SOC 2-Zertifizierung: Warum die besten SaaS-Plattformen ihr Zeugnis nicht selbst schreiben

Artikel geschrieben von Dan Whitty, Senior Information Security Manager bei Award Force.

Jede Softwareplattform kann behaupten, dass sie Sicherheit ernst nimmt. Eine SOC 2-Zertifizierung bedeutet jedoch, dass eine angesehene unabhängige Prüfung über Monate hinweg Nachweise bewertet, ob dies tatsächlich zutrifft.

Bei der Auswahl von Plattformen kann es manchmal auf ein einziges Unterscheidungsmerkmal ankommen. Zwei Finalist:innen haben beide professionelle Websites. Beide behaupten, ihre Sicherheit entspreche dem Enterprise-Standard. Beide verwenden Begriffe wie „robust“ und „weltklasse“. Wie sich herausstellt, stammen diese Aussagen bei einer Plattform aus der eigenen Darstellung. Die andere ließ ihre Systeme von unabhängiger Stelle – ohne Eigeninteresse am Ergebnis – über Monate hinweg auf Schwachstellen prüfen und kam dabei zum gleichen Schluss.

Welcher Plattform würden Sie die Daten Ihrer Bewerbenden anvertrauen? Darum geht es im Kern bei der SOC 2-Zertifizierung … um das alte Sicherheitsmotto: Vertrauen ist gut, Kontrolle ist besser.

Wofür steht SOC 2 eigentlich?

SOC steht für System and Organization Controls, ein Framework, das vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde.

SOC 2 ist die Version, die speziell für Technologie- und cloudbasierte Dienstleistungsunternehmen entwickelt wurde. Sie konzentriert sich darauf, wie eine Plattform mit der Sicherheit der Daten umgeht, die sie im Auftrag ihrer Kunden verwaltet.

Für das Award-Management sind diese Daten erheblich: Namen und Kontaktdaten der Teilnehmenden, Finanzinformationen, Bewertungskennzahlen, Notizen der Bewertenden, Vergabeentscheidungen. Dies sind Daten, zu deren Schutz SaaS-Dienste verpflichtet sind.

SOC 2 Typ 1 vs. Typ 2: Der Unterschied zwischen einem Versprechen und einer Erfolgsbilanz

Hier kommt es häufig zur Verwirrung, dabei ist es eine wichtige Unterscheidung.

• Ein SOC 2 Typ 1-Bericht besagt: Zu diesem spezifischen Zeitpunkt verfügte diese Plattform über die richtigen Kontrollmechanismen. Stellen Sie sich das wie eine Inspektion vor, bei der eine Restaurantküche an einem einzigen Nachmittag überprüft wird und bestätigt wird, dass die Geräte sauber sind und Lebensmittel korrekt gelagert werden.
• Ein SOC 2 Typ 2-Bericht besagt: Über einen längeren Zeitraum, in der Regel sechs bis zwölf Monate, wurde durch eine unabhängige Prüfung beobachtet, dass diese Kontrollen in der Praxis tatsächlich konsistent funktionieren.

Typ 2 ist der strengere der beiden Standards und derjenige, den die meisten Kunden erwarten werden. Es ist der Unterschied zwischen einer Plattform, die ein sicheres System aufgebaut hat, und einer, die nachweislich Tag für Tag unter der Aufsicht eines unabhängigen Dritten ein sicheres System betrieben hat.

Worauf Sie bei einer SOC 2-zertifizierten Plattform achten sollten

Wenn Sie Software für das Award-Management evaluieren, sollten Sie jedem Anbieter, der behauptet, SOC 2-konform zu sein, die folgenden Fragen stellen:

• Handelt es sich um Typ 1 oder Typ 2? Typ 2 ist der stärkere Standard. Wenn ein Anbieter nur Typ 1 vorweisen kann, fragen Sie nach, wann der Abschluss von Typ 2 erwartet wird.
• Wie aktuell ist der Bericht? SOC 2-Audits werden in der Regel jährlich erneuert. Ein Audit von vor mehreren Jahren sagt weniger über den aktuellen Zustand der Plattform aus.
• Können Sie den Bericht teilen? Ein glaubwürdiger Anbieter sollte bereit sein, ernsthaften Interessenten seinen SOC 2-Bericht oder zumindest eine Zusammenfassung zur Verfügung zu stellen. Wenn sie zögern, ist das bereits ein Signal.

Award Force und SOC 2

Wir haben unser Zeugnis bereits einmal abgegeben und „treten derzeit erneut zur Prüfung an“. Award Force ist nach SOC 2 Typ 2 zertifiziert, und zum Zeitpunkt der Erstellung dieses Textes läuft unser zweites Audit. Denn eine einzige unabhängige Überprüfung war uns nie genug.

Besuchen Sie unser Sicherheitszentrum, um mehr zu erfahren.