Eine Studie von ISACA ergab, dass mehr als jeder dritte Verbraucher in den USA, Großbritannien, Australien und Indien persönliche Informationen durch Cyberkriminelle gestohlen bekommen hat.

Die Verbreitung von Cyberkriminalität hat das Vertrauen der Verbraucher in die Fähigkeit von Organisationen, ihre Daten sicher zu halten, erheblich beeinträchtigt. Infolgedessen gaben 69 % der befragten Verbraucher an, dass sie der Meinung sind, Unternehmen sollten unabhängig hinsichtlich ihrer Datenpraktiken bewertet werden und die Ergebnisse der Öffentlichkeit zugänglich gemacht werden.

Eine Möglichkeit für Ihre Organisation, diese Erwartung zu erfüllen und Vertrauen bei den Verbrauchern aufzubauen, besteht darin, einen SOC 3® zu erhalten. SOC 3 steht für Service Organizational Control 3 Report.

Im Folgenden erklären wir, was dieser Bericht ist und wie er sich von einem SOC 2® Bericht unterscheidet.

Was ist ein SOC 3® Bericht?

Ähnlich wie ein SOC 2 Bericht behandelt ein SOC 3 Bericht Kontrollen, die für die Trust Services Criteria (TSC) relevant sind: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Es ist jedoch eine prägnantere und höherstufige Version eines SOC 2 Typ II Berichts, die für den öffentlichen Gebrauch bestimmt ist.

Da er keine vertraulichen Informationen oder so viele Details wie ein SOC 2 Bericht enthält, kann ein SOC 3 Bericht öffentlich zugänglich gemacht werden und wird oft als Marketingmaterial verwendet.

Werfen wir einen genaueren Blick auf den Unterschied zwischen SOC 3 und SOC 2 Berichten weiter unten.

SOC 3 vs SOC 2 Bericht

Sowohl SOC 3 als auch SOC 2 Compliance umfassen eine Wirtschaftsprüferprüfung und rigorose Tests der Sicherheitskontrollen einer Organisation, um zu bewerten, ob sie die SSAE 18 Standards gemäß den Vorgaben der AICPA erfüllen.

Wenn der Wirtschaftsprüfer bestätigt, dass die implementierten Kontrollen korrekt konzipiert und funktionieren, stellt er einen SOC 2 und/oder SOC 3 Bericht aus. Die Organisation kann den Bericht dann als Drittvalidierung verwenden, dass sie alle bewährten Sicherheitspraktiken für Dienstleister, die mit Kundendaten zu tun haben, anwendet.

Der Hauptunterschied zwischen SOC 3 und SOC 2 Berichten besteht darin, wie Organisationen sie genau verwenden können. Während Organisationen ihren SOC 3 Bericht auf ihrer Website veröffentlichen oder auf andere Weise frei an Kunden und Interessenten verteilen können, können sie dasselbe mit SOC 2 Berichten nicht tun.

SOC 2 Berichte enthalten einige vertrauliche Informationen über das System und die Kontrollen der Organisation sowie detaillierte Informationen über die Tests, Verfahren und Ergebnisse des Wirtschaftsprüfers und können daher nicht öffentlich zugänglich gemacht werden. Die meisten Organisationen teilen diese Berichte nur mit Kunden und Interessenten, die dies anfordern und bereit sind, eine Geheimhaltungsvereinbarung (NDA) zu unterzeichnen.

Im Folgenden finden Sie einen Überblick über die Unterschiede zwischen SOC 3 und SOC 2 Berichten.

Wann sollte ich einen SOC 3® Bericht erwägen?

Wenn Sie ein Dienstleistungsunternehmen sind, das Dienstleistungen direkt an Verbraucher (B2C) oder an Unternehmen und Verbraucher (B2B2C) erbringt, sollten Sie einen SOC 3 Bericht in Betracht ziehen.

Da ein SOC 3-Bericht keine Beschreibung des Systems enthält, ist er eine ähnliche, aber kürzere Alternative zu SOC 2, die vom allgemeinen Publikum eher verstanden wird.

Sie können diesen Bericht daher für Marketingzwecke verwenden oder ihn Kunden und Interessenten frei zur Verfügung stellen, um sie von der Wirksamkeit Ihrer Kontrollen in Bezug auf die anwendbaren TSC zu überzeugen und Vertrauen aufzubauen – ohne dass sie über ausreichende Kenntnisse des Systems verfügen oder eine NDA unterzeichnen müssen.

Kann ich einen SOC 3® anstelle eines SOC 2® bekommen?

