaltet und warum er wichtig ist.

Was ist SOC 2 Typ II?

Überblick über SOC 2 Typ II

Daten-Compliance-Zertifizierungen sind oft als Voraussetzung oder vertragliche Verpflichtung für eine Beauftragung erforderlich. SOC 2 Typ II-Compliance wurde speziell für Serviceorganisationen entwickelt. SOC 2 Typ II enthält Grundsätze für Datensicherheit, Verfügbarkeit, Vertraulichkeit, Datenschutz und Integrität der Transaktionsverarbeitung. Typ II gibt an, dass das Audit über einen längeren Zeitraum, oft sechs Monate, durchgeführt wurde. 

Diese Standards sind entscheidend, um erstklassige Informationssicherheit (InfoSec) in den IT-Systemen von Anbietern zu gewährleisten und Anbieter-Kundenverträge einzuhalten. 

Wie viele SOC-Kriterien gibt es?

Es gibt fünf Servicekriterien oder Vertrauensprinzipien in einem SOC-2-Compliance-Bericht. Sicherheit ist obligatorisch, während die anderen Kriterien branchen- oder geschäftsspezifischer sein können. Jedes dieser Elemente löst Anforderungen für verschiedene Arten von Kontrollen aus.

• Sicherheit: Dies ist die wichtigste grundlegende Servicekategorie, die für die SOC-2-Compliance erforderlich ist.
• Verfügbarkeit: Dies ist wichtig für Dienstleister, die strenge SLAs für Software-as-a-Service- (SaaS), Platform-as-a-Service- (PaaS) oder Infrastructure-as-a-Service-Produkte (IaaS) einhalten müssen. Wenn der IT-Service für Kunden als geschäftskritisch angesehen wird, ist die Datenverfügbarkeit entscheidend.
• Verarbeitungsintegrität: Dies gilt für Services, die Transaktionen für Finanz- oder E-Commerce-Kunden verarbeiten.
• Vertraulichkeit: Wenn die Daten, die Sie für Kunden verarbeiten, sensibel sind (z. B. geistiges Eigentum), ist dies eine wichtige Säule Ihrer SOC 2 Typ II-Compliance.
• Datenschutz: Dieses Prinzip ist nicht mit der oben genannten Vertraulichkeit zu verwechseln, sondern gilt speziell für persönlich identifizierbare Informationen (PII), wie z. B. Krankenakten.

Was wird in einem SOC 2 Typ II bewertet?

In einem SOC 2-Compliance-Audit vom Typ II werden Richtlinien und Kontrollen, die darauf ausgelegt sind, die oben genannten Servicekriterien zu erfüllen, auf ihre Wirksamkeit bewertet, in der Regel über einen Zeitraum von sechs Monaten. Sind die Kontrollen für die Kriterien geeignet? Ist Ihr Unternehmen bei der Durchführung konsistent?

Was ist eine SOC-2-Typ-II-Zertifizierung?

Die SOC 2 Typ II-Zertifizierung ist der Nachweis eines externen Auditors, dass die Richtlinien eines Unternehmens die Prüfung auf SOC 2 Typ II-Compliance bestanden haben.

Was sind die Vorteile von SOC 2 Typ II Compliance?

Die Vorteile von SOC 2 Typ II bestehen darin, den allgemeinen Zustand der Datensicherheit und des Datenschutzes innerhalb eines Unternehmens und bei seinen Anbietern zu verbessern. Für Dienstleister kann die SOC 2 Typ II-Zertifizierung dazu beitragen, die Wahrscheinlichkeit zu erhöhen, eine Partnerschaft oder einen Kunden im Vergleich zur Konkurrenz zu gewinnen. Für Kunden ist es ein nachweislicher Nachweis, dass Ihre Daten mit den richtigen Kontrollen und Schutzmaßnahmen in guten Händen sind.

Wer muss SOC 2 Typ II Compliance haben?

Jeder Anbieter, der Kundendaten oder sensible Informationen verarbeitet, die vertragliche Verpflichtungen mit einem Kunden für die SOC 2 Typ II-Compliance erfüllen möchten, kann von der Zertifizierung profitieren.

