Als Unternehmer sind Sie immer auf der Suche nach Möglichkeiten, sich von der Konkurrenz abzuheben. Es kann sein, dass Ihr außergewöhnlicher Service, unglaubliche Produkte oder vielleicht niedrige Preise Ihnen diesen Wettbewerbsvorteil verschaffen. Genauso wichtig wie all diese Dinge für den Erfolg Ihres Unternehmens sind, ist es auch, ein tiefes Maß an Vertrauen bei Ihren Kunden aufzubauen. Eine gute Möglichkeit, dieses Vertrauen aufzubauen, besteht darin, SOC 2-konform zu werden.
Es gibt fünf Vertrauensdienstprinzipien, die Folgendes umfassen:
- Sicherheit
- Verfügbarkeit
- Verarbeitungsintegrität
- Vertraulichkeit
- Datenschutz
SOC 2-Konformität
Die Einhaltung der SOC 2-Konformität ist für jedes Unternehmen einzigartig. um am besten auf ein externes Audit durch einen CPA vom American Institute of Certified Public Accountants, In diesem Handbuch wird jedes SOC ausführlich erläutert 2 Treuhanddienstprinzip.
Das einzige Trust-Service-Prinzip, das erforderlich ist, um SOC 2-konform zu sein, ist das Trust-Service-Prinzip der Sicherheit. Weitere Informationen finden Sie in unserem Artikel zu SOC 2-Compliance-Anforderungen. Abhängig von der Art des Geschäfts, das Sie betreiben, können die anderen Trust-Service-Prinzipien Ihre berufliche Autorität mit dem von Ihnen erbrachten Service begründen.
Bewerten Sie Ihre SOC 2-Konformität
Was ist SOC 2
Service Organizational Control (SOC) -Berichte dienen dazu, Ihren Kunden zu beweisen, dass Sie mit Kundendaten ordnungsgemäß umgehen. Diese Daten werden gemäß den vom American Institute for CPAs (AICPA) festgelegten SOC-Richtlinien übertragen, gespeichert, gepflegt, verarbeitet und entsorgt. Bei der Entscheidung, SOC-konform zu werden, sind zwei Arten von Berichten zu berücksichtigen.
SOC 1
Der erste Bericht untersucht die Methoden und Kontrollen, die zur Aufrechterhaltung eines Vertrauensdienstprinzips verwendet werden.
SOC 2
Der zweite Bericht untersucht dieselben Methoden und Kontrollen über einen längeren Zeitraum.
Welchen Bericht wähle ich?
Abhängig von den Anforderungen Ihrer Organisation müssen Sie im Audit möglicherweise nur nachweisen, dass die derzeit vorhandenen Kontrollen ausreichen, und Sie erwarten, dass diese Kontrollen beibehalten werden. Wenn es sich bei Ihrem Unternehmen um ein hochkarätiges Unternehmen handelt, das große Datenmengen oder sensible Daten verarbeitet, sollten Sie einen SOC 2-Bericht in Betracht ziehen, um die Wirksamkeit Ihrer Kontrollen über einen längeren Zeitraum zu testen. Auf diese Weise erhalten Sie einen tieferen Einblick in die sich entwickelnde Natur Ihrer Steuerelemente. Durch die Überwachung Ihres Datenmanagements können Sie die Sicherheitsmaßnahmen entsprechend anpassen, um einen höheren Datenschutz zu gewährleisten.
Lesen Sie auch: SOC 2 TYP 1 VS. TYP 2: Was ist der Unterschied?
Five Trust Service Principles
Das einzige erforderliche SOC 2 Trust Service Principle, für das Sie die erforderlichen Qualifikationen erfüllen müssen, um SOC 2-konform zu werden, ist das Security Trust Service Principle. Wenn Sie sich für die Prüfung und Zertifizierung anderer Trust-Service-Prinzipien entscheiden, tun Sie dies nach eigenem Ermessen entsprechend den Anforderungen Ihres Unternehmens.
