Vielleicht erwägen Sie eine AICPA SOC 2-Zertifizierung? Aikido wurde kürzlich geprüft, um sicherzustellen, dass unser System und das Design unserer Sicherheitskontrollen die SOC 2-Anforderungen des AICPA erfüllen. Da wir während unseres Audits viel über SOC 2-Standards gelernt haben, wollten wir einige der Erkenntnisse teilen, die unserer Meinung nach für jemanden, der denselben Prozess beginnt, hilfreich sein könnten.
Lesen Sie unsere Top-Tipps zum Thema ISO 27001:2022-konform werden.
Typ 1 vs. Typ 2
Zunächst ist es wichtig zu verstehen, dass es zwei verschiedene Arten der SOC 2-Zertifizierung gibt: SOC 2 Typ 1 und SOC Typ 2. Wenn Sie gerade erst über eine SOC-Zertifizierung nachdenken, könnte Typ 1 ein guter erster Schritt sein. Sie ist schneller zu erlangen und die Anforderungen sind weniger anspruchsvoll. Typ 1 ist auch kostengünstiger als ein Typ 2-Bericht.
Der Unterschied besteht jedoch darin, dass es keine Überwachung über einen längeren Zeitraum abdeckt. Ihre Cybersicherheitsmaßnahmen werden bei einem SOC 2 Typ 1 Audit nur zu einem bestimmten Zeitpunkt überprüft. Im Gegensatz dazu testet der SOC Typ 2 Zertifizierungsprozess Ihre Sicherheitskontrollen über einen bestimmten Zeitraum. Im Wesentlichen prüft Typ 1 das Design Ihrer Sicherheitskontrollen, während Typ 2 auch deren operative Wirksamkeit testet.
Hinweis: Sie könnten auch über den ISAE3402 Typ I Bericht lesen. Das ist die europäische Alternative, aber in der Praxis kümmern sich die meisten Branchen nicht darum. Entscheiden Sie sich also für SOC 2, es sei denn, Sie wissen bereits, dass Sie die europäische Version benötigen.
SOC 2 Trust Services Kriterien
Ein SOC-Auditor verwendet typischerweise fünf Trust Services Criteria, um Unternehmen auf SOC 2 Compliance zu prüfen:
- Sicherheit: Daten und Systeme vor unbefugtem Zugriff schützen.
- Verfügbarkeit: Stellen Sie sicher, dass Kundendaten bei Bedarf zugänglich sind.
- Vertraulichkeit: sicherstellen, dass vertrauliche Informationen ausreichend geschützt sind.
- Datenschutz: Personenbezogene Daten schützen.
- Verarbeitungsintegrität: Sicherstellen, dass Systeme Daten präzise und zuverlässig verarbeiten.
Nicht jedes Unternehmen muss alle fünf Kriterien berücksichtigen. Ein Teil der Vorbereitung auf Ihr SOC 2 Audit ist die Entscheidung, welche Kriterien Ihre Kunden verlangen werden.
Es existieren auch zusätzliche branchenspezifische Kriterien. Beispielsweise wird ein Cloud-Service-Provider strengere Anforderungen an die Verschlüsselung von Kundendaten haben, während Gesundheitsdienstleister Gesundheitsinformationen schützen müssen.
Unsere Top 5 Tipps für die SOC 2-Zertifizierung
1. Man kann nicht wirklich SOC 2 „compliant“ werden
Im Gegensatz zu ISO 27001 kann man keinen Zustand der SOC 2 Compliance erreichen. Es ist ein Bericht, den ein potenzieller Kunde anfordern kann, um die Sicherheitslage des Unternehmens zu bewerten. Der Kunde muss selbst entscheiden, ob das Unternehmen sicher genug ist, um Geschäfte zu tätigen.
Sie erhalten einen SOC 2-Bericht, der die Compliance mit den festgelegten Kriterien nachweist, aber das bedeutet nicht, dass Sie von nicht-compliant zu compliant werden. Das mindert nicht seinen Wert für Ihre Geschäftspartner. Sie wissen, was sie brauchen, und werden oft einen SOC 2-Audit-Bericht anfordern.
