Cloud-Sicherheit 101: Alle Grundlagen, die Sie wissen müssen

Es ist leicht, sich von der schieren Menge an Akronymen einschüchtern zu lassen, die es im Bereich Sicherheit und Compliance gibt. Diese Akronyme machen es schwierig zu wissen, worauf man bei der Auswahl eines Software-as-a-Service (SaaS) -Cloud-Anbieters achten muss. Am Ende des Tages möchten Sie die Gewissheit haben, dass Ihre Daten sicher und geschützt sind. Deshalb möchten wir den Bewertungsprozess entmystifizieren und erklären, worauf beim Vergleich und der Bewertung von SaaS-Cloud-Anbietern zu achten ist. In diesem Blog erläutern wir Compliance-Standards und wie sie sich auf die Cloud-Sicherheit auswirken.

Was sind Compliance-Standards?

Einige der gebräuchlichsten Akronyme, auf die Sie stoßen können, sind Sicherheit Operations Center (SOC) und Trust Service Principles (TSPs). Die Aufgabe eines Sicherheit Operations Centers (SOC) besteht darin, den Sicherheitsstatus einer Organisation kontinuierlich zu überwachen und zu analysieren. SOC- Reports geben Sicherheit für Kontrollumgebungen in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Es gibt mehrere Reports , die beweisen, dass eine Organisation einen guten Ruf genießt. Nämlich die Einhaltung von SOC 1 und SOC 2 – es ist wichtig, dass sowohl Typ 1 als auch Typ 2 Reports für diese SOCs vollständig sind.

• Typ 1 Report - Zeigt, dass die internen Kontrollen eines Unternehmens ordnungsgemäß gestaltet sind, um die relevanten Vertrauensgrundsätze zu erfüllen. Diese Report bestätigt nicht die Wirksamkeit von Kontrollen über einen bestimmten Zeitraum.
• Typ 2 Report - Darüber hinaus wird gezeigt, dass Ihre Steuerelemente über einen bestimmten Zeitraum hinweg effektiv funktionieren.

Wusstest du das? Um die SOC-Konformität zu beanspruchen, müssen Anbieter nur eine SOC 1 Typ 1- Report abgeschlossen haben, nicht die vollständige SOC-Konformität, die eine Typ-2- Reportenthält. Es ist wichtig, einen Anbieter zu fragen, ob seine SOC-Konformität eine Typ-2- Reportumfasst. Nur dann kannst du dir sicher sein, dass die Kontrollen über einen bestimmten Zeitraum getestet wurden.

Unterschiede zwischen SOC 1 & SOC 2-Konformitäten

Nachdem wir nun die gängigsten Compliance-Standards (SOCs) skizziert haben, schauen wir uns die Unterschiede zwischen SOC 1 und SOC 2 an. SOC 1 – Ein SOC 1- Report gibt die Gewissheit, dass Ihre Finanzinformationen sicher und geschützt behandelt werden. Die internationale Version der SOC 1 Report wird allgemein als ISAE 3402 bezeichnet. Wenn ein Anbieter sagt, dass er SOC 1-konform ist, bedeutet dies in der Regel, dass er sowohl Typ 1 als auch Typ 2 Reportsabgeschlossen hat. SOC 2 – Diese Report bietet Sicherheit über Kontrollumgebungen in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Hier kommen die Trust Service Principles (TSPs) ins Spiel. SOC 2 Reports die Compliance eines Unternehmens anhand von fünf Kriterien bewerten, die allgemein als Trust Service Principles (TSPs) bezeichnet werden. Die fünf Trust Service Principles sind:

1. Sicherheit– Informationen und Systeme werden vor unbefugtem Zugriff, unbefugter Weitergabe von Informationen und Beschädigung von Systemen geschützt.
2. Verfügbarkeit — Informationen und Systeme sind für den Betrieb und die Nutzung verfügbar.
3. Integrität der Verarbeitung — Die Systemverarbeitung ist vollständig, gültig, korrekt, zeitnah und autorisiert.
4. Vertraulichkeit — Informationen, die als vertraulich gekennzeichnet sind, sind geschützt.
5. Datenschutz – private Informationen werden gesammelt, verwendet, aufbewahrt, offengelegt und entsorgt.

Wusstest du das? Um die Konformität mit SOC 2 Typ 2 Reportzu beanspruchen, müssen Anbieter nur mindestens einen der fünf TSPs erfüllen. Es ist wichtig, einen Anbieter zu fragen, welche Trust Service Principals für eine SOC 2 Typ 2 Reporterfüllt werden. Stelle sicher, dass du die Anbieter fragst, ob sie alle fünf TSPs im Rahmen ihrer SOC 2-Konformität erfüllt haben.

Cloud-Sicherheit und Compliance von Prophix

Wenn Sie die Unterschiede zwischen SOC 1, SOC 2 und Typ 1 und 2 Reports verstehen, können Sie bei der Auswahl eines SaaS-Cloud-Anbieters eine fundierte Entscheidung treffen. Es gibt jedoch noch einige andere Aspekte der Sicherheit und Compliance, die Sie berücksichtigen sollten, darunter die Häufigkeit von Audits, die Frameworks, in denen der Anbieter zertifiziert ist, wer die zugrunde liegende Cloud-Technologie bereitstellt und wie optimiert die Endbenutzerauthentifizierung ist. Wenn Sie mehr darüber erfahren möchten, wie Sie sich in den heute auf dem Markt befindlichen Cloud-Anbietern zurechtfinden, lesen Sie unser Whitepaper zu Sicherheit und Compliance. Prophix ist sowohl nach SOC 1 Typ 1 & 2 als auch nach SOC 2 Typ 1 und 2 zertifiziert, was bedeutet, dass wir alle fünf Vertrauensgrundsätze einhalten. Weitere Informationen zu Prophix Cloud finden Sie unter https://trust.prophix.com/.