Definition und Zweck

Der Zweck eines SOC 3-Berichts besteht darin, eine prägnantere und allgemeinere Version eines SOC 2 Typ II-Berichts bereitzustellen. SOC 3 ist für die öffentliche Nutzung vorgesehen und kann auf der Website der Organisation veröffentlicht oder auf andere Weise frei an Kunden und Interessenten verteilt werden, um ihr Engagement für die Datensicherheit zu demonstrieren.

Während ein SOC 3-Bericht eine Meinung zur operativen Wirksamkeit der Kontrollen enthält, umfasst er keine detaillierte Beschreibung der vom Serviceprüfer durchgeführten Kontrolltests und der Ergebnisse dieser Tests. Dies macht ihn für ein allgemeines Publikum geeignet, das weder die Notwendigkeit noch das Wissen hat, einen SOC 2-Bericht effektiv zu nutzen.

Gremien

SOC 3 ist Teil einer Reihe von Dienstleistungen, die vom American Institute of Certified Public Accountants (AICPA) erstellt und gepflegt werden. Das AICPA stellt Leitlinien dazu bereit, wie SOC 3-Berichte durchgeführt werden sollten, was enthalten sein sollte und anhand welcher Kriterien die Kontrollen bewertet werden.

Zuletzt aktualisiert

SOC 3 wurde 2010 im Rahmen der Erklärung zu Standards für Attestationsvereinbarungen (SSAE 16) veröffentlicht. Das letzte größere Update für SOC 3 erfolgte 2016 mit der Einführung von SSAE 18, das SSAE 16 ersetzte.

Auch Dokumente im Zusammenhang mit SOC 3 wurden in den letzten Jahren aktualisiert. Besonders bemerkenswert ist, dass das AICPA 2017 überarbeitete Trust Services Criteria (die das Rahmenwerk darstellen, anhand dessen eine SOC 2- und SOC 3-Bewertung erfolgt) und 2022 überarbeitete Schwerpunkte für diese Kriterien veröffentlicht hat, die die Meinung des Serviceprüfers in SOC 2- und SOC 3-Berichten beeinflussten.

Gilt für

SOC 3-Berichte können für Dienstleistungsorganisationen in verschiedenen Branchen gelten, die Kundendaten verarbeiten und speichern. Sie können insbesondere für Dienstleistungsorganisationen nützlich sein, die Dienstleistungen direkt an Verbraucher (B2C) oder an Unternehmen und Verbraucher (B2B2C) erbringen und die Interessenten und Kunden eine Bestätigung ihrer Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bieten müssen.

Kontrollen und Anforderungen

Ein SOC 3-Bericht bewertet das Design und die operative Wirksamkeit der Kontrollen, die erforderlich sind, um die geltenden Trust Services Criteria (TSC) zu erfüllen. Die fünf TSC sind Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sicherheit ist das einzige erforderliche Kriterium.

Die Trust Services Criteria schreiben keine spezifischen Kontrollen für eine Organisation vor. Die von einer Dienstleistungsorganisation eingeführten Kontrollen hängen von den Risiken ab, die sie daran hindern könnten, ihre Dienstleistungsverpflichtungen und Systemanforderungen zu erfüllen, von der Anzahl der in ihrem Audit enthaltenen TSC und von der Komplexität ihrer Infrastruktur und Organisation. Sie decken typischerweise folgende Bereiche ab:

• Informationssicherheit
• Logische und physische Zugangskontrollen
• Systembetrieb
• Änderungsmanagement
• Risikominderung

Bitte besuchen Sie die AICPA-Website für offizielle Ressourcen zu SOC 3-Kontrollen und -Anforderungen.

Prüfungstyp, Häufigkeit und Dauer

• Prüfungstyp: Um einen SOC 3-Bericht zu erhalten, müssen sich Organisationen einer Prüfung durch einen Wirtschaftsprüfer unterziehen, die eine gründliche Überprüfung der organisationsrelevanten Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz umfasst.
• Prüfungshäufigkeit: SOC 3-Prüfungen werden oft jährlich durchgeführt, um den Beteiligten kontinuierliche Sicherheit zu bieten.
• Prüfungsdauer: Die Dauer einer SOC 3-Prüfung kann je nach Umfang der Prüfung und der Komplexität der Infrastruktur und der Abläufe der Dienstleistungsorganisation variieren. Sie dauert in der Regel von wenigen Wochen bis zu einigen Monaten.