Zum Beispiel erfordert SOC 2 nicht unbedingt die Durchführung eines Pentests, ist aber für ISO 27001 sehr empfehlenswert. Vanta, eine der führenden SOC 2 Compliance-Monitoring-Plattformen, empfiehlt, SOC 2 als eine Hürde zu betrachten, die man überwinden muss, um als den wesentlichen Sicherheitsstandards entsprechend angesehen zu werden. Aber Sie könnten nach dem Überwinden dieser Hürde noch einen Schritt weiter gehen, und Ihre Kunden werden die zusätzliche Sicherheit wahrscheinlich zu schätzen wissen.
In diesem Sinne bedeutet Ihr SOC 2 Compliance-Bericht, dass Sie dem Auditor nachgewiesen haben, dass Ihr Unternehmen die SOC 2 Trust Services Criteria erfüllt.
2. Typ 2 basiert auf einem Compliance-Beobachtungszeitraum
SOC 2 Typ 2-Berichte überprüfen Ihre Sicherheitslage über einen Beobachtungszeitraum, der als Audit-Fenster bezeichnet wird. Sie können ein Fenster von drei Monaten bis zu einem ganzen Jahr wählen. Dies ist wesentlich gründlicher als SOC 2 Typ 1 und bedeutet, dass Stakeholder und potenzielle Kunden zusätzliche Sicherheit bezüglich der Sicherheitssysteme und des Datenschutzes erhalten.
Sie müssen sich mit Ihrem Auditor beraten, um das Audit-Fenster zu wählen. Dies kann von Faktoren wie regulatorischen Anforderungen, Kundenerwartungen oder der Aktualität Ihrer entwickelten Sicherheits-Frameworks und -Kontrollen abhängen.
3. SOC 2 vs. ISO 27001: Wenn Ihre potenziellen Kunden in den USA sind, ist SOC 2 das Richtige für Sie!
Unternehmen in den Vereinigten Staaten fordern typischerweise häufiger SOC 2-Berichte an, während europäische Unternehmen eher auf ISO 27001 setzen. Dies liegt daran, dass SOC 2 ein amerikanischer Standard ist. Wenn möglich, holen Sie sich beide. Das haben wir getan, da wir 2023 auch ISO 27001 compliant wurden. Wenn Sie nicht beides tun können, wählen Sie basierend darauf, wo Ihre Kunden oder Interessenten ansässig sind.
Wenn Ihre Kunden in den USA sind, besteht eine gute Chance, dass sie nach Ihrem SOC 2-Bericht suchen werden.
4. Wir empfehlen Ihnen, mit einem Auditor in den USA zusammenzuarbeiten
Wenn Sie in Europa ansässig sind, gibt es viele SOC-Auditoren. Diese sind wahrscheinlich sehr gut, aber wenn Sie möchten, dass ein US-Unternehmen Ihrem Bericht vertraut, ist es sinnvoll, einen externen SOC-2-Auditor in den Vereinigten Staaten zu beauftragen.
5. Nutzen Sie ein sicheres System, damit Kunden Ihren SOC 2 Bericht anfordern können
Sie sollten es Kunden leicht machen, Ihren SOC-2-Bericht anzufordern, aber nicht zu leicht. Hacker könnten ihn nutzen, um Schwachstellen in Ihrer Sicherheit zu identifizieren.
Verzichten Sie auf E-Mail und nutzen Sie ein Tool, das nachverfolgt, was mit dem Bericht nach dem Download geschieht. Sie sollten wissen, wer ihn anfordert, wann er angefordert wurde, und sogar Wasserzeichen oder Passwortschutz in Betracht ziehen. Der beste Ansatz ist die Verwendung einer NDA.
Aikido und fortlaufende SOC 2-Compliance
Nachdem wir unseren eigenen SOC 2-Weg abgeschlossen haben, erfüllt Aikido Security alle SOC 2 Trust Services Criteria. Wir haben uns auch mit Compliance Monitoring Platforms (wie Vanta, Drata, Secureframe und Thoropass) zusammengetan, um Daten zu aktuellen Sicherheitskontrollen regelmäßig zu synchronisieren und sicherzustellen, dass Aikido und unsere Kunden eine starke Sicherheitsposition (Security Posture) aufrechterhalten.
Unseren SOC 2 Typ 2 Bericht anfordern
Sie können das SOC 2 Typ 2-Zertifikat von Aikido in unserem Security Trust Center anfordern.
Oder wenn Sie eine SOC 2-Zertifizierung in Betracht ziehen und noch Fragen haben, kontaktieren Sie mich auf LinkedIn und ich bespreche den Prozess gerne ausführlicher mit Ihnen.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