Sicherheit
Am 20.Mai wurden Millionen von Instagram-Nutzern, darunter Influencer, Prominente und Markenpartner, Opfer eines Datenverstoßes, bei dem personenbezogene Daten offengelegt wurden. Laut TechCrunch-Reporter Zach Whittaker „wurde die von Amazon Web Services gehostete Datenbank offengelegt und ohne Passwort, das es jemandem ermöglichte, hineinzuschauen … enthielt ihre privaten Kontaktinformationen, wie die E-Mail-Adresse und Telefonnummer des Instagram-Kontoinhabers. Instagram Facebook-Datenschutzverletzung“
Facebook ist bereits in der Verteidigung und sieht sich nun einer weiteren Salve empörter Kunden gegenüber, die sich Sorgen um die Sicherheit ihrer Daten machen. Viele möchten sich anderen Social-Networking-Apps oder Websites anschließen, um zu vermeiden, dass ihre Daten offengelegt werden. Es ist ein großer Vorteil, sicherzustellen, dass die Daten Ihres Kunden durch die erforderlichen Sicherheitsprotokolle gründlich geschützt sind.
Gute Sicherheit ist zweifach: Sie müssen sowohl Front- als auch Back-End-Steuerelemente berücksichtigen, um Kundendaten zu schützen. Wenn Sie ein Haus besitzen, würden Sie sicherstellen, dass Sie sowohl die Vorder- als auch die Hintertür verriegeln.
Frontend
Die Frontend-Sicherheit kann in zwei separate Bereiche unterteilt werden: Die Sicherheit der Daten Ihres Kunden und die Gewährleistung, dass Ihr Kunde nur auf die für ihn relevanten Daten zugreifen kann.
Front-End-Sicherheit ist wie die Vorderseite Ihres Hauses. Der Postbote kann bestimmte Aufgaben wie das Absetzen von Post oder Paketen ausführen, ähnlich wie ein Kunde flüchtige Aufgaben ausführen kann. Nachbarn können den gepflegten Garten Ihres Hauses, die perfekt bemalten Fensterläden und die lustigen Rasenornamente bewundern, genau wie Besucher das Design und Layout Ihrer Website sehen können. Vielleicht gehen sie noch weiter und klingeln an Ihrer Tür, erkundigen sich, wie es Ihnen geht, und teilen einige ihrer Daten mit Ihnen.
Sie als Hausbesitzer entwickeln eine starke Beziehung zu einigen von ihnen und sie betreten Ihr Haus, haben aber nur Zugang zu einigen wenigen Bereichen. Sie möchten nicht, dass jemand Ihr unordentliches Schlafzimmer oder Büro sieht. Sie setzen Grenzen, wohin Ihre Freunde und Besucher gehen können, um sicherzustellen, dass alle privaten Informationen, die sie nicht betreffen, so bleiben.
Dieses Frontend beschreibt, wie Ihr Kunde mit Anwendungen wie Transaktionen, Passwörtern, dem Inhalt Ihrer Website, Bildern oder Links interagiert. Produkte, Einkaufswagen, Kassen und andere eingebettete Anwendungen müssen am Frontend sicher sein.
Natürlich möchten Sie sicherstellen, dass Ihr Kunde nur das sehen oder damit interagieren kann, was sich in seinem Warenkorb befindet. Wenn Sie die Frontend-Entwicklung nicht ordnungsgemäß verwalten, kann dies dazu führen, dass der Client versehentlich die Daten anderer Clients offenlegt oder für deren Interessen verwendet.
Ein Haus ist jedoch kaum geschützt, wenn Sie nur die Haustür abschließen. Wenn Sie an einer starken Front-End-Sicherheit arbeiten, ohne das Backend zu schützen, wäre Ihr Unternehmen Hackern vollständig ausgesetzt. Aus diesem Grund ist auch die Entwicklung einer starken Backend-Sicherheit von entscheidender Bedeutung.
