SOC 2-Zertifizierung

Laut einer Erhebung des Statistischen Bundesamt verdoppelte sich die Zahl der Menschen, die im Home-Office für ihr Unternehmen tätig sind, von 2019 12,8 Prozent auf 24,8 Prozent im Jahr 2021. Eine der Hauptgründe war die Corona-Pandemie.

gold-outline

Die Work-from-Home-Revolution

Aber auch die Auswirkungen von “New Work” sorgen dafür, dass viele Arbeitnehmer ihre beruflichen Aufgaben von Zuhause übernehmen. Für Unternehmen bedeutet das, dass sie hochverfügbare, leistungsfähige und flexible Cloud-Lösungen anbieten müssen, damit die Mitarbeiter auf Informationen und Daten jederzeit und zuverlässig zugreifen können. Auf der anderen Seite müssen diese Lösungen auch absolut sicher sein. Die Daten müssen bestmöglich vor Diebstahl, Verlust und Malware geschützt werden. Mit einer SOC 2-Zertifizierung sind sichere Cloud-Lösungen garantiert. 

Wofür steht SOC 2?

System and Organization Controls – dafür steht die Abkürzung SOC. Das bedeutet: SOC sind die internen Kontrollen und sämtlichen Verfahren, mit denen ein System vor unautorisierten Zugang, Veränderung und Nutzung geschützt ist. Die renommierten Auditierungsstelle American Institute of Certified Public Accountants (AICPA) gibt übrigens den international anerkannten Standard „SOC“ heraus. So gibt der größte US-amerikanische Berufsverband der Wirtschaftsprüfer mit den SOC unterschiedliche Richtlinien vor, nach denen sich die Prüfer bei einem Audit zu richten haben.

Dazu gehören:

  • SOC 1 — SOC for Service Organizations: Tipp: Internal Control over Financial Reporting (ICFR)
  • SOC 2 — SOC for Service Organizations: Trust Services Criteria
  • SOC 3 —SOC for Service Organizations: Trust Services Criteria for General Use Report
  • SOC for Cybersecurity
  • SOC for Supply Chain

Will man Cloud-Anbieter zertifizieren, wird der Standard SOC 2 angewendet. Denn Cloud-Lösungen sollten bestimmte „Trust Services Criteria“ an die Datensicherheit und den Datenschutz erfüllen.

gold-outline

Die Trust Services Criteria sind:

gold-outline

Sicherheit:

Es wird sichergestellt, dass alle Informationen und Systeme gegen unbefugte Zugriffe und Offenlegungen von Informationen sowie Schäden an dem System geschützt sind. So lassen sich die Verfügbarkeit, Vertraulichkeit, Integrität und der Datenschutz der Informationen sowie Systeme sicherstellen.

Verfügbarkeit:

Sämtliche Informationen sind immer für alle Berechtigten zugänglich. Die Systeme enthalten darüber hinaus Kontrollen zur Unterstützung der Betriebszugänglichkeit. Auch die Zugänglichkeit für Wartung und Überwachung ist damit sichergestellt.

Integrität:

Hier rückt die Systemverarbeitung in den Fokus. Alle Systeme müssen frei von Fehlern, Auslassungen, Verzögerungen oder versehentlichen Manipulationen sein.

Vertraulichkeit:

Alle sensiblen Informationen müssen den Unternehmen mit den Systemen gesetzeskonform und in Übereinstimmung mit den Unternehmensrichtlinien zugänglich und gleichzeitig absolut geschützt sein. Das gilt von der Erfassung bis zum endgültigen Löschen der Daten.

Datenschutz:

Der Datenschutz muss nicht nur für sensible Daten Gültigkeit haben, sondern auch für personenbezogene Informationen. Unternehmen sind verpflichtet, solche Informationen nach den Datenschutzrichtlinien zu sammeln, zu verwenden, offenzulegen, aufzubewahren und zu löschen.

Konkreter Handlungsbedarf

Bei einer Zertifizierung durch High Knowledge beziehen wir alle diese Faktoren mit ein. Es wird untersucht, ob der Cloud-Anbieter alle Prüfungskriterien des AICPA einhält und umsetzt. Damit die Anforderungen an Sicherheit und Verfügbarkeit immer gewährleistet sind, müssen Cloud-Anbieter in regelmäßigen Abständen ihre Leistungen zertifizieren. Dazu gehört auch ein strenges Audit-Verfahren. Diese stellt sicher, dass jederzeit detaillierte Aufzeichnungen über die Nutzung von personenbezogenen Daten und anderen sensiblen Informationen geführt werden.

Sprechen Sie uns an!