Vielleicht denken Sie über eine AICPA SOC 2 Zertifizierung nach? Aikido wurde kürzlich geprüft, um sicherzustellen, dass unser System und die Gestaltung unserer Sicherheitskontrollen den SOC 2-Anforderungen des AICPA entsprechen. Da wir während unseres Audits viel über die SOC 2-Standards gelernt haben, wollten wir einige der Erkenntnisse weitergeben, von denen wir glauben, dass sie für jemanden, der den gleichen Prozess beginnt, hilfreich sein könnten.
Lesen Sie unsere besten Tipps zur ISO 27001:2022-konform zu werden.
Typ 1 vs. Typ 2
Zunächst muss man wissen, dass es zwei verschiedene Arten der SOC-2-Zertifizierung gibt: SOC 2 Typ 1 und SOC Typ 2. Wenn Sie erst anfangen, über eine SOC-Zertifizierung nachzudenken, könnte Typ 1 ein guter erster Schritt sein. Er ist schneller zu erlangen und die Anforderungen sind nicht so hoch. Typ 1 ist außerdem kostengünstiger als der Typ-2-Bericht.
Der Unterschied besteht jedoch darin, dass die Überwachung nicht über einen längeren Zeitraum hinweg erfolgt. Bei einem SOC 2 Typ 1-Audit werden Ihre Cybersicherheitsmaßnahmen nur zu einem bestimmten Zeitpunkt überprüft. Im Gegensatz dazu werden bei der SOC Typ 2-Zertifizierung Ihre Sicherheitskontrollen über einen längeren Zeitraum hinweg geprüft. Typ 1 prüft also die Konzeption Ihrer Sicherheitskontrollen, während Typ 2 auch deren operative Wirksamkeit prüft.
Hinweis: Sie könnten auch über den ISAE3402 Typ I Bericht lesen. Das ist die europäische Alternative, aber in der Praxis kümmern sich die meisten Branchen nicht darum. Entscheiden Sie sich also für SOC 2, es sei denn, Sie wissen bereits, dass Sie den europäischen Bericht benötigen.
SOC 2-Kriterien für Vertrauensdienste
Ein SOC-Auditor wird in der Regel fünf Kriterien für Vertrauensdienste verwenden, um Unternehmen auf ihre SOC-2-Konformität zu prüfen:
- Sicherheit: Schutz von Daten und Systemen vor unberechtigtem Zugriff.
- Verfügbarkeit: Stellen Sie sicher, dass die Kundendaten bei Bedarf abgerufen werden können.
- Vertraulichkeit: Stellen Sie sicher, dass vertrauliche Informationen ausreichend geschützt sind.
- Datenschutz: Schutz persönlicher Daten.
- Integrität der Verarbeitung: Sicherstellen, dass die Systeme Daten genau und zuverlässig verarbeiten.
Nicht jedes Unternehmen muss alle fünf Kriterien erfüllen. Ein Teil der Vorbereitung auf Ihr SOC-2-Audit besteht darin, zu entscheiden, welche Kriterien Ihre Kunden verlangen.
Darüber hinaus gibt es weitere branchenspezifische Kriterien. So wird ein Cloud-Dienstleister strengere Anforderungen an die Verschlüsselung von Kundendaten stellen, während Gesundheitsdienstleister Gesundheitsinformationen schützen müssen.
Unsere 5 besten Tipps zur SOC-2-Zertifizierung
1. Sie können nicht wirklich SOC-2-"konform" werden
Im Gegensatz zu ISO 27001 kann man die SOC-2-Konformität nicht erreichen. Es handelt sich um einen Bericht, den ein potenzieller Kunde anfordern kann, um die Sicherheitslage des Unternehmens zu bewerten. Der Kunde muss selbst entscheiden, ob das Unternehmen sicher genug ist, um mit ihm Geschäfte zu machen.
Sie erhalten einen SOC-2-Bericht, der die Einhaltung bestimmter Kriterien nachweist, aber das bedeutet nicht, dass Sie von "nicht konform" zu "konform" wechseln. Das schmälert nicht den Wert für Ihre Geschäftspartner. Sie wissen, was sie brauchen, und verlangen oft einen SOC-2-Auditbericht.
So ist beispielsweise für SOC 2 nicht unbedingt ein Pentest erforderlich, für ISO 27001 wird er jedoch dringend empfohlen. Vanta, eine der führenden Plattformen für die Überwachung der Einhaltung von SOC 2, empfiehlt, SOC 2 als eine Hürde zu betrachten, die Sie überwinden müssen, um als Unternehmen zu gelten, das die wesentlichen Sicherheitsstandards erreicht hat. Aber wenn Sie diese Hürde überwunden haben, können Sie noch einen Schritt weiter gehen, und Ihre Kunden werden die zusätzliche Sicherheit wahrscheinlich zu schätzen wissen.