SOC 2 im Vergleich zu anderen Compliance-Zertifizierungen

Unterschiede zwischen SOC 1 und SOC 2

Was ist der Unterschied zwischen SOC 1 und SOC 2? SOC 1 konzentriert sich nicht auf Sicherheitskriterien, sondern auf Finanzberichterstattungskriterien. SOC 1 wurde auch für Serviceorganisationen entwickelt, insbesondere aber für solche, an die bestimmte Finanzfunktionen ausgelagert wurden. Beachten Sie, dass SOC-1-Audits in der Regel mit den Geschäftsjahren übereinstimmen und fünf Servicekriterien enthalten, einschließlich Kontrollumgebung, Risikobewertung, Kontrollaktivitäten, Kommunikation und Informationen sowie Überwachung. 

Unterschiede zwischen SOC 2 und ISO-27001

Sowohl SOC 2 Typ II als auch ISO-27001 sind Frameworks, die sich auf das Management von InfoSec konzentrieren. Während SOC 2 Typ II die Gesamteffektivität von Sicherheitskontrollen bewertet, ist ISO-27001 ein sehr präskriptiver, systematischer Ansatz für Informationssicherheitsmanagementsysteme. Der Hauptfokus von ISO-27001 liegt auf internen Systemen und Kontrollen und ist ein Standard, während SOC 2 Typ II ein Rahmenwerk für die Durchführung eines Audits ist.

SOC 2 Typ II vs. PCI DSS, HIPAA, DSGVO 

Es gibt eine Reihe von Compliance-Frameworks – wie unterscheiden sie sich und welche Organisationen benötigen sie?

SOC 2 Typ II und Payment Card Industry Data Security Standard (PCI DSS) sind zwei sehr unterschiedliche Compliance-Frameworks mit wenig bis keiner Überschneidung. PCI DSS bezieht sich speziell auf Kontrollen zur Handhabung von Kreditkarteninformationen und Transaktionen. PCI DSS gilt auch nur für Finanzdienstleister, während SOC 2 Typ II ein breiteres Branchenspektrum abdeckt. Schließlich wird PCI DSS jährlich und nicht von einem CPA-Unternehmen durchgeführt.

SOC 2 Typ II und der Health Insurance Portability and Accountability Act (HIPAA) unterscheiden sich auch im Fokusbereich der zu schützenden Daten. HIPAA gilt nur für Gesundheitsorganisationen und Dienstleister, die Patientendaten verarbeiten (und gesetzlich vorgeschrieben sind), während SOC 2 Typ II Gesundheitsorganisationen umfassen kann, aber für sie nicht obligatorisch ist. Während SOC 2 Typ II nicht so präskriptiv ist, wie die Servicekriterien erfüllt werden, ist HIPAA mit sehr spezifischen Standards, die für die Compliance erfüllt werden müssen.

SOC 2 Typ II und die Datenschutz-Grundverordnung (DSGVO) sind beide Frameworks, die sich mit Datensicherheit und Datenschutz befassen. Das DSGVO-Framework gilt nur für Organisationen, die personenbezogene Daten von Einwohnern innerhalb der Europäischen Union verarbeiten, und konzentriert sich auf Datenschutz und Datenschutzrechte. Dies erfordert Kontrollen in Bezug auf die Transparenz der Art und Weise, wie Daten verwendet werden, das „Recht auf Vergessenwerden“ und die Datenminimierung sowie die Zustimmung. Während SOC 2 Typ II nicht obligatorisch ist, ist die DSGVO und die Nichteinhaltung kann rechtliche Folgen und Bußgelder nach sich ziehen.

Vorbereitung auf SOC-2-Typ-II-Bewertung

Die Vorbereitung auf ein SOC 2-Typ-II-Audit ist eine Teamarbeit und kann einige Stunden dauern, bis das Team loslegen kann. Die Entscheidung, SOC 2 Typ II-Compliance zu implementieren, kann auch eine angemessene Menge an Zustimmung und Unterstützung intern erfordern, um die Dinge in Gang zu bringen und sie langfristig in Prozesse zu integrieren. 

