Das Streben nach SOC 2-Konformität kann sich anfühlen wie Kochen ohne Rezept.
Ihre Zutaten sind die Kontrollen, die Ihr Unternehmen einsetzt. Das Endgericht ist eine robuste Sicherheitslage und vertrauensvolle Kunden.
Aber ohne eine festgelegte Compliance-Checkliste - kein Rezept -, wie sollen Sie wissen, was zu priorisieren ist?
Dieser Artikel wird Ihnen alles erzählen, was Sie über SOC 2-Anforderungen wissen müssen.
Was ist ein SOC 2-Bericht?
Ein SOC 2-Bericht ist eine Möglichkeit, Vertrauen bei Ihren Kunden aufzubauen. Als Drittanbieter-Dienstleistungsorganisation arbeiten Sie direkt mit vielen der sensibelsten Daten Ihrer Kunden. Ein SOC 2-Bericht ist ein Beweis dafür, dass Sie diese Kundendaten verantwortungsvoll behandeln.
Um einen SOC 2-Bericht zu erhalten, müssen Sie sich einem Audit durch einen Drittprüfer unterziehen. Ein SOC 2-Prüfer ist entweder ein CPA oder eine vom American Institute of Certified Public Accountants (AICPA) zertifizierte Firma. Sie werden Ihre Sicherheitslage bewerten, um festzustellen, ob Ihre Richtlinien, Prozesse und Kontrollen den SOC 2-Anforderungen entsprechen.
SOC 2 ist nur eine Art von SOC-Bericht. Es gibt insgesamt drei: SOC 1, SOC 2 und SOC 3.
SOC 1 ist speziell für Dienstleistungsorganisationen konzipiert, die Finanzberichterstattungsdienste anbieten.
SOC 2 ist ein Standard für Informationssicherheit, basierend auf den Trust Services Criteria. Er steht jedem Dienstleister offen und ist derjenige, der von potenziellen Kunden am häufigsten angefordert wird.
SOC 3 basiert ebenfalls auf den TSC, ist jedoch weniger gründlich, mit Ergebnissen, die öffentlich geteilt werden können.
SOC 1 und SOC 2 gibt es in zwei Unterkategorien: Typ I und Typ II. Ein Typ I SOC-Bericht konzentriert sich auf die Datensicherheitskontrollsysteme der Dienstleistungsorganisation zu einem bestimmten Zeitpunkt.
Ein Typ II SOC-Bericht dauert länger und bewertet Kontrollen über einen Zeitraum, typischerweise zwischen 3-12 Monaten. Der Prüfer führt Experimente wie Penetrationstests durch, um zu sehen, wie die Dienstleistungsorganisation tatsächliche Datensicherheitsrisiken behandelt.
Was sind die Schwerpunkte des AICPA?
Im Gegensatz zu einem starren Zertifizierungsprozess wie ISO 27001 gibt es keine spezifische Checkliste für SOC 2-Anforderungen.
Stattdessen bieten die AICPA Trust Services Criteria Leitlinien zur Strukturierung jedes Audits. Sie bieten auch „Fokuspunkte“, um Unternehmen bei der Implementierung von Kontrollen zu unterstützen.
Diese Fokuspunkte teilen Beispiele dafür, wie eine Organisation die Anforderungen für jedes Trust Services Criteria erfüllen kann. Hier ist ein Beispiel aus dem AICPA-Leitfaden zu den Trust Services Criteria:
Der zweite Fokuspunkte listet Standards of Conduct auf, die klar definiert und auf allen Ebenen des Unternehmens kommuniziert werden. Die Implementierung einer Verhaltenskodex-Richtlinie ist ein Beispiel dafür, wie Organisationen die Anforderungen von CC1.1 erfüllen können.
Dennoch muss jedes Unternehmen entscheiden, welche Kontrollen erforderlich sind, um ihre Systeme in Übereinstimmung mit den SOC 2-Standards zu bringen.
Was sind die Anforderungen für SOC 2-Konformität?
Bevor Sie mit einem formellen SOC 2 Audit beginnen, müssen Sie die Details der TSC verstehen, da diese die Grundlage für alle SOC 2 Anforderungen sind.
