Was ist SOC 2?
SOC 2 (System and Organization Controls 2) ist ein von der AICPA entwickeltes Audit-Framework, das die Kontrollen einer Serviceorganisation in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bewertet – die sogenannten Trust Services Criteria.
Auch bekannt als: SOC 2, SOC 2 Type II, Service Organization Control
SOC-2-Berichte sind der De-facto-Standard, um nachzuweisen, dass ein SaaS- oder Cloud-Dienstanbieter mit Kundendaten verantwortungsvoll umgeht. Ein Typ-I-Bericht bewertet das Design der Kontrollen zu einem bestimmten Zeitpunkt, während ein Typ-II-Bericht – die strengere und häufiger angeforderte Version – sowohl das Design als auch die operative Wirksamkeit der Kontrollen über einen Zeitraum von typischerweise 6 bis 12 Monaten bewertet.
Das Sicherheitskriterium (auch Common Criteria genannt) ist bei jeder SOC-2-Prüfung obligatorisch und umfasst logische und physische Zugriffskontrollen, Systemoperationen, Change Management und Risikominderung. Organisationen müssen nachweisen, dass sie Informationen während ihres gesamten Lebenszyklus vor unbefugtem Zugriff schützen – auch beim Teilen und Übertragen. Auditoren prüfen Richtlinien, Verfahren und technische Kontrollen und untersuchen häufig, wie Zugangsdaten und Geheimnisse verwaltet, geteilt und rotiert werden.
SOC-2-Compliance zu erreichen und aufrechtzuerhalten erfordert kontinuierliche Anstrengungen: dokumentierte Sicherheitsrichtlinien, Zugriffsüberprüfungen, Verschlüsselungspraktiken, Incident-Response-Verfahren, Lieferantenmanagement und Mitarbeiterschulungen. Organisationen, die sich auf SOC 2 vorbereiten, stellen oft fest, dass informelle Praktiken – wie das Teilen von Passwörtern per E-Mail oder Slack – Audit-Findings generieren, die behoben werden müssen.
Wie Vaulted SOC 2 verwendet
Vaulted hilft Organisationen dabei, SOC-2-Compliance zu erreichen oder aufrechtzuerhalten, indem es eine sichere, auditierbare Methode zum Teilen sensibler Informationen bietet. Statt Zugangsdaten per E-Mail oder Chat zu übermitteln – was Auditoren als Kontrollschwäche anmerken –, können Teams Geheimnisse über Vaulteds verschlüsselte, selbstzerstörende Links teilen. Die Zero-Knowledge-Architektur, clientseitige Verschlüsselung und automatischer Ablauf entsprechen den SOC-2-Kriterien für Vertraulichkeit und Sicherheit und liefern Belege dafür, dass die Organisation sensible Daten beim Teilen schützt.