Backend
Die Daten selbst werden auf dem Server gespeichert und letztendlich über das Backend abgerufen. Daten, die von einem Informationssicherheitszentrum aggregiert wurden, ergaben, dass fast 60% der Hacker wirtschaftlichen Gewinn durch den Verkauf privater Daten anstreben. Statistiken zu Cyberangriffen Die primäre Angriffsmethode findet im Backend der Datenspeicherung statt; Derselbe Datenbericht zeigt, dass 72% der Hacker zu diesem Zeitpunkt versuchen, auf Daten zuzugreifen.
Im Backend findet die gesamte Kommunikation wichtiger Daten statt, die für Ihren Kunden nicht relevant sind. Dieser Bereich muss sicher sein und ordnungsgemäß ausgeführt werden, um sicherzustellen, dass das Frontend für alle Ihre Clients ordnungsgemäß ausgeführt wird. Daher ist eine Datenverletzung im Backend katastrophal.
Der Dieb, der bei den Nachbarn keinen Verdacht erregen will, schleicht sich hinter Ihrem schönen Haus herum, vorausgesetzt, er kann sich dort Zugang verschaffen. Aber Sie sind ein intelligenter Hausbesitzer, der weiß, alle Einstiegspunkte zu sperren und zu sichern. Die Entwicklung einer starken Backend-Sicherheit ist entscheidend für den Schutz der wichtigen Daten, die in den Wänden Ihres Hauses enthalten sind.
Aufgrund der Allgegenwärtigkeit des Internets sind Sicherheitsangriffe unvermeidlich. Was am wichtigsten ist, ist, dass Sie den Auditoren zeigen können, dass die Angriffe durch sofortige Reaktion und eine Verschärfung der Sicherheit gemildert wurden.
Unser Artikel darüber, wie Sie Ihre Cybersicherheit verbessern können, gibt Ihnen einen detaillierten Ansatz für die besten Cybersicherheitspraktiken.
Best Practice bedeutet, dass Sie im Falle eines Verstoßes nachweisen können müssen, wie Sie mit der Situation umgegangen sind und welche Kontrollen Sie eingerichtet haben, um zukünftige Verstöße zu verhindern.
Sollten Sie sich für eine SOC 2-Zertifizierung entscheiden, achten Sie darauf, sich auf dieses SOC 2-Trust-Service-Prinzip zu konzentrieren und die folgenden Kriterien zu beachten, die von der AICPA im AICPA Trust Services Criteria Report beschrieben werden:
- Logische und physische Zugriffskontrollen. Die Kriterien, die relevant sind, wie eine Entität den logischen und physischen Zugriff einschränkt, diesen Zugriff bereitstellt und entfernt und unbefugten Zugriff verhindert
- Systemvorgänge. Die Kriterien, die relevant sind, wie ein Unternehmen den Betrieb des Systems oder der Systeme verwaltet und Verarbeitungsabweichungen erkennt und mildert, einschließlich logischer und physischer Sicherheitsabweichungen
- Änderungsmanagement. Die Kriterien, die relevant sind, wie ein Unternehmen die Notwendigkeit von Änderungen identifiziert, die Änderungen mithilfe eines kontrollierten Änderungsmanagementprozesses vornimmt und verhindert, dass nicht autorisierte Änderungen vorgenommen werden
- Risikominderung. Die Kriterien, die relevant sind, wie das Unternehmen Risikominderungsaktivitäten identifiziert, auswählt und entwickelt, die sich aus potenziellen Geschäftsunterbrechungen und der Verwendung von Lieferanten und Geschäftspartnern ergeben
Verfügbarkeit
Als Geschäftsinhaber bestimmen Sie die Arten von Dienstleistungen, die Sie jedem Kunden anbieten, und das erforderliche Leistungsniveau, um die Anforderungen des Kunden zu erfüllen. Laut K.T. Kearney, „Bestimmte Aspekte des Dienstes – Qualität, Verfügbarkeit, Verantwortlichkeiten – werden zwischen dem Dienstanbieter und dem Dienstnutzer vereinbart“ Service Level Agreement für Cloud Computing
Garantieren Sie, dass Ihr Kunde genau versteht, was er durch die Nutzung Ihres Dienstes erhält, auf welcher Ebene Ihr Dienst ausgeführt wird und dass er Ihre Ziele als Dienstanbieter erfüllt.