- Informationssicherheit: Wie schützen Sie Ihre Daten vor unbefugtem Zugriff und Nutzung?
- Logische und physische Zugangskontrollen: Wie verwaltet und beschränkt Ihr Unternehmen den logischen und physischen Zugang, um unbefugte Nutzung zu verhindern?
- Systemoperationen: Wie verwalten Sie Ihre Systemoperationen, um Prozessabweichungen zu erkennen und zu mindern?
- Änderungsmanagement: Wie implementieren Sie einen kontrollierten Änderungsmanagementprozess und verhindern unbefugte Änderungen?
- Risikominderung: Wie identifizieren und mindern Sie Risiken für Geschäftsstörungen und Anbieterleistungen?
Um die Kriterien für Logische und Physische Zugangskontrollen zu erfüllen, könnte ein Unternehmen neue Onboarding-Prozesse für Mitarbeiter etablieren, mehrstufige Authentifizierung implementieren und Systeme installieren, um das Herunterladen von Kundendaten zu verhindern.
Ein anderes Unternehmen könnte den physischen Zugang zu Rechenzentren einschränken, vierteljährliche Überprüfungen des Benutzerzugriffs und der Berechtigungen durchführen und Produktionssysteme überwachen.
Wiederum ist keine spezifische Kombination von Richtlinien oder Prozessen erforderlich. Es ist einzig wichtig, dass die implementierten Kontrollen die entsprechenden Trust Services Kriterien erfüllen.
Was sind die Trust Services Kriterien?
In diesem Abschnitt werden die fünf Trust Services Kriterien erläutert, zusammen mit einigen Beispielen für Kontrollen, die ein Prüfer aus jedem ableiten könnte.
Sicherheit
Alle SOC 2 Anforderungen sind optional, außer denen, die unter Sicherheit fallen.
Diese Kategorie umfasst Verteidigungsmaßnahmen gegen alle Formen von Angriffen. Dies deckt alles ab, von Man-in-the-Middle-Angriffen bis hin zu böswilligen Individuen, die auf Ihre Server zugreifen.
Ein Prüfer könnte nach Zwei-Faktor-Authentifizierungssystemen und Firewalls für Webanwendungen suchen. Aber sie werden auch Dinge betrachten, die die Sicherheit indirekt beeinflussen, wie Richtlinien, die bestimmen, wer für Sicherheitsrollen eingestellt wird.
Datenschutz
Datenschutz bezieht sich auf alle Informationen, die aufgrund ihrer persönlichen Natur als sensibel gelten.
Um die SOC 2 Anforderungen an den Datenschutz zu erfüllen, muss eine Organisation ihre Richtlinien an alle kommunizieren, deren Daten sie speichern.
Wenn Ihre Organisation sensible Informationen sammelt, muss sie:
- Die Zustimmung des Betroffenen einholen
- Die Menge der gesammelten privaten Informationen so weit wie möglich begrenzen
- Diese auf rechtmäßige Weise sammeln
- Sie nur für die Zwecke verwenden, für die sie gesammelt wurden
- Sie am Ende eines definierten Datenaufbewahrungszeitraums entsorgen
SOC 2 requirements include: -Communicate policies to affected parties: Do you have a process for obtaining consent to collect sensitive information? How do you communicate your policies to those whose personal data you store? -Use clear language: Is the language used in your company’s privacy policy free of jargon and misleading language? -Collect information from reliable sources: How do you ensure that your data collection processes are legal and your data sources are reliable?
Vertraulichkeit
Vertrauliche Informationen unterscheiden sich von privaten Informationen dadurch, dass sie, um nützlich zu sein, mit anderen Parteien geteilt werden müssen.
Das häufigste Beispiel sind Gesundheitsdaten. Sie sind hochsensibel, aber wertlos, wenn man sie nicht zwischen Krankenhäusern und Spezialisten teilen kann.
Anstatt die Informationen vollständig zu sichern, konzentriert sich die Vertraulichkeitskategorie darauf, sie sicher auszutauschen.