Anstatt nur einen SOC 3-Bericht zu erhalten, sollten Sie in Betracht ziehen, sowohl einen SOC 2-Bericht als auch einen SOC 3-Bericht als Ergänzung zu erhalten.

Ein SOC 3-Bericht kann äußerst nützlich sein, wenn ein Interessent versucht zu entscheiden, ob er mit einer Dienstleistungsorganisation zusammenarbeiten möchte; es wird jedoch wahrscheinlich nicht ausreichen, um Kunden oder Aufsichtsbehörden zufrieden zu stellen.

Auch der Umfang und das Testniveau der SOC 2- und SOC 3-Prüfungen sind in der Regel gleich.

Aus diesen Gründen können Sie den Prüfer bitten, am Ende der Prüfung sowohl einen SOC 2- als auch einen SOC 3-Bericht auszustellen. Der SOC 2 wird den Bedürfnissen der bestehenden Kunden gerecht, während der SOC 3 die Bedürfnisse einer breiteren Gruppe von Verbrauchern erfüllt, die daran interessiert sind, mehr über Ihre Organisation zu erfahren.

Was sind die Inhalte eines SOC 3®-Berichts?

Ein SOC 3-Bericht enthält nur zwei Elemente. Diese werden unten beschrieben.

1. Management Assertion (Managementerklärung)

Die Management Assertion ist ein Schreiben des Managements der Dienstleistungsorganisation, in dem sie erklärt, dass sie der Meinung ist, dass die im Bericht genannten Kontrollen während des Berichtszeitraums wirksam waren.

Im Zusammenhang mit der Assertion beschreibt das Management auch die Grenzen des Systems sowie die wichtigsten Serviceverpflichtungen und Systemanforderungen der Organisation. Diese Informationen, die normalerweise als Anhänge oder in einem separaten Abschnitt im Bericht enthalten sind, ermöglichen es den Berichtsnutzern, den Umfang der SOC 3-Prüfung zu verstehen und wie das Management die Wirksamkeit der Kontrollen anhand der anwendbaren TSC bewertet hat.

2. Auditor’s Opinion (Prüfermeinung)

Die Auditor’s Opinion ist ein Schreiben des Prüfers. In dem Schreiben fasst der Prüfer die SOC-Prüfung kurz zusammen, einschließlich des Prüfungsumfangs und des Prüfungszeitraums, und gibt seine endgültige Meinung darüber ab, ob die Management Assertion basierend auf den anwendbaren TSC fair angegeben wurde.

SOC 3® Berichtbeispiel

Grammarly hat einen ihrer SOC-3-Berichte frei online zur Verfügung gestellt. Dieser Bericht, der unten aufgeführt ist, bezeugte die für Sicherheit, Verfügbarkeit, Vertraulichkeit und Privatsphäre relevanten Kontrollen von Grammarly für den Zeitraum vom 1. April 2021 bis zum 31. März 2022. Werfen wir einen genaueren Blick darauf unten.

Abschnitt I: Erklärung des Managements

Im ersten Abschnitt bestätigt das Management von Grammarly seine Verantwortlichkeiten und dass seine Sicherheitskontrollen während des gesamten Berichtszeitraums wirksam waren. Dies nimmt eine Seite ein.

Abschnitt II: Meinung des Prüfers

Als Nächstes folgt das Meinungsschreiben des Prüfers, das besagt, dass die für die anwendbaren TSC (Sicherheit, Verfügbarkeit, Vertraulichkeit und Privatsphäre) relevanten Kontrollen von Grammarly während des gesamten Prüfzeitraums wirksam waren. Es beschreibt auch kurz den Auditumfang, die Verantwortlichkeiten des Managements, ihre Verantwortung als Prüfungsfirma und die inhärenten Begrenzungen von Kontrollen sowie die Prüfung selbst.

Dies nimmt zwei Seiten ein und wird von der Prüfungsfirma unterzeichnet.

Anhang A: Beschreibung der Systemgrenzen und der wichtigsten Dienstverpflichtungen und Systemanforderungen

Der erste Anhang ist eine Zusammenfassung der Grenzen des Systems von Grammarly, einschließlich Hintergrundinformationen über das Unternehmen, einer Produktübersicht, der Organisationsstruktur des Unternehmens, einer Liste unterstützender Software und Dienstleistungen und mehr. Es ist der längste Abschnitt und umfasst insgesamt 16 Seiten.

