SOC 2

Was versteht man unter SOC II?

SOC 2 (System and Organization Controls 2) ist ein Audit-Rahmenwerk, das von der American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Es dient der Bewertung und Zertifizierung der Sicherheits-, Verfügbarkeits-, Verarbeitungsintegrität, Vertraulichkeit und/oder Datenschutzkontrollen eines Dienstleisters für Systeme und Dienste. SOC 2-Berichte sind in der Regel für Technologie- und Cloud-Computing-Anbieter von besonderer Bedeutung, können jedoch auch für andere Unternehmen relevant sein, die personenbezogene Daten speichern oder verarbeiten.

Um was geht es?

SOC 2 ist ein Audit-Standard, der dazu dient, die Sicherheitspraktiken von Unternehmen, insbesondere von Dienstleistern, die Cloud-Computing-Services anbieten, zu bewerten und zu zertifizieren. Der Standard wurde von der American Institute of Certified Public Accountants (AICPA) entwickelt und konzentriert sich auf fünf Hauptbereiche: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Ein SOC 2-Bericht gibt Auskunft darüber, wie gut ein Unternehmen seine Systeme und Daten schützt. Es gibt zwei Typen von SOC 2-Berichten: Typ I bewertet die Gestaltung der Sicherheitskontrollen zu einem bestimmten Zeitpunkt, und Typ II bewertet, wie effektiv diese Kontrollen über einen längeren Zeitraum (in der Regel mindestens sechs Monate) waren.

Unternehmen nutzen SOC 2-Berichte oft, um das Vertrauen ihrer Kunden und Geschäftspartner in ihre Dienste zu stärken.

Wer ist betroffen?

Für Unternehmen, die Dienstleistungen im Bereich der Informationstechnologie erbringen, insbesondere wenn sie Cloud-basierte Dienste anbieten, sind SOC 2-Berichte besonders relevant. Dabei kann es sich um eine Vielzahl von Unternehmen handeln:

• Cloud Service Provider: Unternehmen, die Infrastruktur-, Plattform- oder Software-as-a-Service (IaaS, PaaS, SaaS) anbieten.

• Rechenzentren: Unternehmen, die physische oder virtuelle Infrastrukturen für die Speicherung und Verarbeitung von Daten bereitstellen.

• IT-Managed Service Provider: Unternehmen, die IT-Dienstleistungen wie Netzwerkmanagement, Systemwartung und Sicherheitsüberwachung anbieten.

• Software-Entwickler: Unternehmen, die Software entwickeln und hosten, insbesondere wenn diese Software personenbezogene oder sensible Daten verarbeitet.

• Finanzdienstleister: Banken, Versicherungen und andere Finanzinstitute, die Online-Dienste anbieten.

• Gesundheitsdienstleister: Unternehmen im Gesundheitswesen, die elektronische Gesundheitsdaten speichern oder verarbeiten.

• E-Commerce-Plattformen: Online-Shops und Handelsplattformen, die Kunden- und Transaktionsdaten verarbeiten.

• Telekommunikationsunternehmen: Anbieter von Kommunikationsdiensten zur Übertragung und Speicherung von Daten.

SOC 2 wurde ursprünglich für Technologie- und Cloud-Computing-Unternehmen entwickelt. Der Standard kann jedoch für jede Art von Organisation nützlich sein, die sensible Daten speichert oder verarbeitet und das Vertrauen ihrer Kunden oder Partner stärken möchte.

Verbindliche Kriterien

• Nicht gesetzlich verpflichtend: SOC 2 ist ein Industriestandard, aber nicht gesetzlich erforderlich

• Trust Service Principles: Fokus auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

• Zwei Typen von Berichten:
  - Typ I: Bewertet die Gestaltung der Kontrollen zu einem bestimmten Zeitpunkt.
  - Typ II: Bewertet die Effektivität der Kontrollen über einen Zeitraum von mindestens sechs Monaten.

• Branchenrelevanz: Besonders wichtig für IT- und Cloud-Service-Anbieter, aber auch für andere Branchen, die sensible Daten verarbeiten.

• Vertragsbedingung: Viele Unternehmen verlangen SOC 2-Berichte von ihren Dienstleistern als Teil der Vertragsvereinbarungen.

• Externes Audit: Durchgeführt von einer externen Wirtschaftsprüfungsgesellschaft.

• Keine Zertifizierung: SOC 2 ist eine Bewertung und Dokumentation, keine formelle Zertifizierung.

• Vertrauensbildung: Ein SOC 2-Bericht kann das Vertrauen von Kunden und Geschäftspartnern stärken.

Vorteile SOC II?

• Vertrauensbildung: Ein SOC 2-Bericht kann das Vertrauen von Kunden, Investoren und Geschäftspartnern in die Sicherheit und Zuverlässigkeit eines Unternehmens stärken.

• Wettbewerbsvorteil: Unternehmen mit einem SOC 2-Bericht können sich positiv von Konkurrenten abheben, die keine solche Bewertung haben.

• Risikominderung: Durch die Identifizierung und Behebung von Sicherheitslücken kann das Risiko von Datenverlusten oder -verletzungen reduziert werden.

• Compliance: Ein SOC 2-Bericht kann bei der Einhaltung anderer regulatorischer Anforderungen helfen, wie z.B. GDPR in Europa oder HIPAA in den USA.

• Vertragsbeziehungen: Ein SOC 2-Bericht kann die Verhandlungsposition bei Vertragsabschlüssen mit neuen Kunden oder Partnern stärken, da er als Nachweis für robuste Sicherheitskontrollen dient.

• Transparenz: Der Bericht bietet eine detaillierte Übersicht über die Sicherheitskontrollen und -prozesse eines Unternehmens, was die interne und externe Kommunikation über Sicherheitsfragen erleichtert.

• Kontinuierliche Verbesserung: Der Prozess der Vorbereitung auf ein SOC 2-Audit fördert die kontinuierliche Überprüfung und Verbesserung der Sicherheitsmaßnahmen.

• Due Diligence: Für Unternehmen, die Dienstleistungen von Drittanbietern in Anspruch nehmen, bieten SOC 2-Berichte eine wertvolle Ressource für die Due-Diligence-Prüfung.

• Internationale Anerkennung: SOC 2 wird international anerkannt und respektiert, was für global agierende Unternehmen von Vorteil ist.

• Flexibilität: Unternehmen können wählen, welche der fünf Trust Service Principles (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz) für sie am relevantesten sind und den Audit-Fokus entsprechend anpassen.

Wie läuft die Prüfung ab?

• Vorbereitung: Auswahl der Prüfungsfirma und Festlegung des Prüfumfangs.

• Planung: Bestimmung des Zeitrahmens und der zu prüfenden Systeme.

• Dokumentation: Sammlung und Überprüfung von internen Kontrollen und Prozessen.

• Feldarbeit: Tests und Überprüfungen der Kontrollen und Systeme.

• Bericht: Zusammenfassung der Ergebnisse und eventuelle Empfehlungen.

• Abschluss: Endgültiger Bericht wird an das Unternehmen übermittelt.

• Follow-up: Umsetzung von Verbesserungen für zukünftige Audits.

Der Prozess kann mehrere Wochen bis Monate dauern, abhängig von der Unternehmensgröße und dem Prüfumfang.

Die Experten der BFMT verfügen über die erforderlichen Qualifikationen und das Know-How, um Sie optimal zu diesem Thema zu unterstützen und zu prüfen.