SOC 2 requirements include: -Identify confidential information: Are processes in place to identify confidential information once it’s created or received? Are there policies to determine how long it should be retained? -Destroy confidential information: How will confidential information be deleted at the end of the retention period?
Integrität der Verarbeitung
Funktionieren die Systeme, die zur Speicherung, Verarbeitung und zum Abrufen von Informationen verwendet werden, wie vorgesehen?
Die Integrität der Verarbeitung rückt von der Informationssicherheit ab, um zu fragen, ob man einer Dienstleistungsorganisation in anderen Bereichen ihrer Arbeit vertrauen kann.
Einige Kontrollen in der PI-Reihe beziehen sich auf die Fähigkeit der Organisation zu definieren, welche Daten sie benötigt, um ihre Ziele zu erreichen. Andere definieren die Integrität der Verarbeitung im Hinblick auf Eingaben und Ausgaben.
Wenn beispielsweise ein Kunde eine Bestellung auf einer E-Commerce-Website eingibt, besteht die Ausgabe in der schnellen Lieferung des Produkts.
SOC 2 requirements include: -Create and maintain records of system inputs and outputs: Do you have accurate records of system input activities? Are outputs only being distributed to their intended recipients? -Detect and address errors: Is there a process to detect and correct errors as fast as possible? -Define processing activities: Have you defined processing activities to ensure products or services meet their specifications?
Verfügbarkeit
Die Verfügbarkeitskontrollen von SOC 2 konzentrieren sich darauf, Ausfallzeiten zu minimieren. Die Risikoanalyse ist in dieser Kategorie von entscheidender Bedeutung.
Mit A1-Serienkontrollen müssen Unternehmen:
- Systemkapazität vorhersehen
- Umweltbedrohungen identifizieren und mindern
- Daten identifizieren, die gesichert werden müssen
SOC 2 requirements include: -Minimizing downtime: Are the systems of the service organization backed up securely? Is there a recovery plan in case of a disaster? Is there a business continuity plan that can be applied to unforeseen events? -Measuring current usage: Is there a baseline for capacity management? How can you mitigate impaired availability due to capacity constraints? -Identifying environmental threats: What environmental hazards could impact system availability? E.g., Hurricanes, tornadoes, earthquakes, wildfires, power loss, etc.
Was ist eine SOC 2 Readiness Assessment?
Die meisten Unternehmen führen eine Readiness Assessments durch, bevor sie ein SOC 2 Audit anstreben.
Eine SOC 2 Readiness Assessment ist wie das Ablegen einer Probeklausur. Sie haben die TSC überprüft, bestimmt, welche Kriterien zutreffen, und interne Kontrollen dokumentiert. Die Readiness Assessment dient als Probelauf, bei dem geschätzt wird, wie die Prüfung verlaufen würde, wenn Sie sie heute abschließen würden.
Ein Readiness Assessment wird von einem erfahrenen Prüfer durchgeführt — fast immer von jemandem, der auch zertifiziert ist, um das SOC 2 Audit selbst durchzuführen. Am Ende erhalten Sie ein Schreiben, in dem erklärt wird, wo Sie möglicherweise die SOC 2 Konformität verfehlen. Verwenden Sie dieses Schreiben, um zu bestimmen, was Sie noch tun müssen, um die SOC 2 Anforderungen zu erfüllen und Lücken zu schließen.
Wenn Sie den Rat aus Ihrem Readiness Assessment befolgen, ist es viel wahrscheinlicher, dass Sie einen günstigen SOC 2 Bericht erhalten.
Verständnis der SOC 2 Anforderungen
Obwohl die AICPA in Form der TSC Points of Focus hilfreiche Hinweise gibt, gibt es keine klare SOC 2 Anforderungsliste.
Auf den ersten Blick mag dies frustrierend erscheinen. Aber je weiter Sie im Compliance-Prozess vorankommen, desto mehr werden Sie dieses Fehlen als Feature und nicht als Fehler erkennen.
Wenn die SOC 2-Anforderungen zu starr wären, könnten sie für Ihr Unternehmen möglicherweise keinen Sinn ergeben. Die Trust Services Criteria machen SOC 2 zu einem vielseitigen, anpassungsfähigen Standard.