Da Cyberbedrohungen immer häufiger und raffinierter werden, ist der Schutz von Kundendaten nicht nur eine gesetzliche Anforderung, sondern ein Eckpfeiler Ihrer Geschäftsintegrität. Datenschutzverletzungen sind kostspielig, finanziell und in Bezug auf das Vertrauen der Kunden und die Markenreputation. Die SOC-Frameworks der AICPA – SOC 1 für die Finanzberichterstattung, SOC 2 für Datensicherheit und SOC 3 für die allgemeine Offenlegung – bieten umfassende Richtlinien für den Schutz von Daten.
Ob durch die strengen Schutzstandards von SOC 2 für in der Cloud gespeicherte Kundendaten oder den Fokus von SOC 1 auf Finanzkontrollen – wir helfen Ihnen, sich an diesen kritischen Benchmarks auszurichten, um Ihre Cybersicherheit erheblich zu verbessern.
SOC 1 konzentriert sich auf Bilanzen und Berichte.
SOC 2 konzentriert sich auf die Sicherheit, Vertraulichkeit, Verarbeitung, den Datenschutz und die Verfügbarkeit von Kundendaten.
SOC 3 konzentriert sich auf SOC 2-Ergebnisse, die auf ein allgemeines Publikum zugeschnitten sind.
SOC 1 richtet sich an Organisationen wie Inkassobüros, Gehaltsabrechnungsanbieter und Zahlungsabwicklungsunternehmen, die Dienstleistungen erbringen, die sich auf die Jahresabschlüsse und -berichte eines Kunden auswirken.
SOC 2 richtet sich an Organisationen wie Software-as-a-Service (SaaS)-Unternehmen, Cloud-Speicherdienste und Anbieter von Datenhosting/-verarbeitung, die Kundendaten speichern, verarbeiten oder übertragen.
SOC 3 richtet sich an Organisationen, die SOC 2-Konformität für das Marketing in der Öffentlichkeit benötigen.
Einige Unternehmen benötigen aufgrund ihrer Dienstleistungen und Kunden SOC 1- und SOC-2-Berichte. Einige Kunden fordern möglicherweise SOC 1 an, während andere SOC 2 wünschen. Es gibt Überschneidungen zwischen SOC 1 und 2, die die Vorbereitung und das Testen vereinfachen können.
SOC 1 und 2 haben zwei Arten von Berichten:
Die Wahl des Typs hängt von den Zielen, Kosten und Zeitbeschränkungen der Organisation ab. Typ I ist in der Regel schneller, aber Typ II bietet den Interessengruppen mehr Sicherheit.
SOC-3-Berichte sind knappe, übersichtliche Versionen von SOC-2-Typ-II-Berichten zur öffentlichen Verwendung.
SOC 1-Berichte sind für Organisationen gedacht, deren interne Kontrollen sich auf die Abschlüsse oder Berichte eines Kunden auswirken könnten.
SOC-2-Berichte helfen Unternehmen, ihre Cloud- und Rechenzentrumssicherheitskontrollen auf der Grundlage der Trust Services Criteria (TSC) nachzuweisen. Sie sind privat und werden in der Regel nur im Rahmen von Geheimhaltungsvereinbarungen (NDAs) an Kunden und Interessenten weitergegeben. SOC 2 ist der Bericht, auf den am häufigsten verwiesen wird.
SOC-3-Berichte sind immer vom Typ II, enthalten jedoch keine detaillierten Beschreibungen der Kontrolltests des Prüfers, Testverfahren, Ergebnisse, Stellungnahmen, Aussagen des Managements und Systembeschreibungen. SOC 3-Berichte können veröffentlicht werden, häufig über die Website der Organisation.
Während einige Frameworks, wie z. B. ISO/IEC 27001, strenge Anforderungen haben, ist SOC 2 flexibler, mit Berichten, die für jede Organisation einzigartig sind. Jede Organisation gestaltet ihre Kontrollen so, dass sie den Trust Services Criteria (TSC) entsprechen.
Ein unabhängiger Prüfer bewertet, ob die Kontrollen des Unternehmens die SOC-2-Anforderungen erfüllen. Der Prüfer schreibt einen Bericht für die Organisation, unabhängig davon, ob sie bestanden hat.
1. Berichtstyp auswählen: Entscheiden Sie, ob Sie einen Bericht vom Typ I oder II wünschen.
2. Definieren Sie den Umfang: Wählen Sie zwischen Unternehmensebene oder einem bestimmten Dienst, dem abgedeckten Zeitraum (empfohlen werden mindestens sechs Monate) und etwaigen optionalen Trust Services Criteria (TSC).
3. Gap-Analyse: Dadurch werden alle Systemmängel identifiziert, sodass Sie einen Sanierungsplan erstellen können, um diese vor dem formellen SOC 2-Audit zu verbessern.
4. Die Bereitschaftsbewertung: Der Auditor beantwortet alle Fragen, bevor er eine Bereitschaftsbewertung durchführt und eine Lückenanalyse vornimmt, Empfehlungen ausspricht und die von Ihnen gewählten TSC-Anforderungen erläutert. Sie erhalten einen ersten Bericht, in dem die Kontrollen in Ihrem ersten Bericht, ihre Relevanz für Ihren TSC und etwaige Lücken aufgeführt sind.
5. Wählen Sie einen Auditor aus: Wählen Sie einen Certified Public Accountant (CPA) aus, der Ihr SOC 2-Audit und Ihren Bericht durchführt.
6-7. Die formelle Prüfung und der Bericht: Ihr Auditor verbringt die erforderliche Zeit, von einigen Wochen bis zu einigen Monaten, an Ihrem Fall zu arbeiten, bevor er den Bericht schreibt. Zu diesen Schritten gehören ein Sicherheitsfragebogen, das Sammeln von Nachweisen, die Bewertung, die Nachbereitung und der vollständige Bericht.
For English and French speakers
For German and Italian speakers
Technoparkstrasse 1,
8005, Zurich, Schweiz