SOC 2: Das bedeutet die Zertifizierung für sichere Cloud-Lösungen
Spätestens seit der COVID-19-Pandemie und dem Umzug vieler Mitarbeiter ins Homeoffice wächst das Interesse von Unternehmen an flexiblen, hochverfügbaren Cloud-Lösungen – aber auch die Sorge vor eventuellen Sicherheitslücken. Woher wissen Sie, ob eine SaaS-Lösung Ihren Daten den höchstmöglichen Schutz vor Diebstahl, Verlust und Malware bietet? Orientierung gibt die SOC 2-Zertifizierung.
Was ist SOC 2?
SOC steht für „System and Organization Controls“, also die internen Kontrollen und Verfahren, mit denen ein System vor unautorisiertem Zugang, Benutzung und Veränderung geschützt ist. Der international anerkannte Standard SOC wird von der renommierten Auditierungsstelle American Institute of Certified Public Accountants (AICPA) herausgegeben. Als größter amerikanischer Berufsverband der Wirtschaftsprüfer gibt AICPA mit den SOC verschiedene Richtlinien heraus, nach denen sich die Prüfer bei einem Audit richten können:
- SOC 1®— SOC for Service Organizations: Tipp: Internal Control over Financial Reporting (ICFR)
- SOC 2®— SOC for Service Organizations: Trust Services Criteria
- SOC 3® —SOC for Service Organizations: Trust Services Criteria for General Use Report
- SOC for Cybersecurity
- SOC for Supply Chain
Für der Zertifizierung von Cloud-Anbietern kommt der Standard SOC 2 zum Einsatz, nach dem sie mit ihren Cloud-Lösungen bestimmte „Trusted Criteria“ an Datensicherheit und Datenschutz erfüllen müssen.
Die 5 Trusted Criteria
Die internen Kontroll-Parameter dieser Vertrauensgrundsätze umfassen die wichtigen Kriterien Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Anhand der SOC 2-Zertifizierung wissen Unternehmen, dass ein Cloud-Anbieter diese nachweisbar erfüllt:
- Sicherheit: Informationen und Systeme sind gegen unbefugten Zugriff, unbefugte Offenlegung von Informationen und Schäden an den Systemen geschützt. Damit werden die Verfügbarkeit, Integrität, Vertraulichkeit und der Datenschutz der Informationen und Systeme sichergestellt.
- Verfügbarkeit: Informationen sind jederzeit für Berechtigte zugänglich und die Systeme enthalten Kontrollen zur Unterstützung der Zugänglichkeit für Betrieb, Überwachung und Wartung.
- Integrität der Verarbeitung: Sie bezieht sich auf die Vollständigkeit, Gültigkeit, Genauigkeit, Rechtzeitigkeit und Berechtigung der Systemverarbeitung. Die Systeme müssen frei von Fehlern, Verzögerungen, Auslassungen und unbefugten oder versehentlichen Manipulationen laufen.
- Vertraulichkeit: Sensible, als vertraulich gekennzeichnete Informationen müssen Unternehmen mit den Systemen gesetzeskonform und in Übereinstimmung mit den eigenen Unternehmensrichtlinien schützen können – von ihrer Erfassung oder Erstellung bis zu ihrem endgültigen Löschen.
- Datenschutz: Neben der Vertraulichkeit für verschiedene Arten von sensiblen Informationen gilt der Datenschutz speziell für personenbezogene Informationen. Unternehmen müssen sie mit der zertifizierten Lösung in der Cloud datenschutzkonform sammeln, verwenden, aufbewahren, offenlegen oder löschen können.
Die wichtigsten ECM-Zertifizierungen
Mit einem zertifizierten ECM können Sie sicher gehen, dass Sie zahlreiche Gesetzesanforderungen und Standards nachweisbar erfüllen können – in der Cloud wie on-premises. Hier finden Sie die wichtigsten Zertifizierungen, auf die Sie bei der ECM-Auswahl achten sollten.
Jetzt lesenWann erhält ein Cloud-Anbieter die SOC 2-Zertifizierung?
