SOC 2® ist ein Rahmenwerk, das für zertifizierte Wirtschaftsprüfungsunternehmen und -agenturen entwickelt wurde, um die Prozesse und Kontrollen eines Unternehmens zu prüfen, zu bewerten und zu bestätigen, die zum Verwalten und Schützen von Kundendaten implementiert wurden. Das American Institute of Certified Public Accountants (AICPA) entwickelte SOC 2 um fünf Vertrauensprinzipien: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

In diesem Artikel gehen wir auf die Feinheiten der fünf Vertrauensdienstprinzipien ein. Wir werden auch besprechen, was jedes Prinzip beinhaltet, für wen es gilt und die Kriterien, die im Rahmen jedes Prinzips getestet werden. Das Ziel ist es, Ihnen zu helfen, festzustellen, welche Vertrauensprinzipien für Ihre Organisation gelten und wie Sie ihre festgelegten Standards erfüllen können.

Was sind SOC 2-Vertrauensprinzipien?

Vertrauensprinzipien wurden 2016 von der AICPA eingeführt, um die relevanten Kontrollen einer Organisation für Informationen und Systeme zu bewerten und zu berichten, um deren SOC 2-Konformität zu beurteilen.

Im Dokument 2016 Trust Services Principles and Criteria (TSPC) spezifizierte das AICPA fünf Hauptprinzipien:

1. Sicherheit
2. Verfügbarkeit
3. Verarbeitungsintegrität
4. Vertraulichkeit
5. Datenschutz

Dieses Dokument lieferte auch Kriterien für jedes Vertrauensdienstprinzip, die von den Systemkontrollen der Organisationen erfüllt werden mussten, bekannt als anwendbare Vertrauensdienstkriterien oder Bescheinigungskriterien. Während einer SOC 2-Prüfung würde ein Wirtschaftsprüfer dann die Eignung des Designs und/oder die Wirksamkeit der Systemkontrollen bewerten, die dazu dienen sollen, die Kriterien für die relevanten Vertrauensdienstprinzipien zu erfüllen.

Wie hängen die TSPC von 2016 mit den TSC von 2017 zusammen?

Die TSPC von 2016 wurden am 15. Dezember 2018 durch die Trust Services Criteria (TSC) von 2017 ersetzt. Obwohl sich der Name geändert hat, beziehen sich die TSC auf dieselben fünf Kategorien: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Der Zweck bleibt ebenfalls derselbe: ein Rahmenwerk zur Bewertung der relevanten Kontrollen für Informationen und Systeme zur SOC 2-Konformität bereitzustellen.

Obwohl wir weiterhin den Begriff „Vertrauensprinzipien“ im gesamten Blog verwenden werden, spiegeln die unten stehenden Informationen die aktuellsten Informationen in den TSC von 2017 wider.

Sind alle Vertrauensprinzipien für die SOC 2-Prüfung erforderlich?

Ihre Organisation ist nicht verpflichtet, in dem SOC 2-Prüfungsbericht jedes Vertrauensdienstprinzip zu prüfen und zu bescheinigen.

Sicherheit ist das einzige Prinzip, das erforderlich ist, um SOC 2-konform zu werden. Die anderen sind optional, werden jedoch je nach Art Ihres Unternehmens empfohlen.

Sie sollten Prinzipien auswählen, die für die von Ihnen erbrachten Dienstleistungen oder die Anforderungen der von Ihnen bedienten Benutzer relevant sind.

Wenn Sie beispielsweise viele sensible oder persönliche Daten haben, sollten Sie Vertraulichkeit oder Datenschutz in Betracht ziehen. Wir werden dies weiter unten ausführlicher besprechen.

Lassen Sie uns genauer betrachten, wie Sie die SOC 2-Vertrauensgrundsätze auswählen können, die für Ihre Organisation und Ihre Kunden relevant sind.

Wie wählt man Vertrauensgrundsätze für das SOC 2-Audit aus?

SOC 2-Konformität ist einzigartig für jede Organisation. Daher gibt es keine Einheitslösung zur Auswahl der Vertrauensdienstprinzipien für eine SOC 2-Untersuchung. Die Auswahl sollte auf mehreren Faktoren basieren, einschließlich:

• der Dienstleistungen, die Sie erbringen
• Anforderungen der Benutzereinheiten
• vertraglicher Verpflichtungen
• gesetzlicher Anforderungen
• Art der Daten in Ihrem System

Laut AICPA müssen die von Ihnen ausgewählten Vertrauensgrundsätze geeignet sein. Es definiert die Attribute der Eignung wie folgt.

• Relevanz: Die Kriterien sollten für das Thema zulässig sein.
• Objektivität: Sie sollten auch frei von Voreingenommenheit sein.
• Messbarkeit: Sie sollten konsistente Messungen — quantitative oder qualitative — des Themas ermöglichen.
• Vollständigkeit: Die Kriterien sollten keine relevanten Faktoren außer Acht lassen, die den Entscheidungsprozess der vorgesehenen Benutzer beeinflussen könnten.

Ein fundiertes Wissen über jedes Vertrauensdienstprinzip und die anwendbaren Kriterien kann Ihnen helfen, die für Ihre Organisation und Ihre Kunden geeigneten auszuwählen. Lassen Sie uns diese unten genauer betrachten.

Vertrauensdienstprinzipien: Erfüllung der SOC 2-Zertifizierungsanforderungen

Wie oben erwähnt, informieren die von Ihnen ausgewählten Vertrauensgrundsätze Ihre Zertifizierungskriterien.

Ihre Zertifizierungskriterien sind so einfach oder komplex wie die von Ihnen gewählten Vertrauensgrundsätze. Am einfachsten ist es, nur die Sicherheit zu prüfen, die obligatorisch ist. Sie müssen jedoch möglicherweise andere Prinzipien hinzufügen, basierend auf den von Ihnen erbrachten Dienstleistungen oder anderen erwähnten Faktoren.

In diesem Fall kann ein vollständiger Satz von SOC 2-Kriterien nur aus den allgemeinen Kriterien bestehen, die zum Testen des Sicherheitsvertrauensdienstprinzips verwendet werden. Oder es kann aus den allgemeinen Kriterien und zusätzlichen spezifischen Kriterien für Prozessintegrität, Verfügbarkeit, Vertraulichkeit und Datenschutz bestehen.

Lassen Sie uns jedes Vertrauensdienstprinzip und deren anwendbare Kriterien unten genauer betrachten, beginnend mit Sicherheit.

Sicherheit

Der Microsoft-Datenbruch im Jahr 2019, bei dem mehr als 250 Millionen Benutzerdaten offengelegt wurden, war ein Weckruf für technologieorientierte Organisationen. Er diente als Beweis dafür, dass keine Organisation vor Datenverletzungen sicher ist.

Als SaaS-Anbieter können Sie nichts anderes tun, als nützliche Datensicherheitssysteme und interne Kontrollen zu implementieren, um diese Bedrohungen abzuwehren.

Ihre Kunden möchten Beweise für ordnungsgemäße Sicherheitssysteme sehen, bevor sie einen Vertrag mit Ihnen abschließen. Hier kommt der Sicherheit TSP ins Spiel.

Sicherheit bezieht sich auf den Schutz von Daten während ihrer Erstellung, Sammlung, Verarbeitung, Speicherung, Nutzung und Übertragung. Sie bietet Kriterien, mit denen Sie auditieren und bewerten können, wie effektiv Ihr Sicherheitssystem zum Schutz der Benutzerdaten ist.

Die im Rahmen des Sicherheit TSP getesteten Kriterien werden als die Common Criteria (CC-Serie) definiert.

Common Criteria

Die Common Criteria leiten Sie bei der Entwicklung, Implementierung und dem Betrieb von Sicherheitskontrollen an. Sie bieten die spezifischen Kriterienabschnitte, die für die Auditierung und Bewertung von Sicherheitskontrollen geeignet sind, um Systemziele zu erreichen.

Common Criteria legt die 17 internen Kontrollprinzipien des COSO-Rahmenwerks (Committee of Sponsoring Organization of the Treadway Commission) dar.