In diesem Sinne bedeutet Ihr SOC 2-Konformitätsbericht, dass Sie den Prüfer davon überzeugt haben, dass Ihr Unternehmen die SOC 2-Kriterien für Vertrauensdienste erfüllt.
2. Typ 2 basiert auf einem Beobachtungszeitraum für die Einhaltung der Vorschriften
In den SOC-2-Berichten vom Typ 2 wird Ihre Sicherheitslage über einen Beobachtungszeitraum, das so genannte Audit-Fenster, überprüft. Sie können ein Zeitfenster zwischen drei Monaten und einem ganzen Jahr wählen. Dies ist wesentlich gründlicher als SOC 2 Typ 1 und bedeutet, dass Interessengruppen und potenzielle Kunden zusätzliche Sicherheit in Bezug auf Sicherheitssysteme und Datensicherheit erhalten.
Die Wahl des Prüfungszeitraums müssen Sie mit Ihrem Prüfer abstimmen. Es kann von Faktoren wie gesetzlichen Vorschriften, Kundenerwartungen oder der Tatsache abhängen, wie kürzlich Sie Ihre Sicherheitsrahmen und -kontrollen entwickelt haben.
3. SOC 2 vs. ISO 27001: Wenn sich Ihre potenziellen Kunden in den USA befinden, ist SOC 2 das Richtige für Sie!
Unternehmen in den Vereinigten Staaten fordern in der Regel häufiger SOC-2-Berichte an, während europäische Unternehmen sich eher auf ISO 27001 verlassen. Das liegt daran, dass SOC 2 eine amerikanische Norm ist. Wenn Sie können, sollten Sie beides bekommen. Genau das haben wir getan, denn wir werden 2023 auch ISO 27001-konform sein. Wenn Sie nicht beides machen können, sollten Sie sich danach richten, wo Ihre Kunden oder Interessenten ansässig sind.
Wenn Ihre Kunden in den USA ansässig sind, ist die Wahrscheinlichkeit groß, dass sie nach Ihrem SOC-2-Bericht suchen werden.
4. Wir empfehlen Ihnen die Zusammenarbeit mit einem Wirtschaftsprüfer in den USA
Wenn Sie in Europa ansässig sind, gibt es eine Vielzahl von SOC-Auditoren. Sie sind wahrscheinlich sehr gut, aber wenn Sie wollen, dass ein US-Unternehmen Ihrem Bericht vertraut, ist es sinnvoll, sich an einen SOC-2-Prüfer in den USA zu wenden.
5. Verwenden Sie ein sicheres System, über das Kunden Ihren SOC-2-Bericht anfordern können.
Sie sollten es Ihren Kunden leicht machen, Ihren SOC-2-Bericht anzufordern, aber machen Sie es ihnen nicht zu leicht. Hacker könnten ihn nutzen, um Schwachstellen in Ihrer Sicherheit zu erkennen.
Verwenden Sie keine E-Mail, sondern ein Tool, mit dem Sie verfolgen können, was mit dem Bericht geschieht, nachdem er heruntergeladen wurde. Sie sollten wissen, wer den Bericht anfordert, verfolgen, wann er angefordert wurde, und sogar ein Wasserzeichen oder einen Passwortschutz in Betracht ziehen. Am besten ist es, ein NDA zu verwenden.
Aikido und laufende SOC 2-Konformität
Nachdem wir unsere eigene SOC-2-Reise abgeschlossen haben, erfüllt Aikido Security nun alle SOC-2-Kriterien für Trust Services. Darüber hinaus haben wir uns mit Plattformen zur Überwachung der Einhaltung von Vorschriften (wie Vanta, Drata, Secureframe und Thoropass) zusammengetan, um regelmäßig Daten über aktuelle Sicherheitskontrollen abzugleichen und sicherzustellen, dass Aikido und unsere Kunden eine starke Sicherheitslage aufrechterhalten.
Fordern Sie unseren SOC 2 Typ 2 Bericht an
Sie können das SOC 2 Typ 2 Zertifikat von Aikido über unser Security Trust Center anfordern.
Wenn Sie eine SOC-2-Zertifizierung in Erwägung ziehen und noch Fragen haben, können Sie sich auf LinkedIn mit mir in Verbindung setzen, und ich werde den Prozess gerne mit Ihnen im Detail besprechen.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)