Anhang B: Beschreibung der wichtigsten Dienstverpflichtungen und Systemanforderungen der Organisation

Der nächste Anhang beschreibt die wichtigsten Dienstverpflichtungen und Systemanforderungen von Grammarly. Dazu gehören Produktsicherheit, Systemverfügbarkeit, Datensicherheit und Vertraulichkeit sowie Datenschutzverpflichtungen gegenüber Benutzereinheiten.

Wie man einen SOC 3® Bericht erhält

Ein SOC-3-Bericht wird durch eine SOC-Prüfung erstellt, die von einem CPA oder einer von der AICPA akkreditierten Organisation durchgeführt wird. Hier sind die Schritte, die Sie unternehmen müssen, um einen zu erhalten.

Schritt 1: Bestimmen Sie den benötigten SOC-Bericht.

Bevor Sie sich mit einem Prüfer in Verbindung setzen, müssen Sie zunächst genau entscheiden, welche Art von SOC-Bericht Sie benötigen.

Für einen SOC-3-Bericht sind die Verantwortlichkeiten des Managements im Wesentlichen die gleichen wie bei einem SOC-2-Bericht. Der einzige Unterschied besteht darin, dass das Management keine Systembeschreibung erstellen muss.

Da die durchgeführten Verfahren in einer SOC-2-Prüfung jedoch im Wesentlichen die gleichen sind wie die, die in einer SOC-3-Prüfung durchgeführt werden, können Sie den Prüfer bitten, beide Berichte am Ende der Prüfung auszustellen. Dies erfordert, dass das Management eine Erklärung des Managements erstellt, einschließlich der Offenlegung der Systemgrenzen und der wichtigsten Dienstverpflichtungen und Systemanforderungen der Organisation sowie einer Systembeschreibung.

Wenn Sie sich entscheiden, einen SOC-2- und einen SOC-3-Bericht zu verfolgen, können Sie unsere SOC-2-Selbstbewertungs-Checkliste verwenden, um Ihre Bereitschaft für die Prüfung zu bewerten.

Schritt 2: Erfüllen Sie die Verantwortlichkeiten des Managements.

Um sich auf eine SOC 3-Prüfung vorzubereiten, muss das Management die folgenden Verantwortlichkeiten erfüllen:

• Definieren Sie den Umfang der Prüfung.
• Beschreiben Sie die wichtigsten Dienstverpflichtungen gegenüber den Nutzereinheiten.
• Beschreiben Sie die Systemanforderungen, die erforderlich sind, um das System zu betreiben.
• Identifizieren und analysieren Sie Risiken, die die Organisation daran hindern könnten, ihre Dienstverpflichtungen oder Systemanforderungen zu erfüllen.
• Entwerfen, implementieren, überwachen und dokumentieren Sie effektive Kontrollen für die Erreichung der Dienstverpflichtungen und Systemanforderungen der Organisation basierend auf dem geltenden TSC.

Schritt 3: Wählen Sie Ihren Prüfer.

Schließlich müssen Sie Ihren Prüfer auswählen. Eine Bewertung basierend auf deren Akkreditierung, Erfahrung, Prozess und Ruf kann Ihnen helfen, einen Prüfer zu wählen, der Ihren Anforderungen entspricht.

Der Prüfer wird mehrere Wochen bis mehrere Monate mit Ihrem Team zusammenarbeiten, bevor er einen SOC 3-Bericht erstellt. Wenn der Prüfer der Meinung ist, dass die Aussage des Managements auf Grundlage des geltenden TSC fair war, Glückwunsch! Sie können nun Ihren SOC 3-Bericht auf Ihrer Website veröffentlichen oder auf andere Weise verteilen.

Wie Secureframe Ihnen helfen kann, einen SOC 3®-Bericht zu erhalten

Secureframe kann Ihnen nicht nur helfen, festzustellen, ob Ihr Unternehmen einen SOC 3-Bericht benötigt – wir können Ihnen auch dabei helfen, ihn schneller zu erhalten.

Wir sparen Teams Hunderte von Stunden und Tausende von Dollar, die sonst für das Schreiben von Sicherheitsrichtlinien, das Sammeln von Beweisen, die Beauftragung von Sicherheitsberatern und die Durchführung von Bereitschaftsbewertungen aufgewendet werden müssten. Und da Secureframe Ihre Infrastruktur kontinuierlich überwacht und Sie auf Schwachstellen hinweist, können Sie einfacher und schneller SOC 3-konform werden und bleiben.

Fordern Sie eine Demo an, um mehr darüber zu erfahren, wie wir Ihnen helfen können, einen SOC 3-Bericht zu erhalten.