Was ist SOC 2? Leitfaden zur SOC-2-Typ-II-Konformität

Diese Normenreihe hebt Sicherheitsanbieter hervor, die sich der Bereitstellung sicherer Lösungen verpflichtet haben. Datenumgebungen.

Das Fundament jeder guten Beziehung ist eines: Vertrauen.

Das Gleiche gilt für Ihre Sicherheitsanbieter.

Die Suche nach einem vertrauenswürdigen Anbieter gestaltet sich jedoch schwieriger als gedacht. Es gibt zwar Kundenreferenzen, Empfehlungen von Branchenkollegen und Online-Bewertungen – doch keines dieser Instrumente gibt Aufschluss darüber, wie vertrauenswürdig die Sicherheitsvorkehrungen eines Anbieters tatsächlich sind. Eine Ausnahme bildet das SOC-2-Typ-II-Audit.

Was ist SOC 2? Leitfaden zur SOC-2-Typ-II-Konformität 

Warum ist die Einhaltung der SOC-2-Vorschriften so wichtig? Wenn die Daten Ihres Unternehmens (und Ihrer Kunden) auf dem Spiel stehen, ist es wichtig zu wissen, welchen Anbietern Sie vertrauen können.

Was ist SOC 2 Typ II Compliance? 

Service Organization Control (SOC) is a set of standards to create, maintain, prove and even enhance the way a vendor manages data – both on-premises and in cloud environments.

Der ursprünglich vom American Institute of Certified Public Accountants (AICPA) entwickelte SOC 2-Standard definiert, wie Organisationen mit sensiblen Daten wie Finanzinformationen und Patientenakten umgehen. Die SOC 2 Typ II-Zertifizierung setzt voraus, dass sich der Anbieter einer unabhängigen Prüfung durch einen qualifizierten externen Prüfer unterzieht. Der Prüfer bestätigt anschließend, dass der Anbieter alle geltenden Anforderungen in einem oder mehreren der folgenden Vertrauensgrundsätze erfüllt:

• Sicherheit
• Verfügbarkeit
• Verarbeitungsintegrität
• Vertraulichkeit
• Datenschutz

Für Anbieter ist diese Zertifizierung zwar kostspielig, aber sie hat eine große Bedeutung für jede Organisation, die Wert auf Sicherheit legt.

Was es braucht, um SOC 2-konform zu werden

Um die SOC-2-Typ-II-Konformität zu erreichen, reicht die richtige Technologie allein nicht aus – ein Unternehmen benötigt auch strenge Prozesse. Die SOC-2-Typ-II-Zertifizierung garantiert, dass ein Anbieter die erforderlichen Kontrollmechanismen implementiert hat, um die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten zu schützen.

Das SOC-2-Audit bewertet alle Aspekte der Leistungserbringung. Es prüft auch, ob Daten mit Einwilligung erhoben werden und ob sie angemessen vor unbefugtem Zugriff und unbefugter Änderung geschützt sind. Das bedeutet, dass Ihre Daten bei Ihrem Sicherheitsdienstleister sicher sind und dieser sie ohne Ihre vorherige Zustimmung nicht an Dritte weitergibt.

Ein SOC-2-Typ-II-Audit ist ein sehr gründlicher Prozess, den Swimlane bereits durchlaufen hat. Hier ein Einblick in den Ablauf:

• Zunächst wird ein Team von Prüfern die Systemdokumentation, einschließlich der Richtlinien und Verfahren, sowie alle Aspekte des Servicebereitstellungsmodells gründlich überprüfen.

• Anschließend werden sie Interviews mit Schlüsselpersonen in der Organisation führen, um zu überprüfen, ob die Prozesse und Verfahren ordnungsgemäß eingehalten werden.

• Abschließend werden sie eine physische Vor-Ort-Inspektion der Anlagen durchführen und dabei die Hardware- und Softwarekonfiguration sowie die gesamte zugehörige Netzwerkinfrastruktur untersuchen.

Das Endergebnis? Ein Bericht, der bestätigt, dass der Anbieter angemessene Sicherheitsmaßnahmen gemäß den Best Practices der Branche implementiert hat.

Warum sollte Sie das interessieren?

Der Grund für die Einhaltung von SOC 2 Typ II ist einfach: Datenpannen nehmen täglich zu und kosten Unternehmen jährlich Milliarden von Dollar. Laut IBM beliefen sich die durchschnittlichen Kosten einer Datenpanne im Jahr 2021 auf 1,24 Milliarden US-Dollar – Tendenz steigend. Und dabei sind Unternehmen, die ihre Datenschutzverletzungen nicht melden, noch nicht einmal berücksichtigt.

Die Bedeutung der SOC-2-Typ-II-Konformität kann nicht hoch genug eingeschätzt werden. Sie hilft Ihnen, fundierte Entscheidungen bei der Lieferantenauswahl zu treffen und so das Risiko eines Datenlecks durch Dritte zu minimieren. Dadurch beweisen Sie gegenüber Ihren Kunden, Geschäftspartnern, Lieferanten, Investoren und anderen Beteiligten Ihr Engagement für Sicherheit.

Wenn Sie nach einer Sicherheitslösung (wie z. B. Sicherheitsautomatisierung) suchen, benötigen Sie eine, die die folgenden Kriterien erfüllt: SOC-2-Prozess, weil er zeigt, dass Sie haben Maßnahmen ergriffen, um Ihre Daten vor dem Zugriff Unbefugter zu schützen. Dies ist besonders wichtig, wenn Sie sensible Informationen in der Cloud speichern.

Swimlane ist stolz darauf, die SOC-2-Typ-II-Zertifizierung zu erfüllen. Michael Lyborg, Senior Vice President of Global Security and Enterprise IT bei Swimlane, erklärt dazu:

“with the ever-changing threat landscape and increase in cyberattacks on organizations, this independent audit provides our customers with third-party validation that Swimlane is an exceptional choice for businesses that require certified providers, especially following our announcement of Swimlane Turbine.”