Verständnis von Compliance SOC 1 vs. SOC 2 vs. SOC 3

von

Compliance ist ein fundamentaler Faktor für das Wachstum Ihres Unternehmens.

Nehmen wir an, Sie sind daran interessiert, ein SaaS-Unternehmen zu führen und mittelständische Kunden anzusprechen. In diesem Szenario ist es unerlässlich, dass Sie sich an die relevanten Gesetze und Vorschriften halten und ein höheres Maß an Sicherheit für Ihr Unternehmen etablieren.

Viele Organisationen versuchen, diese Anforderungen zu umgehen, indem sie Sicherheitsfragebögen einsetzen.

Die Bedeutung der Einhaltung von Vorschriften wird besonders deutlich, wenn ein Kunde oder Klient ein SOC-Zertifikat anfordert.

Die Einhaltung von Service Organization Control (SOC) bezieht sich auf eine spezifische Art der Zertifizierung. Dabei unterzieht sich eine Organisation einer externen Prüfung, um nachzuweisen, welche Kontrollmechanismen sie implementiert hat. SOC-Konformität erstreckt sich auch auf die Lieferkette und die Cybersicherheit.

Im April 2010 verkündete das American Institute of Certified Public Accountants (AICPA) eine Veränderung von SAS 70. Der überarbeitete und neue Prüfstandard trägt den Namen Statement on Standards for Attestation Engagements (SSAE 16).

Parallel zum SSAE 16-Audit wurden drei weitere Berichte entwickelt, um die Kontrollen einer Serviceorganisation zu prüfen. Diese sind bekannt als SOC-Berichte und umfassen die SOC 1-, SOC 2- und SOC 3-Berichte mit jeweils unterschiedlichen Schwerpunkten.

In diesem Artikel werden alle SOC-Berichte erläutert, ihre Anwendungsbereiche aufgezeigt und ihre Relevanz für die IT-Sicherheit beleuchtet.

Legen wir los!

Was genau ist ein SOC-Bericht?

SOC-Berichte können als ein Wettbewerbsvorteil betrachtet werden, der einem Unternehmen sowohl finanziell als auch zeitlich zugutekommt. Dabei werden externe und unabhängige Prüfer hinzugezogen, um unterschiedliche Aspekte einer Organisation zu untersuchen, darunter:

  • Verfügbarkeit
  • Vertraulichkeit
  • Datenschutz
  • Integrität der Verarbeitung
  • Sicherheit
  • Kontrollen im Zusammenhang mit der Cybersicherheit
  • Kontrollen im Zusammenhang mit der Finanzberichterstattung

SOC-Berichte bestätigen, dass potenzielle Dienstleister gesetzeskonform und ethisch agieren. Obwohl Audits herausfordernd sein können, bieten sie eine enorme Sicherheit und Vertrauensbasis. Sie helfen dabei, die Vertrauenswürdigkeit und Glaubwürdigkeit eines Dienstanbieters zu bewerten.

Darüber hinaus sind SOC-Berichte nützlich für:

  • Programme zum Lieferantenmanagement
  • Aufsicht über die Organisation
  • Regulierungsaufsicht
  • Risikomanagementprozesse und interne Unternehmensführung

Warum ist ein SOC-Bericht unerlässlich?

Zahlreiche Serviceorganisationen, wie beispielsweise Rechenzentrumsunternehmen, SaaS-Anbieter, Kreditverwalter und Schadensbearbeiter, sind dazu verpflichtet, sich einem SOC-Audit zu unterziehen. Diese Unternehmen müssen Finanzdaten oder sensible Daten ihrer Kunden oder Nutzereinheiten speichern.

Demnach kann jedes Unternehmen, das Dienstleistungen für andere Unternehmen oder Nutzer erbringt, für ein SOC-Audit in Frage kommen. Ein SOC-Bericht signalisiert potenziellen Kunden nicht nur, dass das Unternehmen seriös ist, sondern deckt zudem Schwachstellen in Ihren Kontrollen oder bei Ihren Kunden durch Bewertungsprozesse auf.