Es bietet die Kriterien für folgende Bereiche:

• CC1 — Kontrollumgebung: Umfasst die ersten fünf Prinzipien des COSO-Rahmenwerks von 2013. Dies beinhaltet das Engagement des Dienstleistungsunternehmens für ethische Werte und Integrität, die Unabhängigkeit des Vorstands, Strukturen und Berichtswege sowie die Verantwortlichkeit der für interne Kontrollen verantwortlichen Personen.
• CC2 — Kommunikation und Information: Bezieht sich auf die COSO-Prinzipien 13-15, einschließlich Abschnitte wie die Erzeugung von Qualitätsinformationen, die interne Kommunikation von Informationen und die Kommunikation mit externen Parteien über Angelegenheiten, die die Funktionsweise der internen Kontrollen beeinflussen.
• CC3 — Risikobewertung: Bezieht sich auf die COSO-Prinzipien sechs bis neun, einschließlich der Identifizierung und Bewertung von Risiken, der Analyse interner und externer Risikofaktoren und der Bewertung der Art von Betrug. Darüber hinaus umfasst es die Bewertung von Änderungen im Geschäftsmodell und der externen Umgebung, die sich auf die interne Sicherheitskontrolle auswirken könnten.
• CC4 — Steuerungskontrollen: Bezieht sich auf die Prinzipien 16-17 des COSO-Rahmenwerks von 2013, einschließlich einer Bewertung, ob interne Kontrollen vorhanden und funktionsfähig sind. Es wird auch überprüft, ob die Bewertung und Mitteilung von Mängeln in den internen Kontrollen rechtzeitig erfolgt.
• CC5 — Kontrollaktivitäten: Die letzte Kategorie umfasst die Prinzipien 10-12. Es wird getestet, ob die relevanten internen Kontrollen zur Risikominderung vorhanden sind. Es soll auch festgestellt werden, ob diese Kontrollen kontinuierlich überprüft werden.

Verfügbarkeit

Wie Mark Russinovich, Chief Technology Officer bei Microsoft Azure, sagt: „Dienstvorfälle wie Ausfälle sind eine unvermeidliche Realität in der Technologiebranche.” Mit anderen Worten, Sie können keine 100%ige Systemverfügbarkeit garantieren.

Ihre Kunden erwarten jedoch, dass Daten und Systemressourcen für den Betrieb verfügbar sind. Dies gilt insbesondere für Cloud-Service-Anbieter, die Cloud-Computing- oder Cloud-Datenspeicherdienste anbieten.

Wenn Sie eine Plattform für kontinuierliche Lieferung und/oder kontinuierliche Bereitstellung (CI/CD) anbieten, verhindert ein Ausfall, dass Kunden Änderungen an ihren Diensten erstellen oder bereitstellen können. Ihre Kunden werden von Ihnen verlangen, dass Sie die Verfügbarkeit in einem SOC 2-Bericht als Garantie für minimale Serviceunterbrechungen aufnehmen. Wenn Sie außerdem eine große Kundenbasis haben, die auf Ihren Dienst oder Ihre Plattform angewiesen ist, möchten Sie möglicherweise die Verfügbarkeit in den Umfang Ihres Audits einbeziehen.

Verfügbarkeit TSP bezieht sich auf die Zugänglichkeit von Ressourcen und Daten, die Ihre Systeme verwenden, sowie Dienste und Produkte, die Sie Ihren Kunden zur Verfügung stellen. Es gibt den Kunden die Sicherheit, dass Sie die Leistungsniveaus erreichen, die erforderlich sind, um ihre Bedürfnisse zu erfüllen.

Dieses TSP definiert keine minimal akzeptablen Leistungsniveaus. Stattdessen lässt es Raum für Dienstanbieter und Benutzereinheiten, die erforderlichen Niveaus festzulegen und zu vereinbaren. Es erfordert jedoch auch, dass Ihre Systeme über die entsprechenden Kontrollen verfügen, um die Zugänglichkeit für Überwachung, Betrieb und Wartung zu erleichtern.

Um Ihnen bei der Vorbereitung auf die SOC 2-Bestätigung zu helfen, nennt das AICPA drei zusätzliche Kriterien für die Verfügbarkeit (A-Serie).

Sie sollten:

• A1.1: Überwachen, bewerten und pflegen Sie die aktuelle Verarbeitungskapazität und wenden Sie Systemkomponenten an, um die Kapazitätsanforderungen aufrechtzuerhalten. Sie sollten auch die Bereitstellung zusätzlicher Kapazität ermöglichen, wo dies erforderlich ist, um die Service Level Agreements (SLAs) zu erfüllen.
• A1.2: Entwerfen, entwickeln, genehmigen, implementieren, erwerben, betreiben, überwachen und warten Sie Software, Wiederherstellungsinfrastruktur und Datensicherungsdienste, um Ihre Verfügbarkeitsziele zu erreichen.
• A1.3: Testen Sie das Verankerungssystem der Wiederherstellungsverfahren, um Ihr Verfügbarkeitsziel zu erreichen.

