Share
Beitragsbild zu Was ist der SOC 2-Bericht und warum ist er für senhasegura wichtig?

Was ist der SOC 2-Bericht und warum ist er für senhasegura wichtig?

SOC 2 liefert einen Bericht nach Abschluss des Audits.

Kürzlich hat senhasegura diesen Meilenstein erreicht und liefert Details zu den Grundsätzen der Vertraulichkeit, Integrität der Verarbeitung, Verfügbarkeit und Informationssicherheit.

Sie möchten mehr über dieses Thema erfahren?

Im Dezember 2022 hat senhasegura mit dem SOC 2-Bericht, der die Zuverlässigkeit der von der Organisation erbrachten Dienstleistungen sowie der 360º PRIVILEGE PLATFORM bescheinigt, die Einhaltung der vom AICPA definierten Grundsätze erreicht.

In der Praxis handelt es sich bei den System- und Organisationskontrollen 2 (SOC 2) um einen Prüfbericht, mit dem bewertet wird, wie ein Unternehmen interne Kontrollen im Zusammenhang mit der Speicherung von Kundendaten durchführt und implementiert.

In diesem Dokument wird darauf hingewiesen, dass senhasegura die von der AICPA definierten Standards in Bezug auf eines oder mehrere der folgenden Attribute anwendet: Vertraulichkeit, Datenschutz, Integrität der Verarbeitung, Verfügbarkeit und Sicherheit.

In diesem Artikel erfahren Sie mehr über den SOC 2 Bericht, den senhasegura erhalten hat. Um Ihnen das Lesen zu erleichtern, haben wir unseren Text in die folgenden Punkte unterteilt:

1. Was ist der SOC 2-Bericht?
2. SOC 2 Vertrauensprinzipien
3. Ist SOC 2 gleichwertig mit ISO 27001?
4. Wie werde ich ein SOC 2?
5. Über senhasegura
6. Schlussfolgerung

1. Was ist der SOC 2-Bericht?

SOC 2 wurde vom American Institute of CPAs (AICPA) entwickelt und legt Anforderungen für die Verwaltung von Kundendaten fest, die auf fünf Grundsätzen des Vertrauensdienstes basieren. Diese sind Vertraulichkeit, Datenschutz, Integrität der Verarbeitung, Verfügbarkeit und Sicherheit.

Im Gegensatz zum PCI DDS, der aus strengen Kriterien besteht, sind die SOC 2-Berichte auf jedes Unternehmen zugeschnitten, das Geschäftspraktiken in Bezug auf einen oder mehrere der Vertrauensgrundsätze einhalten muss.

Mit Hilfe von SOC 2-Berichten lassen sich wichtige Informationen darüber gewinnen, wie Dienstleister die Daten ihrer Kunden verwalten.

Es gibt zwei Arten von SOC-2-Berichten. Der eine beschreibt die Systeme eines Anbieters und die Frage, ob ihr Aufbau geeignet ist, die Vertrauensanforderungen zu erfüllen; der zweite Typ befasst sich mit der betrieblichen Effektivität dieser Systeme.

2. SOC Vertrauensprinzipien

Die SOC-2-Vertrauensgrundsätze sind:

  • Vertraulichkeit
  • Datenschutz
  • Integrität der Verarbeitung
  • Verfügbarkeit
  • Sicherheit.

Prüfen Sie jedes einzelne dieser Elemente im Detail:

Vertraulichkeit

Wenn Informationen auf eine bestimmte Anzahl von Personen oder Organisationen beschränkt sind, gelten sie als vertraulich. Zu diesen Daten gehören z. B. mitarbeiterbezogene Dokumente, interne Preislisten, Geschäftspläne und Bankinformationen.

Um vertrauliche Daten zu schützen, ist die Verschlüsselung unerlässlich. Außerdem können Netzwerk- und Anwendungs-Firewalls sowie strenge Zugangskontrollen eingesetzt werden.

Datenschutz

Im Rahmen von SOC 2 umfasst der Datenschutz die Erfassung, Verwendung, Aufbewahrung, Offenlegung und Entsorgung personenbezogener Daten in Übereinstimmung mit den Unternehmensrichtlinien und den in den Generally Accepted Privacy Principles (GAPP) des AICPA niedergelegten Anforderungen.

Dieser Vertrauensgrundsatz gilt für personenbezogene Daten (PII), die zur Unterscheidung von Personen verwendet werden können, wie Name, Adresse, Telefon und Sozialversicherungsnummer.

Andere personenbezogene Daten, die sich auf Sexualität, Rasse, Religion und Gesundheit beziehen, werden von den GAPP ebenfalls als sensibel angesehen.

Integrität der Verarbeitung

Hier beziehen wir uns auf die Fähigkeit eines Systems, seinen Zweck zu erfüllen, d. h. die richtigen Informationen in der richtigen Menge zur richtigen Zeit zu liefern. Daher ist es wünschenswert, dass die Datenverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert ist.