Was können Sie von einer SOC-Bewertung erwarten?

Bevor Sie einen SOC-Bewertungsprozess durchlaufen, müssen Sie festlegen, welcher SOC-Bericht für Ihre Organisation am besten geeignet ist. Anschließend beginnt ein formaler Prozess mit der Bereitschaftsbewertung.

Serviceorganisationen bereiten sich auf die Prüfung vor, indem sie potenzielle Warnzeichen, Lücken und Mängel identifizieren. Dies ermöglicht dem Unternehmen, die verfügbaren Optionen zur Behebung dieser Fehler und Schwächen zu verstehen.

Wer kann ein SOC-Audit durchführen?

SOC-Audits werden von unabhängigen Certified Public Accountants (CPAs) oder Wirtschaftsprüfungsgesellschaften durchgeführt.

Die AICPA legt professionelle Standards fest, die die Arbeit der SOC-Auditoren regeln sollen. Darüber hinaus müssen Organisationen spezifische Richtlinien hinsichtlich der Durchführung, Planung und Überwachung einhalten.

Jedes AICPA-Audit wird einer Peer-Review unterzogen. CPA-Organisationen oder -Firmen setzen auch Nicht-CPA-Experten mit IT- und Sicherheitskenntnissen ein, um sich auf ein SOC-Audit vorzubereiten. Der Abschlussbericht muss jedoch von der CPA geprüft und freigegeben werden.

Lassen Sie uns jeden Bericht einzeln betrachten, um zu verstehen, wie er funktioniert.

Was ist SOC 1?

Das primäre Ziel von SOC 1 ist die Kontrolle der Ziele innerhalb der SOC 1-Dokumente und Prozessbereiche der internen Kontrollen, die für die Prüfung des Jahresabschlusses der Nutzereinheit relevant sind.

Einfach ausgedrückt: Es zeigt Ihnen, wann die Dienstleistungen einer Organisation Einfluss auf die Finanzberichterstattung einer Nutzereinheit haben.

Was ist ein SOC 1-Bericht?

Ein SOC 1-Bericht dokumentiert die Kontrollen einer Serviceorganisation, die für die Kontrolle der Finanzberichterstattung einer Nutzereinheit relevant sind. Er wurde entwickelt, um den Anforderungen der Nutzereinheiten gerecht zu werden. Dabei bewerten Wirtschaftsprüfer die Wirksamkeit der internen Kontrollen der Serviceorganisation.

Es gibt zwei Typen von SOC 1-Berichten:

  • SOC 1 Typ 1: Dieser Bericht konzentriert sich im Wesentlichen auf das System einer Serviceorganisation und bewertet die Eignung der Systemkontrollen, um die Kontrollziele zusammen mit der Beschreibung zum festgelegten Datum zu erreichen.

SOC 1 Typ 1-Berichte sind in der Regel auf Wirtschaftsprüfer, Manager und Nutzereinheiten beschränkt. Dienstleister sind typischerweise Teil jeder Dienstleistungsorganisation. Ein Service-Auditor erstellt den Bericht, der alle Anforderungen des SSAE 16 erfüllt.

  • SOC 1 Typ 2: Dieser Bericht enthält ähnliche Bewertungen und Analysen wie ein SOC 1 Typ 1-Bericht. Er beinhaltet jedoch zusätzlich eine Einschätzung der Wirksamkeit der im Voraus festgelegten Kontrollen, die darauf ausgerichtet sind, alle Kontrollziele über einen bestimmten Zeitraum hinweg zu erreichen.

In einem SOC 1 Typ 2-Bericht führen Kontrollziele zu potenziellen Risiken, die die interne Kontrolle mindern möchte. Der Umfang umfasst relevante Kontrolldomänen und bietet angemessene Sicherheiten. Es wird auch bestätigt, dass eine Grenze existiert, die nur autorisierte und angemessene Handlungen erlaubt.