Verarbeitungsintegrität

Wenn Sie Dienstleistungen zur Finanzberichterstattung oder für den E-Commerce erbringen, sollten Sie bemüht sein, eine interne Qualitätssicherung aufrechtzuerhalten.

Wenn Sie beispielsweise eine Finanzanwendung bereitstellen, sollten Sie sicherstellen, dass die Systemverarbeitung korrekt, zeitnah, vollständig, gültig und autorisiert ist, um die festgelegten Standards zu erfüllen. Dies sind die Kennzeichen der Verarbeitungsintegrität.

Verarbeitungsintegrität ist ein unverzichtbares Vertrauensprinzip in einer Ära voller Finanzbetrug, wie z.B. autorisierter Push-Zahlungsbetrug (APP-Betrug). Ihre Kunden möchten dieses TSP in Ihrem SOC 2-Bericht sehen, um sicherzustellen, dass Ihre Transaktionsverarbeitung korrekt ist.

Verarbeitungsintegrität hilft bei der Bewertung von Systemen, um festzustellen, ob sie die beabsichtigten Funktionen auf eine Weise ausführen, die frei von Verzögerungen, Fehlern, Auslassungen und versehentlichen Manipulationen ist.

Das AICPA gibt fünf zusätzliche Kriterien für die Verarbeitungsintegrität an, die als PI-Serie bekannt sind.

Sie sollten:

• PI1.1: Qualitätsinformationen über Ihre Verarbeitungsziele erzeugen, verwenden und teilen, um die Nutzung von Dienstleistungen und Produkten zu unterstützen.
• PI1.2: Verfahren und Systeme über Systemeingaben implementieren. Dies umfasst Kontrollen hinsichtlich der Genauigkeit und Vollständigkeit der Systemverarbeitung.
• PI1.3: Verfahren und Richtlinien über die Systemverarbeitung implementieren. Verarbeitungsspezifikationen und -aktivitäten definieren, Systemverarbeitungsaktivitäten aufzeichnen, Produktionsfehler identifizieren und beheben sowie Eingaben verarbeiten.
• PI1.4: Verfahren und Richtlinien für eine genaue, vollständige und zeitgerechte Lieferung von Ausgaben implementieren.
• PI1.5: Verfahren und Richtlinien implementieren, um gespeicherte Ressourcen zu schützen, Systemspeicherungsaktivitäten aufzuzeichnen, Daten genau zu speichern und Systemaufzeichnungen zu archivieren.

Vertraulichkeit

Das Vertraulichkeits-TSP gilt für Dienstleistungsorganisationen, die vertrauliche Informationen halten.

Vertrauliche Informationen umfassen verschiedene Arten sensibler Daten wie Finanzberichte, Passwörter, Listen potenzieller Kunden, Geschäftsstrategien, Kundendatenbanken und andere geistige Eigentümer.

Das Vertraulichkeitsprinzip bezieht sich auf die Fähigkeit einer Organisation, vertrauliche Informationen in jeder Phase ihrer Verarbeitung zu schützen. Dies reicht von der Erfassung bis zur Entsorgung.

Wenn Sie mit solchen Benutzerdaten umgehen, sollten Sie deren Zugriff, Speicherung und Nutzung einschränken. Es ist auch ratsam, ihre Offenlegung nur auf autorisierte Parteien zu beschränken.

Es gibt zwei spezifizierte Kriterien für die Vertraulichkeit (C-Serie):

• C1.1: Verfahren einrichten, um vertrauliche Informationen zu identifizieren und vor Zerstörung zu schützen.
• C1.2: Verfahren einrichten, um vertrauliche Informationen zur Zerstörung zu ermitteln und sie zu löschen oder anderweitig zu zerstören.

Privatsphäre

Wussten Sie, dass Ihre Organisation für jeden ausgegebenen Dollar für Datenschutz einen Wert von 2,70 $ an Verbesserungen bei Datenverlust, Agilität, Abmilderung und Kundenloyalität gewinnt?

Auch sehen 82 % Ihrer potenziellen Kunden SOC 2-Zertifizierung und ISO 27701 als Kaufkriterium bei der Auswahl eines Anbieters an.

Privatsphäre ist eine unverzichtbare Komponente beim Aufbau von Vertrauen mit Kunden. Im Hinblick auf die SOC 2-Konformität bezieht sich das Privatsphäre-Prinzip darauf, wie Ihre Organisation personenbezogene Informationen sammelt, speichert, verwendet, erhält, offenlegt und entsorgt.

