Bitculator für Android holen
Marktkapitalisierung:
$1,989,757,388,554
Volumen 24 Stunden:
$154,341,201,858
Juni 05 Liquidationen:
$0
24H Long/Short:
Demnächst
Service Organization Control Type 2 (SOC 2)
Was bedeutet Service Organization Control Type 2 (SOC 2) in Krypto-Begriffen?
Ein Service Organization Control Type 2 (SOC 2) Bericht bewertet, wie eine Dienstleistungsorganisation Kundendaten schützt.
Was ist Service Organization Control Type 2 (SOC 2)?
Service Organization Control Type 2 (SOC 2) ist ein unabhängiger Prüfbericht, der überprüft, ob ein Unternehmen Daten über einen längeren Zeitraum schützt und tatsächlich seine eigenen Regeln einhält. Man kann es sich wie eine mehrmonatige Prüfung der Sicherheitskontrollen und Datenschutzkontrollen vorstellen, nicht nur wie ein kurzer Test. Wenn Sie Kundendaten in der Cloud verarbeiten, ist das der Nachweis dafür, dass Sie das ernst nehmen.
SOC 2 bedeutet, ein Produkt sei unzerstörbar. Nein. Es zeigt, dass Kontrollen entworfen wurden und über die Zeit funktionieren, aber es ist kein Fehlerprämienprogramm, kein Penetrationstest und keine Garantie dafür, dass nichts schiefgehen kann.
Wie Service Organization Control Type 2 (SOC 2) funktioniert
Kurzszenario: Ein Anbieter für Verwahrung von Kryptoassets möchte Bankkunden gewinnen. Banken verlangen Nachweise für Kontrollen, keine bloßen Angaben. Dann kommen Prüfer, Checklisten und ein Zeitrahmen dazu.
Der Standard gehört zum American Institute of CPAs. Wenn Sie die Quelle sehen möchten, schauen Sie bei AICPA SOC vorbei.
- Umfang: Das Unternehmen wählt, welche Trust Services Criteria gelten, zum Beispiel Security und Availability, und bestimmt, welche Systeme betroffen sind.
- Beobachten: Ein unabhängiger Prüfer bewertet Richtlinien, Zugriffskontrollen, Änderungsmanagement und mehr und verfolgt dann, wie diese über mehrere Monate laufen. Beispiel: Zugriffsprotokolle für Wallets in der Produktion werden stichprobenartig geprüft.
- Prüfen: Der Prüfer versucht zu bestätigen, dass die Kontrollen während des Prüfzeitraums tatsächlich funktioniert haben. Passwortrichtlinien, Reaktion auf Sicherheitsvorfälle, Backups, Prüfungen von Drittanbietern, alles wird geprüft.
- Bericht: Der Prüfer erstellt einen Type 2 Bericht, der das System, die getesteten Bereiche, die Ergebnisse und etwaige Ausnahmen erläutert. Ein sauberer Bericht ist gute Nachricht.
- Teilen: Unternehmen geben den Bericht dann an Kunden weiter, häufig über Anforderungsportale wie AWS Artifact oder ähnliche. Geheimhaltungsvereinbarungen sind üblich, Screenshots nicht.
Genau so ist es.
Warum Service Organization Control Type 2 (SOC 2) wichtig ist
Weil alle sagen, ihnen sei Sicherheit wichtig. Nur wenige können das belegen. SOC 2 ist der Nachweis.
- Vorteil: Kürzere Lieferantenprüfungen und schnellere Abschlüsse, da Käufer darauf vertrauen können, wie Sie Daten handhaben, ohne einen Monat hin und her.
- Perspektive: Schlagzeilen über Sicherheitsvorfälle haben Vertrauen zu einem Geschäftsvorteil gemacht. Das ist Luxusmarke trifft Online-Foren, Belege inklusive.
- Relevanz: Börsen, Wallet as a Service Anbieter, Verwahrungsplattformen und Analyseanbieter nutzen es, um Partner zu gewinnen. Für ein aktuelles Beispiel sehen Sie sich die öffentliche Position an unter Fireblocks security and compliance.
Fragen Sie Anbieter nach dem Prüfzeitraum und dem Umfang. Stimmen Sie diese Daten dann mit Ihrem geplanten Produktivstart ab. Ein aktueller Prüfzeitraum, relevante Systeme sowie Security und Availability sind üblicherweise erforderlich.
Hauptmerkmale von Service Organization Control Type 2 (SOC 2)
Das zeichnet es aus:
- Zeit: Es umfasst die Wirksamkeit von Kontrollen über einen Zeitraum, nicht nur das Design an einem einzelnen Tag.
- Kriterien: Es orientiert sich an den Trust Services Criteria wie Security, Availability, Confidentiality, Processing Integrity und Privacy.
- Zielgruppe: Der Bericht ist eingeschränkt und wird in der Regel unter NDA mit Kunden und Interessenten geteilt.
Möchten Sie die vollständige Liste der Kriterien und Erwartungen? Die AICPA overview erklärt das.
Varianten
All dies fällt unter das Dach von System and Organization Controls:
- SOC1: Konzentriert sich auf Kontrollen der Finanzberichterstattung, oft für Lohnabrechnung oder Transaktionsverarbeiter.
- SOC2 Type 1: Testet das Design von Kontrollen zu einem Zeitpunkt. Momentaufnahme, kein längerer Zeitraum.
- SOC2 Type 2: Testet Design und Betriebseffektivität über mehrere Monate. Dies wird von Käufern verlangt.
- SOC3: Eine für die allgemeine Nutzung bestimmte Zusammenfassung, die öffentlich veröffentlicht werden kann.
SOC 2 prüft Kontrollen bei Personen, Prozessen und Technik, aber es auditert nicht Ihre Smart Contracts und belegt nicht, dass Ihre App in Sicherheitsfragen fehlerfrei ist. Sie benötigen weiterhin Codeprüfungen und gezielte Tests.
Beispiel
Ein Anbieter von Wallet as a Service teilt seinen aktuellen SOC 2 Type 2 Bericht mit einer Bank unter NDA, um eine Pilotintegration zu ermöglichen.
Interessante Tatsache
SOC 2 wurde mit dem Aufkommen von Cloudanbietern in den frühen 2010er Jahren populärer, weil Käufer eine einheitliche Methode brauchten, um SaaS-Kontrollen zu beurteilen. Die fünf Trust Services Criteria hießen früher Principles, und die Namensänderung verwirrte Prüfer und Marketingverantwortliche gleichermaßen.
Zusammenfassung
Stellen Sie sich Folgendes vor: Eine unabhängige Partei hat Ihre Sicherheitsabläufe über Monate beobachtet und dokumentiert, damit Kunden sich nicht nur auf Ihre Aussagen verlassen müssen.
Erkunden Sie andere Krypto-Begriffe
Fanden Sie diesen Begriff klar definiert?
Haben wir etwas vergessen??
Ihr Beitrag hilft uns, alles korrekt zu halten. Kontaktieren Sie uns, wenn etwas falsch ist oder fehlt.
Kontakt