Was ist der Zweck von SOC 1?

Wie bereits erwähnt, ist SOC 1 der erste Teil der Reihe „Service Organization Control“, der sich auf interne Kontrollen in der Finanzberichterstattung konzentriert. Er gilt für Unternehmen, die direkt mit Finanzdaten für Partner und Kunden arbeiten.

Auf diese Weise wird die Interaktion einer Organisation gesichert, werden Finanzberichte der Nutzer gespeichert und weitergeleitet. Der SOC 1-Bericht unterstützt Investoren, Kunden, Wirtschaftsprüfer und das Management bei der Beurteilung der internen Kontrollen rund um die Finanzberichterstattung gemäß den AICPA-Richtlinien.

Wie kann die Einhaltung von SOC 1 aufrechterhalten werden?

SOC 1-Compliance definiert den Prozess der Verwaltung aller SOC 1-Kontrollen, die im SOC 1-Bericht für einen definierten Zeitraum festgelegt wurden. Sie stellt die Wirksamkeit der Anwendung der SOC 1-Regeln sicher.

Die Kontrollen sind im Allgemeinen IT-Kontrollen, Geschäftsprozesskontrollen usw., die eingesetzt werden, um ein angemessenes Maß an Sicherheit basierend auf den Kontrollzielen zu gewährleisten.

Was ist SOC 2?

SOC 2, entwickelt vom AICPA, beschreibt die Kriterien zur Kontrolle oder Verwaltung von Kundendaten basierend auf fünf Prinzipien zur Bereitstellung vertrauenswürdiger Dienstleistungen. Diese Prinzipien sind:

  • Verfügbarkeit: Dazu gehören Notfallwiederherstellung, Behandlung von Sicherheitsvorfällen und Leistungsüberwachung.
  • Datenschutz: Dies umfasst Verschlüsselung, Zwei-Faktor-Authentifizierung (2FA) und Zugriffskontrolle.
  • Sicherheit: Hierzu gehören Intrusion Detection, Zwei-Faktor-Authentifizierung und Netzwerk- oder Anwendungs-Firewalls.
  • Vertraulichkeit: Dies umfasst Zugriffskontrollen, Verschlüsselung und Anwendungs-Firewalls.
  • Integrität der Verarbeitung: Dies umfasst Verarbeitungsüberwachung und Qualitätssicherung.

SOC 2 ist aufgrund seiner strengen Anforderungen, im Gegensatz zu PCI DSS, für jede Organisation einzigartig. Jedes Design hat, basierend auf spezifischen Geschäftspraktiken, seine eigenen Kontrollen, um den verschiedenen Vertrauensprinzipien gerecht zu werden.

Was ist ein SOC 2-Bericht?

Ein SOC 2-Bericht ermöglicht es Serviceorganisationen, einen Bericht zu erstellen und diesen mit Stakeholdern zu teilen, um allgemeine Informationen über ihre IT-Kontrollen vor Ort bereitzustellen.

Es gibt zwei Arten von SOC 2-Berichten:

  • SOC 2 Typ 1: Beschreibt die Systeme des Anbieters und bestätigt, ob die Gestaltung des Systems geeignet ist, um die Vertrauensprinzipien zu erfüllen.
  • SOC 2 Typ 2: Liefert Informationen zur betrieblichen Effektivität der Systeme des Anbieters.

SOC 2 unterscheidet sich von Organisation zu Organisation in Bezug auf Informationssicherheitsrahmen und -standards, da es keine klar definierten Anforderungen gibt. Die AICPA stellt Kriterien zur Verfügung, aus denen eine Dienstleistungsorganisation wählen kann, um die Kontrollen nachzuweisen, die sie zum Schutz der angebotenen Dienstleistungen eingerichtet hat.

Was ist der Zweck von SOC 2?

Die Einhaltung von SOC 2 signalisiert, dass die Organisation ein hohes Maß an Informationssicherheit kontrolliert und aufrechterhält. Durch strikte Einhaltung können Unternehmen sicherstellen, dass ihre kritischen Informationen geschützt sind.