Verarbeitungsintegrität
Ein weiteres wichtiges SOC 2-Vertrauensprinzip ist die Verarbeitungsintegrität, die eine interne Qualitätssicherung Ihrer Geschäftsziele darstellt. Dies kann beispielsweise Sicherheitsvorkehrungen für Transaktionen oder die Aufrechterhaltung von Datenkontrollen umfassen.
Die AICPA sagt, dass sich die Verarbeitungsintegrität darauf bezieht, wann „die Systemverarbeitung vollständig, gültig, genau, zeitnah und autorisiert ist, die Ziele des Unternehmens zu erreichen.“ Vertrauensdienste und Informationsintegrität
Angenommen, Sie verkaufen ein Produkt auf Ihrer Website, z. B. benutzerdefinierte Kuckucksuhren. Sie beziehen die besten Uhren von Schweizer Uhrmachern, daher ist Ihr Produkt tendenziell teurer und hat längere Lieferzeiten. Von dem Zeitpunkt an, an dem Ihr Kunde auf „Bestellung aufgeben“ klickt, bis zu dem Zeitpunkt, an dem er an seiner Tür ankommt, beweist die Verarbeitungsintegrität dem Kunden, dass seine Transaktion vollständig, gültig, genau und mit detaillierten Zeitaktualisierungen ist.
Die Unfähigkeit, Bestellungen genau zu bearbeiten, kann zu anderen potenziellen Problemen führen, z. B. Verzögerungen bei Lieferungen oder Mengen Ihres Produkts. Um Ihr Geschäft mit benutzerdefinierten Kuckucksuhren am Laufen zu halten, ist eine umfassende Verarbeitungsintegrität erforderlich.
Die Trust Service Principles of security und Processing Integrity gehen Hand in Hand, indem Verfahren zur Verhinderung, Erkennung oder Korrektur von Systemfehlern implementiert werden, die einen entscheidenden Aspekt der Verarbeitungsintegrität darstellen, was wiederum weniger Sicherheitsanomalien oder Angriffe bedeuten würde.
Vertraulichkeit
Sie würden niemanden in Ihr Haus lassen. Als Beschützer Ihres Hauses und Geschäfts wahren Sie ein striktes Maß an Vertraulichkeit in Bezug darauf, wer auf Daten zugreifen kann. Und wenn Ihr Nachbar Bob Ihnen sagt, dass seine Frau ihn betrügt, erwartet er natürlich, dass nur die richtigen Parteien informiert werden.
Vertraulichkeit ist sowohl die Art und Weise, wie Daten mit anderen geteilt werden, als auch wer Zugriff auf diese Daten hat. Verfahren wie verschlüsseltes Messaging, klare Systemgrenzen oder Firewalls können alle Daten vertraulich behandeln.
Die AICPA in ihrem Bericht über Trust Service Principles heißt es: „Vertraulichkeit befasst sich mit der Fähigkeit des Unternehmens, als vertraulich bezeichnete Informationen von seiner Sammlung oder Erstellung bis zu seiner endgültigen Verfügung und Entfernung aus der Kontrolle des Unternehmens in Übereinstimmung mit den Zielen des Managements zu schützen.“ AICPA Trust Services Criteria Report
Sie sollten regelmäßig überprüfen, ob die Daten des Kunden vertraulich behandelt werden. Die Überwachung des Verhaltens im Zusammenhang mit sensiblen Daten kann verhindern, dass diese Daten an falsche Parteien weitergegeben werden — sowohl intern als auch extern.