Damit ein SaaS-Anbieter die oben genannten Kriterien erfüllen kann und entsprechend zertifiziert wird, sind bei ihm nach Vorgabe der AICPA intern durchgängige Kontrollen und Prozesse unabdingbar. Dafür müssen folgende Voraussetzungen erfüllt werden:
- Organisation und Verwaltung: Die Strukturen und Prozesse des Anbieter unterstützen dessen Mitarbeiter und schließen dabei Kriterien wie Verantwortlichkeit, Integrität, ethische Werte und Qualifikationen des Personals ein.
- Kommunikation: Es werden Strategien, Prozesse, Verfahren, Verpflichtungen und Voraussetzungen gegenüber autorisierten Nutzern und anderen Personen erstellt.
- Risikomanagement sowie Design und Durchführung von Kontrollen: Potenzielle Risiken werden erkannt, analysiert, es folgen entsprechende Reaktionen und ein kontinuierliches Monitoring.
- Überwachung der Kontrollen: Das System und ob die Kontrollen angemessen und effektiv sind, wird regelmäßig überwacht, um eventuelle Defizite schnellstmöglich identifizieren und beseitigen zu können.
- Logische und physische Zugriffskontrollen: Logische und physische Zugriffe zum System werden beschränkt, Zugriff gewährt und unautorisierte Zugriffe zum System verhindert.
- Systemoperationen: Die Durchführung von Systemprozessen ist geregelt, etwaige Abweichungen vom Normalprozess werden dabei sofort entdeckt und verhindert. Dazu gehören auch Abweichungen von Sicherheitsstandards.
- Änderungsmanagement: Es ist innerhalb eines kontrollierten Veränderungsmanagementprozesses festgelegt, wie geprüft wird, ob Veränderungen im System notwendig sind und wie diese Veränderungen dann durchgeführt und unautorisierte Veränderungen am System verhindert werden.
Was passiert nach der Zertifizierung?
Ein SOC 2-zertifizierter Cloud-Anbieter wird bei einem Audit geprüft, ob er all die genannten Kontrollen und Prozessstandards einhält. Damit das so bestätigte Höchstmaß an Sicherheit und Verfügbarkeit auch weiterhin besteht, müssen SaaS-Anbieter ihre Services kontinuierlich überwachen, analysieren und aktualisieren. Dazu gehört, dass der Zugriff und die Änderungen überwacht, die Zugriffskontrollen nur für zugelassene Benutzer und auf mehreren Ebenen ermöglicht und eine zusätzliche Sicherheitsebene geboten werden. Sollte es trotz detaillierter Cyber-Sicherheitsmaßnahmen zu einer Datenverletzung kommen, muss ein zertifiziertes System warnen: sei es vor unbefugten Zugriffen, verdächtigen Dateiübertragungen oder Änderungen an sensiblen Daten. Damit all das schlussendlich auch nachweisbar ist, muss ein strenges Audit-Verfahren existieren: Es stellt sicher, dass detaillierte Aufzeichnungen über die Verwendung von personenbezogenen Informationen und anderen sensiblen Daten geführt werden. So sind zeitnahe Reaktionen auf Bedrohungen möglich, Umfang und Umstände eines Verstoßes lassen sich exakt ermitteln und ein Schaden rechtzeitig verhindern.
Achten Sie bei der Auswahl Ihrer Cloud-Lösung also auf die SOC 2-Zertifizierung: So brauchen Sie nicht mehr aus Sicherheitsbedenken auf eine moderne Cloud-Infrastruktur verzichten, können Ihren Geschäftsbetrieb durchgehend aufrechterhalten und Geschäftsprozesse schnell an neue Anforderungen anpassen. Die Doxis Cloud Services der SER Group sind z.B. erfolgreich nach dem Standard SOC 2 Typ 1 zertifiziert, wie die unabhängige Wirtschaftsprüfungsgesellschaft CyberGuard Compliance LLP in ihrem Prüfbericht zur AICPA-Zertifizierung bestätigt. Welche Lösungen sich damit sicher in der Cloud umsetzen lassen, können Sie sich unverbindlich in einer persönlichen Live Demo anschauen. Hier buchen Sie Ihren Termin ⯈
Jetzt zum Newsletter anmelden
Die neusten Digitalisierungstrends, Gesetze und Richtlinien sowie hilfreiche Tipps direkt in Ihrem Postfach.
Wie können wir helfen?
+49 (0) 228 90896-789Ihre Nachricht hat uns erreicht!
Wir freuen uns über Ihr Interesse und melden uns in Kürze bei Ihnen.