Was ist SOC 2? Leitfaden zur SOC-2-Typ-II-Konformität

Diese Normenreihe hebt Sicherheitsanbieter hervor, die sich der Bereitstellung sicherer Datenumgebungen verschrieben haben.

Das Fundament jeder guten Beziehung ist eines: Vertrauen.

Das Gleiche gilt für Ihre Sicherheitsanbieter.

Die Suche nach einem vertrauenswürdigen Anbieter gestaltet sich jedoch schwieriger als gedacht. Es gibt zwar Kundenreferenzen, Empfehlungen von Branchenkollegen und Online-Bewertungen – doch keines dieser Instrumente gibt Aufschluss darüber, wie vertrauenswürdig die Sicherheitsvorkehrungen eines Anbieters tatsächlich sind. Eine Ausnahme bildet das SOC-2-Typ-II-Audit.

Was ist SOC 2? Leitfaden zur SOC-2-Typ-II-Konformität 

Warum ist die Einhaltung der SOC-2-Vorschriften so wichtig? Wenn die Daten Ihres Unternehmens (und Ihrer Kunden) auf dem Spiel stehen, ist es wichtig zu wissen, welchen Anbietern Sie vertrauen können.

Was ist SOC 2 Typ II Compliance? 

Service Organization Control (SOC) ist ein Satz von Standards, der die Art und Weise, wie ein Anbieter Daten verwaltet, sowohl lokal als auch in Cloud-Umgebungen, definiert, aufrechterhält, nachweist und sogar verbessert.

Der ursprünglich vom American Institute of Certified Public Accountants (AICPA) entwickelte SOC 2-Standard definiert, wie Organisationen mit sensiblen Daten wie Finanzinformationen und Patientenakten umgehen. Die SOC 2 Typ II-Zertifizierung setzt voraus, dass sich der Anbieter einer unabhängigen Prüfung durch einen qualifizierten externen Prüfer unterzieht. Der Prüfer bestätigt anschließend, dass der Anbieter alle geltenden Anforderungen in einem oder mehreren der folgenden Vertrauensgrundsätze erfüllt:

• Sicherheit
• Verfügbarkeit
• Verarbeitungsintegrität
• Vertraulichkeit
• Datenschutz

Für Anbieter ist diese Zertifizierung zwar kostspielig, aber sie hat eine große Bedeutung für jede Organisation, die Wert auf Sicherheit legt.

Was es braucht, um SOC 2-konform zu werden

Um die SOC-2-Typ-II-Konformität zu erreichen, reicht die richtige Technologie allein nicht aus – ein Unternehmen benötigt auch strenge Prozesse. Die SOC-2-Typ-II-Zertifizierung garantiert, dass ein Anbieter die erforderlichen Kontrollmechanismen implementiert hat, um die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten zu schützen.

Das SOC-2-Audit bewertet alle Aspekte der Leistungserbringung. Es prüft auch, ob Daten mit Einwilligung erhoben werden und ob sie angemessen vor unbefugtem Zugriff und unbefugter Änderung geschützt sind. Das bedeutet, dass Ihre Daten bei Ihrem Sicherheitsdienstleister sicher sind und dieser sie ohne Ihre vorherige Zustimmung nicht an Dritte weitergibt.

Ein SOC-2-Typ-II-Audit ist ein sehr gründlicher Prozess, den Swimlane bereits durchlaufen hat. Hier ein Einblick in den Ablauf:

• Zunächst wird ein Team von Prüfern die Systemdokumentation, einschließlich der Richtlinien und Verfahren, sowie alle Aspekte des Servicebereitstellungsmodells gründlich überprüfen.

• Anschließend werden sie Interviews mit Schlüsselpersonen in der Organisation führen, um zu überprüfen, ob die Prozesse und Verfahren ordnungsgemäß eingehalten werden.

• Abschließend werden sie eine physische Vor-Ort-Inspektion der Anlagen durchführen und dabei die Hardware- und Softwarekonfiguration sowie die gesamte zugehörige Netzwerkinfrastruktur untersuchen.

Das Endergebnis? Ein Bericht, der bestätigt, dass der Anbieter angemessene Sicherheitsmaßnahmen gemäß den Best Practices der Branche implementiert hat.

Warum sollte Sie das interessieren?

Der Grund für die Einhaltung von SOC 2 Typ II ist einfach: Datenpannen nehmen täglich zu und kosten Unternehmen jährlich Milliarden von Dollar. Laut IBM beliefen sich die durchschnittlichen Kosten einer Datenpanne im Jahr 2021 auf 1,24 Milliarden US-Dollar – Tendenz steigend. Und dabei sind Unternehmen, die ihre Datenschutzverletzungen nicht melden, noch nicht einmal berücksichtigt.

Die Bedeutung der SOC-2-Typ-II-Konformität kann nicht hoch genug eingeschätzt werden. Sie hilft Ihnen, fundierte Entscheidungen bei der Lieferantenauswahl zu treffen und so das Risiko eines Datenlecks durch Dritte zu minimieren. Dadurch beweisen Sie gegenüber Ihren Kunden, Geschäftspartnern, Lieferanten, Investoren und anderen Beteiligten Ihr Engagement für Sicherheit.

Wenn Sie nach einer Sicherheitslösung (wie z. B. Sicherheitsautomatisierung) suchen, benötigen Sie eine, die den SOC-2-Prozess durchlaufen hat. Dieser Nachweis belegt, dass Maßnahmen zum Schutz Ihrer Daten vor unbefugtem Zugriff getroffen wurden. Dies ist besonders wichtig, wenn Sie sensible Informationen in der Cloud speichern.

Swimlane ist stolz darauf, die SOC-2-Typ-II-Zertifizierung zu erfüllen. Michael Lyborg, Senior Vice President of Global Security and Enterprise IT bei Swimlane, erklärt dazu:

“Angesichts der sich ständig verändernden Bedrohungslandschaft und der Zunahme von Cyberangriffen auf Unternehmen bietet dieses unabhängige Audit unseren Kunden die Bestätigung durch Dritte, dass Swimlane eine hervorragende Wahl für Unternehmen ist, die zertifizierte Anbieter benötigen, insbesondere nach unserer Ankündigung von Swimlane Turbine.”