Datenschutz
In demselben AICPA-Bericht zu Trust Service Principles beschreiben sie den Datenschutz als „Personenbezogene Daten werden gesammelt, verwendet, aufbewahrt, offengelegt und entsorgt, um die Ziele des Unternehmens zu erreichen. Obwohl Vertraulichkeit für verschiedene Arten sensibler Informationen gilt, gilt Datenschutz nur für persönliche Informationen.
Datenschutz ist seit langem ein wichtiger Bestandteil, um Vertrauen bei Kunden aufzubauen. Es markiert nicht nur eine Grenze der Reichweite der Regierung in persönliche Angelegenheiten, sondern auch die von Ihnen, dem Geschäftsinhaber und Dienstleister. Datenschutz ermöglicht es Kunden, ihr eigenes Geschäft erfolgreich zu führen oder Informationen zu pflegen, wenn sie wissen, dass Ihr Service die erforderlichen Kriterien erfüllt.
Das AICPA legt die notwendigen Kriterien zur Wahrung der Privatsphäre fest, darunter:
- Hinweis und Mitteilung der Ziele: Sie informieren Ihre Kunden über Aktualisierungen des Datenschutzes, einschließlich der Art und Weise, wie ihre Daten gespeichert und entsorgt werden.
- Wahl und Zustimmung: Ihre Kunden haben die Wahl, wie ihre Daten gesammelt, wie lange sie gespeichert und wann und wie diese Daten vernichtet werden. Eine offene Kommunikation mit Ihren Kunden ist wichtig, um Wahlfreiheit zu bieten.
- Erfassung: Sie erfassen nur die Daten, die zur Erreichung der Ziele Ihres Unternehmens erforderlich sind.
- Verwendung, Aufbewahrung und Entsorgung: Sie stellen sicher, dass Sie einschränken, wer private Daten verwenden und aufbewahren darf. Sollten die Daten jemals vernichtet werden müssen, wissen Sie auch, wer dies tut und dass sie vernichtet werden.
- Zugriff: Sie geben eine Möglichkeit an, wie Ihr Kunde auf seine privaten Daten zugreifen und diese ändern kann, wenn Korrekturen oder Aktualisierungen auftreten.
- Offenlegung und Notifizierung: Sollte es zu einer Verletzung privater Daten kommen, müssen Sie Ihren Kunden benachrichtigen und ihn über nachfolgende Verfahren zur Bewältigung der Datenverletzung informieren.
- Qualität: Sie halten die Daten Ihrer Kunden aktuell und vollständig.
- Überwachung und Durchsetzung: Sie stellen sicher, dass Sie alle Bedenken in Bezug auf private Daten ansprechen, die von Prozessanwälten oder Mandanten geäußert wurden. Sie überwachen diese Daten auch, um gefährliche Sicherheitsangriffe zu verhindern.
Werden Sie SOC 2-konform
Halten Sie sich an diese SOC 2 Trust Principles, um Ihr Unternehmen auf ein Audit vorzubereiten. Denken Sie daran, dass Sie nur die im Abschnitt Sicherheit dieses Artikels beschriebenen Anforderungen erfüllen müssen. Alle zusätzlichen Trust-Service-Prinzipien sind zusätzliche Vorteile für Ihr Unternehmen, die das Vertrauen zwischen Ihnen und Ihren Kunden verbessern können. Bestimmte größere Kunden erwarten, dass Sie über die erforderlichen Zertifizierungen verfügen, bevor Sie mit Ihnen Geschäfte tätigen.
Lesen Sie auch: Eine detaillierte SOC 2-Compliance-Checkliste
Weitere Informationen
Weitere Informationen zu Trust Service Principles und den erforderlichen Kriterien finden Sie im vollständigen, äußerst detaillierten Bericht (satte 342 Seiten mit Kriterien und Terminologie) der AICPA, den Sie unter AICPA Trust Service Criteria Report finden.
Die bessere Lösung ist, RSI Security anzurufen oder uns eine E-Mail mit Ihren Fragen zu senden, und einer unserer qualifizierten Experten hilft Ihnen bei der Implementierung der besten Sicherheitspraktiken.