Share
Beitragsbild zu Was ist der SOC 2-Bericht und warum ist er für senhasegura wichtig?

Was ist der SOC 2-Bericht und warum ist er für senhasegura wichtig?

SOC 2 liefert einen Bericht nach Abschluss des Audits.

Kürzlich hat senhasegura diesen Meilenstein erreicht und liefert Details zu den Grundsätzen der Vertraulichkeit, Integrität der Verarbeitung, Verfügbarkeit und Informationssicherheit.

Sie möchten mehr über dieses Thema erfahren?

Im Dezember 2022 hat senhasegura mit dem SOC 2-Bericht, der die Zuverlässigkeit der von der Organisation erbrachten Dienstleistungen sowie der 360º PRIVILEGE PLATFORM bescheinigt, die Einhaltung der vom AICPA definierten Grundsätze erreicht.

In der Praxis handelt es sich bei den System- und Organisationskontrollen 2 (SOC 2) um einen Prüfbericht, mit dem bewertet wird, wie ein Unternehmen interne Kontrollen im Zusammenhang mit der Speicherung von Kundendaten durchführt und implementiert.

In diesem Dokument wird darauf hingewiesen, dass senhasegura die von der AICPA definierten Standards in Bezug auf eines oder mehrere der folgenden Attribute anwendet: Vertraulichkeit, Datenschutz, Integrität der Verarbeitung, Verfügbarkeit und Sicherheit.

In diesem Artikel erfahren Sie mehr über den SOC 2 Bericht, den senhasegura erhalten hat. Um Ihnen das Lesen zu erleichtern, haben wir unseren Text in die folgenden Punkte unterteilt:

1. Was ist der SOC 2-Bericht?
2. SOC 2 Vertrauensprinzipien
3. Ist SOC 2 gleichwertig mit ISO 27001?
4. Wie werde ich ein SOC 2?
5. Über senhasegura
6. Schlussfolgerung

1. Was ist der SOC 2-Bericht?

SOC 2 wurde vom American Institute of CPAs (AICPA) entwickelt und legt Anforderungen für die Verwaltung von Kundendaten fest, die auf fünf Grundsätzen des Vertrauensdienstes basieren. Diese sind Vertraulichkeit, Datenschutz, Integrität der Verarbeitung, Verfügbarkeit und Sicherheit.

Im Gegensatz zum PCI DDS, der aus strengen Kriterien besteht, sind die SOC 2-Berichte auf jedes Unternehmen zugeschnitten, das Geschäftspraktiken in Bezug auf einen oder mehrere der Vertrauensgrundsätze einhalten muss.

Mit Hilfe von SOC 2-Berichten lassen sich wichtige Informationen darüber gewinnen, wie Dienstleister die Daten ihrer Kunden verwalten.

Es gibt zwei Arten von SOC-2-Berichten. Der eine beschreibt die Systeme eines Anbieters und die Frage, ob ihr Aufbau geeignet ist, die Vertrauensanforderungen zu erfüllen; der zweite Typ befasst sich mit der betrieblichen Effektivität dieser Systeme.

2. SOC Vertrauensprinzipien

Die SOC-2-Vertrauensgrundsätze sind:

  • Vertraulichkeit
  • Datenschutz
  • Integrität der Verarbeitung
  • Verfügbarkeit
  • Sicherheit.

Prüfen Sie jedes einzelne dieser Elemente im Detail:

Vertraulichkeit

Wenn Informationen auf eine bestimmte Anzahl von Personen oder Organisationen beschränkt sind, gelten sie als vertraulich. Zu diesen Daten gehören z. B. mitarbeiterbezogene Dokumente, interne Preislisten, Geschäftspläne und Bankinformationen.

Um vertrauliche Daten zu schützen, ist die Verschlüsselung unerlässlich. Außerdem können Netzwerk- und Anwendungs-Firewalls sowie strenge Zugangskontrollen eingesetzt werden.

Datenschutz

Im Rahmen von SOC 2 umfasst der Datenschutz die Erfassung, Verwendung, Aufbewahrung, Offenlegung und Entsorgung personenbezogener Daten in Übereinstimmung mit den Unternehmensrichtlinien und den in den Generally Accepted Privacy Principles (GAPP) des AICPA niedergelegten Anforderungen.

Dieser Vertrauensgrundsatz gilt für personenbezogene Daten (PII), die zur Unterscheidung von Personen verwendet werden können, wie Name, Adresse, Telefon und Sozialversicherungsnummer.

Andere personenbezogene Daten, die sich auf Sexualität, Rasse, Religion und Gesundheit beziehen, werden von den GAPP ebenfalls als sensibel angesehen.

Integrität der Verarbeitung

Hier beziehen wir uns auf die Fähigkeit eines Systems, seinen Zweck zu erfüllen, d. h. die richtigen Informationen in der richtigen Menge zur richtigen Zeit zu liefern. Daher ist es wünschenswert, dass die Datenverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert ist.

Im Gegensatz dazu ist die Integrität der Verarbeitung nicht mit der Integrität der Daten verbunden. Wenn diese fehlerhaft sind, bevor sie im System registriert werden, sollte ihre Identifizierung nicht in der Verantwortung der verarbeitenden Organisation liegen.

