Wonach suchen Sie?

System- und Organisationskontrollen (SOC) Dienstleistungen

Schützen Sie Kundendaten und stellen Sie die Einhaltung von SOC 1, 2 oder 3 mit dem SGS-Support sicher.

Da Cyberbedrohungen immer häufiger und raffinierter werden, ist der Schutz von Kundendaten nicht nur eine gesetzliche Anforderung, sondern ein Eckpfeiler Ihrer Geschäftsintegrität. Datenschutzverletzungen sind kostspielig, finanziell und in Bezug auf das Vertrauen der Kunden und die Markenreputation. Die SOC-Frameworks der AICPA – SOC 1 für die Finanzberichterstattung, SOC 2 für Datensicherheit und SOC 3 für die allgemeine Offenlegung – bieten umfassende Richtlinien für den Schutz von Daten.

Ob durch die strengen Schutzstandards von SOC 2 für in der Cloud gespeicherte Kundendaten oder den Fokus von SOC 1 auf Finanzkontrollen – wir helfen Ihnen, sich an diesen kritischen Benchmarks auszurichten, um Ihre Cybersicherheit erheblich zu verbessern.

Wir ermöglichen Ihnen Folgendes:
  • Robuste interne Sicherheitskontrollen einrichten
  • Sicherheitsrichtlinien und -prozesse verbessern, um die Skalierung zu ermöglichen
  • Kundenvertrauen schaffen und stärken
  • Verbesserungsbereiche für besseren Schutz anvisieren
  • Hohe Sicherheitsstandards einzuhalten
  • Bedeutende Wachstumschancen erschließen
Was spricht für SGS?

Ihr zuverlässiger Verbündeter bei der Erreichung der SOC-Konformität

Als weltweit führendes Unternehmen für Inspektion, Zertifizierung und Prüfung bieten wir Ihnen ein konkurrenzloses globales Netzwerk von Informationssicherheitsexperten. Unsere Auditoren sorgen für Klarheit über die SOC-Anforderungen und führen sorgfältige Bewertungen durch, um Ihre Einhaltung zu bestätigen und einen reibungslosen Weg zur SOC-Zertifizierung zu gewährleisten.

Beginnen Sie Ihre Reise zur SOC-Konformität

Kontaktieren Sie uns jetzt, um eine maßgeschneiderte SOC-Compliance-Strategie zu erhalten.

Häufig gestellte Fragen (FAQs)

SOC 1 konzentriert sich auf Bilanzen und Berichte.

SOC 2 konzentriert sich auf die Sicherheit, Vertraulichkeit, Verarbeitung, den Datenschutz und die Verfügbarkeit von Kundendaten.

SOC 3 konzentriert sich auf SOC 2-Ergebnisse, die auf ein allgemeines Publikum zugeschnitten sind.

SOC 1 richtet sich an Organisationen wie Inkassobüros, Gehaltsabrechnungsanbieter und Zahlungsabwicklungsunternehmen, die Dienstleistungen erbringen, die sich auf die Jahresabschlüsse und -berichte eines Kunden auswirken.

SOC 2 richtet sich an Organisationen wie Software-as-a-Service (SaaS)-Unternehmen, Cloud-Speicherdienste und Anbieter von Datenhosting/-verarbeitung, die Kundendaten speichern, verarbeiten oder übertragen.

SOC 3 richtet sich an Organisationen, die SOC 2-Konformität für das Marketing in der Öffentlichkeit benötigen.

Einige Unternehmen benötigen aufgrund ihrer Dienstleistungen und Kunden SOC 1- und SOC-2-Berichte. Einige Kunden fordern möglicherweise SOC 1 an, während andere SOC 2 wünschen. Es gibt Überschneidungen zwischen SOC 1 und 2, die die Vorbereitung und das Testen vereinfachen können.

SOC 1 und 2 haben zwei Arten von Berichten:

  • Typ I bestimmt die Kontrollen einer Organisation zu einem einzigen Zeitpunkt
  • Typ II bewertet, wie die Kontrollen über einen Zeitraum, in der Regel 3 bis 12 Monate, funktionieren

Die Wahl des Typs hängt von den Zielen, Kosten und Zeitbeschränkungen der Organisation ab. Typ I ist in der Regel schneller, aber Typ II bietet den Interessengruppen mehr Sicherheit.