Schritte zur Vorbereitung auf SOC 2 Typ-II-Bewertung

1. Erfahren Sie, „warum“ hinter Ihrer Anfrage nach SOC 2-Compliance steckt. Ganz gleich, ob es sich um eine Kundenanfrage oder einen anderen Grund handelt, dies hilft Ihnen dabei, Ihre Fristen für die Compliance-Zertifizierung, den Umfang der damit verbundenen Arbeit und vieles mehr zu verstehen. Dies wird Ihnen auch dabei helfen, bestehende Richtlinien zu identifizieren, die Ihnen helfen können und die dem Auditor auch Kontext und Umfang bieten.
2. Sammeln Sie das richtige Team von Personen in Ihrem Unternehmen, um sie in SOC 2 Typ II einzubinden. Abhängig von Ihrem Zeitrahmen, um SOC 2 Typ II in Gang zu setzen, benötigen Sie möglicherweise mehr Personen, um bestimmte Aufgaben, die Erfassung von Beweisen und die Entwicklung zu besprechen. Diese Gruppe kann Folgendes umfassen:
   
   • Führungskräfte wie CEO, CTO, CISO und andere Führungskräfte der Führungsebene
   • DevOps
   • Human Resources, da Mitarbeiter in den Anwendungsbereich von Audits kommen können
   • InfoSec
3. InfoSecPrepsieren Sie, um den Umfang bereitzustellen. Seien Sie darauf vorbereitet, datenspezifische Fragen zu beantworten, z. B. wo Ihr Service gehostet wird (Public Cloud, lokal), Kapazitätsprognosen, Bürostandorte (ist es eine Zero-Trust-Umgebung oder müssen Server auf die Whitelist gesetzt werden?), ob Sie sensible Daten speichern usw.

Zusammenarbeit mit externen Auditoren für SOC 2 Typ II Compliance

Das SOC-2-Framework wurde vom American Institute of Certified Public Accountants (AICPA) entwickelt und ein Audit muss von einem CPA-Unternehmen durchgeführt werden.

Wenn Sie ein Unternehmen bewerten, das Sie auf die Einhaltung von SOC 2 Typ II prüft, sollten Sie Qualität und Erfahrung zusammen mit den Kosten berücksichtigen und wissen, ob es für Wochen oder Monate gut geeignet ist, täglich mit Ihrem Team zusammenzuarbeiten – und langfristiger Berater und Partner für Ihr Unternehmen werden.

Fragen, die Sie stellen sollten: Haben sie eine großartige Erfolgsbilanz bei erfolgreichen Audits? Verfügt das Unternehmen über Audit-Erfahrung speziell für Ihre Branche? Sie können gerne um Peer Reviews, die erforderliche Prüfung von Dokumenten durch Dritte für Auditoren und Empfehlungen bitten.

Ziehen Sie auch in Betracht, einen Auditor so früh wie möglich in den Prozess einzubeziehen, da er Ihnen dabei helfen kann, das Projekt zu planen und die richtigen Ressourcen intern auszurichten, um Ihre Frist einzuhalten (falls Sie einen haben).

• Sobald Sie den Auditor ausgewählt haben, gehen Sie wie folgt vor: 
• Eine Scoping- und Entdeckungsübung, um Erwartungen zu setzen
• Eine Bereitschaftsbewertung für einen Top-down-Blick auf Lücken, was Sie brauchen, welche Richtlinien bereits vorhanden sind usw.
• Check-ins, die zum letzten Test führen
• Die Zertifizierungsprüfung

Während des Audits werden Sie gebeten, die jeweiligen Richtlinien, Kontrollen und Nachweise bereitzustellen. 

So pflegen Sie die SOC-2-Typ-II-Zertifizierung

Es ist wichtig zu beachten, dass die Einhaltung von SOC 2 Typ II nicht einfach ist. Es erfordert Sorgfalt und laufenden Aufwand. Die Aufrechterhaltung der SOC-2-Typ-II-Zertifizierung erfordert eine ständige Überwachung, Dokumentation, Offenlegung und Reaktion auf Vorfälle, Mitarbeiterschulungen und regelmäßige Bewertungen. Dies soll zeigen, dass ein Unternehmen sich kontinuierlich für die Compliance einsetzt und die erforderlichen Richtlinienänderungen und Upgrades vornimmt.

Als nach ISO 27001 zertifiziertes Unternehmen bietet Pure Storage eine Reihe von Produkten und Services an, die unseren Kunden eine umfassende Überwachung und Kontrolle über ihre Daten ermöglichen. Sehen Sie sich unsere Suite moderner Datenschutzlösungen an, um zu erfahren, wie wir Ihnen dabei helfen können, Ihre Ziele zur Einhaltung der Datensicherheit zu erreichen.