Durch die Einhaltung von SOC 2 erhalten Sie:

  • Verbesserte Datensicherheitspraktiken, durch die sich die Organisation vor Cyberangriffen und Sicherheitsverletzungen schützt.
  • Einen Wettbewerbsvorteil, da Kunden verstärkt mit Dienstanbietern zusammenarbeiten möchten, die solide Datensicherheitspraktiken vorweisen können, insbesondere im Bereich Cloud- und IT-Dienstleistungen.

SOC 2 schränkt die unbefugte Nutzung von Daten und Vermögenswerten ein, mit denen eine Organisation arbeitet. Die Sicherheitsprinzipien fordern von Organisationen, Zugriffskontrollen einzuführen, um Daten vor böswilligen Angriffen, Missbrauch, unbefugter Offenlegung oder Änderung von Unternehmensinformationen und unbefugter Datenlöschung zu schützen.

Wie kann die SOC 2-Compliance aufrechterhalten werden?

Die Einhaltung von SOC 2 ist ein freiwilliger Standard, der vom AICPA entwickelt wurde und definiert, wie eine Organisation mit Kundendaten umgeht. Der Standard wird durch fünf Vertrauensdienstkriterien beschrieben: Sicherheit, Integrität der Verarbeitung, Vertraulichkeit, Datenschutz und Verfügbarkeit.

Die SOC-Compliance ist auf die Bedürfnisse jeder einzelnen Organisation zugeschnitten. Abhängig von den Geschäftspraktiken kann eine Organisation Designkontrollen wählen, die einem oder mehreren Trust Service Principles folgen sollten. Dies erstreckt sich auf alle Dienste, einschließlich DDoS-Schutz, Lastausgleich, Angriffsanalyse, Sicherheit von Webanwendungen, Bereitstellung von Inhalten über CDN und mehr.

Vereinfacht ausgedrückt ist die SOC 2-Compliance keine beschreibende Liste von Tools, Prozessen oder Kontrollen. Vielmehr wird die Notwendigkeit von Kriterien hervorgehoben, die für die Aufrechterhaltung der Informationssicherheit entscheidend sind. Dies ermöglicht es jeder Organisation, die besten Prozesse und Praktiken zu implementieren, die für ihre Abläufe und Ziele relevant sind.

Im Folgenden finden Sie eine Checkliste der grundlegenden SOC 2-Konformität:

  • Zugriffskontrollen
  • Systemoperationen
  • Risikominderung
  • Änderungsmanagement

Was ist SOC 3?

SOC 3 ist ein Prüfverfahren, das vom AICPA entwickelt wurde, um die Stärke der internen Kontrolle einer Serviceorganisation über Rechenzentren und Cloud-Sicherheit zu bestimmen. Ein SOC 3-Rahmen basiert ebenfalls auf Kriterien für Vertrauensdienste, die Folgendes umfassen:

  • Sicherheit: Systeme und Informationen sind sicher vor unbefugter Offenlegung, unbefugtem Zugriff und Beschädigung der Systeme.
  • Integrität der Verarbeitung: Die Systemverarbeitung ist gültig, genau, autorisiert, zeitnah und vollständig, um die Anforderungen des Unternehmens zu erfüllen.
  • Verfügbarkeit: Systeme und Informationen sind für die Nutzung und den Betrieb verfügbar, um die Anforderungen des Unternehmens zu erfüllen.
  • Datenschutz: Personenbezogene Daten werden verwendet, offengelegt, entsorgt, aufbewahrt und erhoben, um die Anforderungen des Unternehmens zu erfüllen.
  • Vertraulichkeit: Als kritisch bezeichnete Informationen werden geschützt, um die Anforderungen des Unternehmens zu erfüllen.

Mithilfe von SOC 3 ermitteln Serviceorganisationen, welche dieser Vertrauensdienstkriterien auf die Dienstleistungen zutreffen, die sie ihren Kunden anbieten. Zusätzliche Informationen zur Berichterstattung, zu Leistungsanforderungen und Anwendungshinweisen finden Sie in den Statements on Standards.

Was ist ein SOC 3-Bericht?

SOC 3-Berichte enthalten die gleichen Informationen wie SOC 2, unterscheiden sich jedoch in Bezug auf ihre Zielgruppe. Ein SOC 3-Bericht ist nur für allgemeine Zielgruppen bestimmt. Diese Berichte sind kürzer und enthalten nicht die gleichen Details wie ein SOC 2-Bericht. Sie sind für Interessengruppen und informierte Zielgruppen geeignet.

Da ein SOC 3-Bericht allgemeiner gehalten ist, kann er schnell und offen auf der Website eines Unternehmens veröffentlicht werden, zusammen mit einem Siegel, das die Compliance bestätigt. Dies hilft, mit internationalen Rechnungslegungsstandards Schritt zu halten.

So erlaubt beispielsweise AWS öffentliche Downloads des SOC 3-Berichts.

Was ist der Zweck von SOC 3?

Unternehmen, insbesondere kleinere Unternehmen oder Start-ups, verfügen oft nicht über ausreichende Ressourcen, um bestimmte wesentliche Dienstleistungen intern zu kontrollieren oder aufrechtzuerhalten. Daher lagern diese Unternehmen Dienstleistungen häufig an Drittanbieter aus, anstatt zusätzlichen Aufwand oder Geld in den Aufbau einer neuen Abteilung für diese Dienstleistungen zu investieren.

Outsourcing ist daher eine bessere Option, birgt aber auch Risiken. Der Grund hierfür ist, dass ein Unternehmen Kundendaten oder sensible Informationen mit Drittanbietern teilt, abhängig von den Dienstleistungen, die das Unternehmen auslagern möchte.

Organisationen sollten jedoch nur mit Anbietern zusammenarbeiten, die die Einhaltung von SOC 3 nachweisen können.

Die Einhaltung von SOC 3 basiert auf AT-C Abschnitt 205 und AT-C Abschnitt 105 von SSAE 18. Sie enthält grundlegende Informationen über die Beschreibung des unabhängigen Managements und die Bestätigungserklärung. Sie gilt für alle Dienstleister, die Kundendaten in der Cloud speichern, einschließlich PaaS-, IaaS- und SaaS-Anbietern.

Wie kann die Einhaltung von SOC 3 aufrechterhalten werden?

SOC 3 ist die Folgeversion von SOC 2, daher ist das Prüfungsverfahren identisch. Service-Auditoren orientieren sich an den folgenden Richtlinien und Kontrollen:

Nach Abschluss des Audits erstellt der Wirtschaftsprüfer einen Bericht basierend auf den Ergebnissen. Ein SOC 3-Bericht ist jedoch weitaus weniger detailliert, da er nur die Informationen enthält, die für die Öffentlichkeit notwendig sind. Die Serviceorganisation teilt die Ergebnisse nach Abschluss des Abschlussaudits zu Marketingzwecken. Es zeigt auf, worauf Sie sich konzentrieren müssen, um das Audit zu bestehen. Daher wird der Serviceorganisation empfohlen:

  • Die Kontrollen sorgfältig auszuwählen.
  • Eine Bewertung durchzuführen, um Lücken in den Kontrollen zu identifizieren.
  • Die regelmäßigen Aktivitäten zu ermitteln.
  • Die nächsten Schritte für die Alarmierung von Vorfällen zu beschreiben.
  • Einen qualifizierten Service-Auditor für die Durchführung des Abschlussaudits zu suchen.

Nachdem Sie nun einen Überblick über jeden Compliance-Typ haben, lassen Sie uns die Unterschiede zwischen den dreien betrachten, um zu erfahren, wie sie jedem Unternehmen helfen, sich auf dem Markt zu positionieren.

SOC 1 vs. SOC 2 vs. SOC 3: Unterschiede

Die folgende Tabelle beschreibt die Zwecke und Vorteile der einzelnen SOC-Berichte.

SOC 1 SOC 2 SOC 3
Meinungen Es gibt Meinungen zum Typ 1-Design und Typ 2-Design oder -Betrieb, einschließlich Testverfahren und -ergebnissen. Ein einzelnes Ergebnis, um Anforderungen von Partnern an den Betrieb der Organisation zu erfüllen, einschließlich Ergebnisse und Verfahren. Es enthält keine Testverfahren, Ergebnisse oder Kontrollen.
Kontrolliert Es kontrolliert Anforderungen, die für die internen Kontrollen rund um die Finanzberichterstattung wesentlich sind. Nichtfinanzielle Kontrollen werden mit den fünf für den Gegenstand wesentlichen Vertrauensprinzipien bewertet. Es hängt auch von den fünf Vertrauensdienstkriterien ab. Es hängt auch von den fünf Vertrauensdienstkriterien ab.
Verteilung Eingeschränkter Vertrieb an Kunden und Wirtschaftsprüfer. Regulatoren, Kunden und Wirtschaftsprüfer des eingeschränkten Vertriebs werden im Bericht definiert. Unterstützung im Kundenmarketing. Uneingeschränkte Verteilung.
Transparenz Bewahrt Transparenz über die Beschreibung, Kontrolle, Verfahren und das Ergebnis des Systems. Bietet ein Maß an Transparenz, das genau dem von SOC 1 entspricht. Allgemeine Verteilung der Berichte für Marketingvorteile.
Fokus Konzentriert sich auf Finanzkontrollen. Konzentriert sich auf operative Kontrollen. Ähnelt SOC 2, enthält jedoch weniger Informationen.
Beschreibt Beschreibt die Systeme der Serviceorganisation. Beschreibt auch die Systeme der Serviceorganisation. Beschreibt auch die Systeme der Serviceorganisation.
Meldet Meldet interne Kontrollen. Meldet Verfügbarkeit, Datenschutz, Vertraulichkeit, Integrität der Verarbeitung und Sicherheitskontrollen. Ähnlich wie SOC 2.
Zielgruppe Das Büro des Benutzercontrollers und der Benutzerauditor verwenden SOC 1. Es wird unter Geheimhaltungsvereinbarung von Aufsichtsbehörden, dem Management und anderen geteilt. Es wird unter Geheimhaltungsvereinbarung von Aufsichtsbehörden, dem Management und anderen geteilt. Es ist für die Öffentlichkeit zugänglich.
Wer muss es wissen? Die meisten Wirtschaftsprüfer. Die meisten Wirtschaftsprüfer. Allgemeine Öffentlichkeit.
Beispiele Beispiel: Bearbeiter medizinischer Forderungen. Beispiel: Cloud-Speicherunternehmen. Beispiel: Ein öffentliches Unternehmen.

Fazit

Um zu entscheiden, welche SOC-Compliance für Ihr Unternehmen am besten geeignet ist, müssen Sie sich die Art der Informationen vor Augen führen, mit denen Sie arbeiten, unabhängig davon, ob es sich um Ihre eigenen Daten oder die Ihrer Kunden handelt.

Wenn Sie Gehaltsabrechnungsdienste anbieten, ist möglicherweise SOC 1 die richtige Wahl. Wenn Sie Kundendaten verarbeiten oder hosten, benötigen Sie möglicherweise einen SOC 2-Bericht. Wenn Sie eine weniger formelle Compliance benötigen, die sich am besten für Marketingzwecke eignet, ist ein SOC 3-Bericht möglicherweise die passende Option.

Weitere Artikel:

  1. Verständnis von SFTP vs. FTPS vs. FTP
  2. Warum ist das Verständnis von Netzwerkprotokollen für Programmierer wichtig?
  3. Astra Pentest überprüft – Einfaches, kontinuierliches Schwachstellen-Scannen und Compliance
  4. Verständnis von Java vs. JavaScript