Im Gegensatz zur Vertraulichkeit, die sich auf verschiedene Formen sensibler Informationen bezieht, befasst sich die Privatsphäre nur mit personenbezogenen Informationen.

Das Privatsphäre-Kriterium ist in die folgenden Abschnitte unterteilt (P-Serie):

• P1 — Hinweis und Kommunikation von Zielen: Die Einheit benachrichtigt die betroffenen Personen über ihre Datenschutzziele.
• P2 — Wahl und Einwilligung: Die Einheit erklärt die verfügbaren Optionen für die Sammlung, Aufbewahrung, Nutzung, Offenlegung und Entsorgung personenbezogener Daten.
• P3 — Sammlung: Die Einheit sammelt personenbezogene Daten basierend auf ihren Datenschutzzielen.
• P4 — Nutzung, Aufbewahrung und Entsorgung: Die Einheit nutzt, bewahrt und entsorgt personenbezogene Daten gemäß den festgelegten Datenschutzzielen.
• P5 — Zugriff: Die Einheit ermöglicht den Kunden den Zugriff auf personenbezogene Daten zur Überprüfung und Sammlung basierend auf den Datenschutzzielen.
• P6 — Offenlegung und Benachrichtigung: Sie sollten personenbezogene Daten nur basierend auf den Datenschutzzielen offenlegen. Außerdem sollen betroffene Kunden über Vorfälle und Datenschutzverletzungen benachrichtigt werden, um die Datenschutzziele zu erreichen.
• P7 — Qualität: Sie sollten aktuelle, genaue, relevante und vollständige personenbezogene Daten gemäß den Datenschutzzielen sammeln und pflegen.
• P8 — Überwachung und Durchsetzung: Sie sollten die Einhaltung überprüfen, um zu garantieren, dass die Verfahren zur Bearbeitung von datenschutzbezogenen Beschwerden, Anfragen und Streitigkeiten eingehalten werden.

Die folgende Tabelle zeigt, welche Kriterien für jede Trust-Servicedienst-Kategorie gelten.

Was sind die zusätzlichen Kriterien für SOC 2?

Wie oben erwähnt, sind die Kriterien der Trust Services von 2017 mit den 17 Grundsätzen des COSO-Rahmenwerks abgestimmt. Der TSC umfasst auch zusätzliche Kriterien, die das COSO-Prinzip 12 (unter den Kontrollaktivitäten in den allgemeinen Kriterien) ergänzen.

Wie in TSP 100.05 beschrieben, befasst sich dieses zusätzliche Kriterium mit den Zielen, die für ein Engagement der Trust Services gelten, und ist wie folgt organisiert:

• Logische und physische Zugangskontrollen: Dieses Kriterium bezieht sich darauf, wie Sie den Zugang (sowohl physisch als auch logisch) einschränken, diesen Zugang gewähren oder entfernen und unbefugten Zugriff verhindern.
• Systembetrieb: Behandelt, wie Sie den Betrieb verwalten und abweichende Prozesse aufdecken und mindern.
• Änderungsmanagement: Deckt ab, wie Sie Änderungen behandeln, Änderungen mithilfe eines standardisierten Änderungsmanagementprozesses implementieren und unbefugte Änderungen verhindern.
• Risikominderung: Schließlich geht es darum, wie Sie Risikominderungsmaßnahmen identifizieren, auswählen und erstellen, die sich aus potenziellen Geschäftsunterbrechungen ergeben.

Lassen Sie uns die perfekten Kriterien für die Trust Services für Sie auswählen

Wie bereits erwähnt, sollten Ihre Kriterien für Vertrauensdienste relevant, objektiv, messbar und vollständig sein. Da es jedoch so viele Vertrauensprinzipien und -kategorien zu berücksichtigen gibt, kann es schwierig sein, Kriterien auszuwählen, die zum Profil passen. Hier kommt Secureframe ins Spiel.

Wir bewerten die Bedürfnisse Ihrer Serviceorganisation sowie vertragliche oder rechtliche Verpflichtungen, um die richtigen Kriterien für Vertrauensdienste für Sie auszuwählen. Fordern Sie eine Secureframe-Demo an, um zu erfahren, wie wir Ihnen helfen können, festzustellen, welche auf Ihr Unternehmen zutreffen und wie Sie die Kriterien erfüllen können.