SOC-3-Berichte sind knappe, übersichtliche Versionen von SOC-2-Typ-II-Berichten zur öffentlichen Verwendung.

SOC 1-Berichte sind für Organisationen gedacht, deren interne Kontrollen sich auf die Abschlüsse oder Berichte eines Kunden auswirken könnten.

SOC-2-Berichte helfen Unternehmen, ihre Cloud- und Rechenzentrumssicherheitskontrollen auf der Grundlage der Trust Services Criteria (TSC) nachzuweisen. Sie sind privat und werden in der Regel nur im Rahmen von Geheimhaltungsvereinbarungen (NDAs) an Kunden und Interessenten weitergegeben. SOC 2 ist der Bericht, auf den am häufigsten verwiesen wird.

SOC-3-Berichte sind immer vom Typ II, enthalten jedoch keine detaillierten Beschreibungen der Kontrolltests des Prüfers, Testverfahren, Ergebnisse, Stellungnahmen, Aussagen des Managements und Systembeschreibungen. SOC 3-Berichte können veröffentlicht werden, häufig über die Website der Organisation.

Während einige Frameworks, wie z. B. ISO/IEC 27001, strenge Anforderungen haben, ist SOC 2 flexibler, mit Berichten, die für jede Organisation einzigartig sind. Jede Organisation gestaltet ihre Kontrollen so, dass sie den Trust Services Criteria (TSC) entsprechen.

Ein unabhängiger Prüfer bewertet, ob die Kontrollen des Unternehmens die SOC-2-Anforderungen erfüllen. Der Prüfer schreibt einen Bericht für die Organisation, unabhängig davon, ob sie bestanden hat.

1. Berichtstyp auswählen: Entscheiden Sie, ob Sie einen Bericht vom Typ I oder II wünschen.

2. Definieren Sie den Umfang: Wählen Sie zwischen Unternehmensebene oder einem bestimmten Dienst, dem abgedeckten Zeitraum (empfohlen werden mindestens sechs Monate) und etwaigen optionalen Trust Services Criteria (TSC).

3. Gap-Analyse: Dadurch werden alle Systemmängel identifiziert, sodass Sie einen Sanierungsplan erstellen können, um diese vor dem formellen SOC 2-Audit zu verbessern.

4. Die Bereitschaftsbewertung: Der Auditor beantwortet alle Fragen, bevor er eine Bereitschaftsbewertung durchführt und eine Lückenanalyse vornimmt, Empfehlungen ausspricht und die von Ihnen gewählten TSC-Anforderungen erläutert. Sie erhalten einen ersten Bericht, in dem die Kontrollen in Ihrem ersten Bericht, ihre Relevanz für Ihren TSC und etwaige Lücken aufgeführt sind.

5. Wählen Sie einen Auditor aus: Wählen Sie einen Certified Public Accountant (CPA) aus, der Ihr SOC 2-Audit und Ihren Bericht durchführt.

6-7. Die formelle Prüfung und der Bericht: Ihr Auditor verbringt die erforderliche Zeit, von einigen Wochen bis zu einigen Monaten, an Ihrem Fall zu arbeiten, bevor er den Bericht schreibt. Zu diesen Schritten gehören ein Sicherheitsfragebogen, das Sammeln von Nachweisen, die Bewertung, die Nachbereitung und der vollständige Bericht.

  • Unqualifiziert: Die Organisation hat das Audit bestanden
  • Qualifiziert: Die Organisation hat bestanden, aber einige Bereiche erfordern Aufmerksamkeit
  • Negativ: Die Organisation hat das Audit nicht bestanden.
  • Verzicht auf Stellungnahme: Der Prüfer verfügt nicht über genügend Informationen, um eine Schlussfolgerung zu ziehen.

Verwandte Dienste

Andere Dienstleistungen

Neuigkeiten & Einblicke

  • SGS Germany GmbH

Heidenkampsweg 99,

20097, Hamburg, Deutschland