Andererseits kann die Überwachung der Datenverarbeitung zusammen mit Qualitätssicherungsverfahren dazu beitragen, die Integrität des Prozesses zu gewährleisten.

Verfügbarkeit

Der Prozess, das Produkt oder die Dienstleistung muss wie zwischen dem Kunden und dem Anbieter vereinbart verfügbar bleiben. Das heißt, die Mindestleistung für die Verfügbarkeit eines Systems muss von beiden Parteien festgelegt werden.

In der Praxis geht es bei diesem Grundsatz nicht um Fragen der Nutzbarkeit und Funktionalität des Systems, sondern um Anforderungen im Zusammenhang mit der Sicherheit, die die Verfügbarkeit beeinträchtigen können.

In diesem Sinne ist es unerlässlich, die Leistung und Verfügbarkeit des Netzes, die Ausfallsicherheit des Standorts und die Reaktion auf Sicherheitsvorfälle zu überwachen.

Sicherheit

Das Sicherheitsprinzip besteht in der Notwendigkeit, die Systemressourcen vor dem Zugriff von außen zu schützen. Zugangskontrollen haben die Funktion, Einbruchsversuche, Manipulationen an Geräten, Missbrauch von Software, Diebstahl und unbefugtes Entfernen von Daten sowie die Offenlegung von Informationen zu verhindern.

Um unbefugten Zugriff zu verhindern, können Sie einige IT-Sicherheitstools einsetzen, wie z. B. Web- und Netzwerkanwendungs-Firewalls (WAFs), Zwei-Faktor-Authentifizierung und Intrusion Detection.

3. Ist SOC 2 gleichwertig mit ISO 27001?

Laut einer Studie zu diesem Thema haben SOC 2 und ISO 27001 viele Sicherheitskontrollen gemeinsam. Was die beiden unterscheidet, sind der Ansatz und die Ziele. Die beiden Normen besagen, dass Unternehmen eine Kontrolle nur dann einhalten müssen, wenn sie auf sie zutrifft, aber ihre Ansätze sind unterschiedlich.

ISO 27001 verfolgt einen systematischen Ansatz für das Informationssicherheitsmanagement durch ein Informationssicherheitsmanagementsystem (ISMS). Es handelt sich um eine umfassende Methode zur Verwaltung von Datenschutzpraktiken. SOC 2 ist eine Spezialisierung von ISO 27001, ein spezifischer Standard für Daten, mit einem punktuellen Ansatz zu den fünf Grundsätzen, die in diesem Artikel ausführlich behandelt werden.

4. Wie erfülle ich die Anforderungen des SOC 2?

Um einen SOC 2-Auditbericht zu erhalten, muss Ihr Unternehmen ein konformes Cybersicherheitsprogramm einführen und von einem der AICPA angeschlossenen Wirtschaftsprüfer auditiert werden. Dabei bewertet der Prüfer die Cybersicherheitskontrollen gemäß dem SOC-2-Standard und erstellt einen Bericht mit seinen Schlussfolgerungen.

5. Über senhasegura

Wir sind senhasegura und gehören zur Unternehmensgruppe MT4 Tecnologia, die auf Cybersicherheit spezialisiert ist, 2001 gegründet wurde und in über 60 Ländern vertreten ist.

Unser Ziel ist es, den Organisationen, die uns beauftragen, digitale Souveränität und Cybersicherheit zu bieten, indem wir die Kontrolle über Aktionen und privilegierte Daten gewährleisten und Verstöße und Informationslecks verhindern.

Zu diesem Zweck verfolgen wir den Lebenszyklus der Verwaltung privilegierter Zugriffe durch die Automatisierung von Maschinen vor, während und nach den Zugriffen. Wir arbeiten wie folgt:

  • Wir vermeiden Ausfallzeiten, die ihre Leistung und Produktivität beeinträchtigen könnten
  • Wir bieten fortschrittliche PAM-Lösungen
  • Wir prüfen automatisch privilegierte Änderungen, um Privilegienmissbrauch zu identifizieren
  • Wir prüfen automatisch die Nutzung von Privilegien
  • Wir reduzieren Cyber-Bedrohungen
  • Wir bringen Unternehmen in Übereinstimmung mit Audit-Kriterien und Standards wie HIPAA, PCI DSS, ISO 27001 und Sarbanes-Oxley
6. Schlussfolgerung

In diesem Artikel konnten Sie sehen, wie wichtig der SOC 2-Auditbericht ist, den senhasegura im Dezember 2022 erhielt.

Source: senhasegura-Blog

Sie haben Fragen? Ihr Ansprechpartner für D/A/CH

Do you have any questions? Your contact person for D/A/CH

ftapi

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Was ist bei einem Zero-Click-Angriff zu erwarten?”

Was ist bei einem Zero-Click-Angriff zu erwarten?

Featured image for “Erste Schritte zur Einhaltung des PCI DSS”

Erste Schritte zur Einhaltung des PCI DSS

Featured image for “Kubernetes auf dem Vormarsch”

Kubernetes auf dem Vormarsch

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Studien

Featured image for “Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden”

Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden

Featured image for “AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert”

AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert

Featured image for “Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle”

Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle

Featured image for “Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %”

Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Whitepaper

Featured image for “Geopolitische Unruhen führen zu einer DDoS-Angriffswelle”

Geopolitische Unruhen führen zu einer DDoS-Angriffswelle

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI