SOC 2
Was ist SOC 2?
SOC 2Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet.
SOC 2 (System and Organization Controls 2) ist eine Bescheinigungsleistung nach AICPA-Standard SSAE 18. Sie bewertet die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria: Sicherheit (immer erforderlich), Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Berichte werden als Typ 1 (Kontrolldesign zu einem Stichtag) oder Typ 2 (Wirksamkeit der Kontrollen über einen Zeitraum, üblicherweise 3 bis 12 Monate) erstellt. SaaS-, Cloud- und Managed-Service-Anbieter nutzen SOC 2 häufig, um Kunden unter NDA ihre Kontrollreife zu zeigen. SOC 2 ist keine Zertifizierung; Ergebnis ist das Prüferurteil im SOC-2-Bericht.
● Beispiele
- 01
Ein SaaS-Start-up erstellt im ersten Prüfjahr einen SOC-2-Typ-1-Bericht zu Sicherheit und Vertraulichkeit.
- 02
Ein Enterprise-Anbieter übergibt Kunden jährlich einen SOC-2-Typ-2-Bericht zu Sicherheit und Verfügbarkeit.
● Häufige Fragen
Was ist SOC 2?
Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet SOC 2?
Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet.
Wie schützt man sich gegen SOC 2?
Schutzmaßnahmen gegen SOC 2 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SOC 2?
Übliche alternative Bezeichnungen: Service Organization Controls 2.