Unternehmen outsourcen zunehmend grundlegende Funktionen wie die Datenspeicherung und den Zugriff auf Anwendungen an Cloud-Serviceanbieter (Cloud Service Provider, CPS) und andere Dienstleister. Als Reaktion darauf hat das American Institute of Certified Public Accountants (AICPA) das Service Organization Controls (SOC)-Framework als Standard für Kontrollen entwickelt, die die Vertraulichkeit und den Schutz von Daten gewährleisten, die in der Cloud gespeichert und verarbeitet werden. Dieses Framework entspricht dem International Standard on Assurance Engagements (ISAE), dem Berichterstattungsstandard für internationale Dienstleiter.

Ein SOC-2-Audit prüft die Effektivität des Systems eines CSPs basierend auf den AICPA Trust Service Principles and Criteria. Ein Attest Engagement unter Abschnitt 101 Attestation Standards (AT) ist die Grundlage von SOC-2- und SOC-3-Berichten.

Nach Abschluss eines SOC-2-Audits gibt der Prüfer des Services eine Einschätzung in einem SOC-2-Typ 2-Bericht ab. Er beschreibt das System des CSPs und bewertet die Fairness der Beschreibung der Datenschutzkontrollen des CSPs. Im Rahmen des Berichts wird außerdem bewertet, ob die Kontrollen des CSPs angemessen entwickelt wurden, an einem bestimmten Datum in Betrieb waren und über einen bestimmten Zeitraum effizient funktioniert haben.

Prüfer können auch einen SOC-3-Bericht erstellen. Dies ist eine verkürzte Version des SOC-2-Typ 2-Prüfberichts für Benutzer, die sich bezüglich der Kontrollen des CSPs rückversichern möchten, jedoch keinen vollständigen SOC-2-Bericht benötigen. Ein SOC-3-Bericht kann nur übermittelt werden, wenn der CSP einen nicht qualifizierten Prüfvermerk für SOC-2 besitzt.

Sollten Sie weitere Fragen haben, die oben nicht beantwortet wurden, oder Sie möchten eine Kopie des neuesten SOC-2-Berichts anfordern, füllen Sie dieses Formular aus. Ein Smartsheet Security Engineer wird sich dann mit Ihnen in Verbindung setzen.