Im Gegensatz dazu ist die Integrität der Verarbeitung nicht mit der Integrität der Daten verbunden. Wenn diese fehlerhaft sind, bevor sie im System registriert werden, sollte ihre Identifizierung nicht in der Verantwortung der verarbeitenden Organisation liegen.

Andererseits kann die Überwachung der Datenverarbeitung zusammen mit Qualitätssicherungsverfahren dazu beitragen, die Integrität des Prozesses zu gewährleisten.

Verfügbarkeit

Der Prozess, das Produkt oder die Dienstleistung muss wie zwischen dem Kunden und dem Anbieter vereinbart verfügbar bleiben. Das heißt, die Mindestleistung für die Verfügbarkeit eines Systems muss von beiden Parteien festgelegt werden.

In der Praxis geht es bei diesem Grundsatz nicht um Fragen der Nutzbarkeit und Funktionalität des Systems, sondern um Anforderungen im Zusammenhang mit der Sicherheit, die die Verfügbarkeit beeinträchtigen können.

In diesem Sinne ist es unerlässlich, die Leistung und Verfügbarkeit des Netzes, die Ausfallsicherheit des Standorts und die Reaktion auf Sicherheitsvorfälle zu überwachen.

Sicherheit

Das Sicherheitsprinzip besteht in der Notwendigkeit, die Systemressourcen vor dem Zugriff von außen zu schützen. Zugangskontrollen haben die Funktion, Einbruchsversuche, Manipulationen an Geräten, Missbrauch von Software, Diebstahl und unbefugtes Entfernen von Daten sowie die Offenlegung von Informationen zu verhindern.

Um unbefugten Zugriff zu verhindern, können Sie einige IT-Sicherheitstools einsetzen, wie z. B. Web- und Netzwerkanwendungs-Firewalls (WAFs), Zwei-Faktor-Authentifizierung und Intrusion Detection.

3. Ist SOC 2 gleichwertig mit ISO 27001?

Laut einer Studie zu diesem Thema haben SOC 2 und ISO 27001 viele Sicherheitskontrollen gemeinsam. Was die beiden unterscheidet, sind der Ansatz und die Ziele. Die beiden Normen besagen, dass Unternehmen eine Kontrolle nur dann einhalten müssen, wenn sie auf sie zutrifft, aber ihre Ansätze sind unterschiedlich.

ISO 27001 verfolgt einen systematischen Ansatz für das Informationssicherheitsmanagement durch ein Informationssicherheitsmanagementsystem (ISMS). Es handelt sich um eine umfassende Methode zur Verwaltung von Datenschutzpraktiken. SOC 2 ist eine Spezialisierung von ISO 27001, ein spezifischer Standard für Daten, mit einem punktuellen Ansatz zu den fünf Grundsätzen, die in diesem Artikel ausführlich behandelt werden.

4. Wie erfülle ich die Anforderungen des SOC 2?

Um einen SOC 2-Auditbericht zu erhalten, muss Ihr Unternehmen ein konformes Cybersicherheitsprogramm einführen und von einem der AICPA angeschlossenen Wirtschaftsprüfer auditiert werden. Dabei bewertet der Prüfer die Cybersicherheitskontrollen gemäß dem SOC-2-Standard und erstellt einen Bericht mit seinen Schlussfolgerungen.

5. Über senhasegura

Wir sind senhasegura und gehören zur Unternehmensgruppe MT4 Tecnologia, die auf Cybersicherheit spezialisiert ist, 2001 gegründet wurde und in über 60 Ländern vertreten ist.

Unser Ziel ist es, den Organisationen, die uns beauftragen, digitale Souveränität und Cybersicherheit zu bieten, indem wir die Kontrolle über Aktionen und privilegierte Daten gewährleisten und Verstöße und Informationslecks verhindern.

Zu diesem Zweck verfolgen wir den Lebenszyklus der Verwaltung privilegierter Zugriffe durch die Automatisierung von Maschinen vor, während und nach den Zugriffen. Wir arbeiten wie folgt:

  • Wir vermeiden Ausfallzeiten, die ihre Leistung und Produktivität beeinträchtigen könnten
  • Wir bieten fortschrittliche PAM-Lösungen
  • Wir prüfen automatisch privilegierte Änderungen, um Privilegienmissbrauch zu identifizieren
  • Wir prüfen automatisch die Nutzung von Privilegien
  • Wir reduzieren Cyber-Bedrohungen
  • Wir bringen Unternehmen in Übereinstimmung mit Audit-Kriterien und Standards wie HIPAA, PCI DSS, ISO 27001 und Sarbanes-Oxley
6. Schlussfolgerung

In diesem Artikel konnten Sie sehen, wie wichtig der SOC 2-Auditbericht ist, den senhasegura im Dezember 2022 erhielt.

Source: senhasegura-Blog

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden