Cloud-Sicherheit 101: Alle Grundlagen, die Sie wissen müssen
Prophix
Feb 22, 2022, 3:25:00 AM
Es ist leicht, sich von der schieren Menge an Akronymen einschüchtern zu lassen, die es im Bereich Sicherheit und Compliance gibt. Diese Akronyme machen es schwierig zu wissen, worauf man bei der Auswahl eines Software-as-a-Service (SaaS) -Cloud-Anbieters achten muss. Am Ende des Tages möchten Sie die Gewissheit haben, dass Ihre Daten sicher und geschützt sind. Deshalb möchten wir den Bewertungsprozess entmystifizieren und erklären, worauf beim Vergleich und der Bewertung von SaaS-Cloud-Anbietern zu achten ist. In diesem Blog erläutern wir Compliance-Standards und wie sie sich auf die Cloud-Sicherheit auswirken.
Was sind Compliance-Standards?
Einige der gebräuchlichsten Akronyme, auf die Sie stoßen können, sind Sicherheit Operations Center (SOC) und Trust Service Principles (TSPs). Die Aufgabe eines Sicherheit Operations Centers (SOC) besteht darin, den Sicherheitsstatus einer Organisation kontinuierlich zu überwachen und zu analysieren. SOC- Reports geben Sicherheit für Kontrollumgebungen in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Es gibt mehrere Reports , die beweisen, dass eine Organisation einen guten Ruf genießt. Nämlich die Einhaltung von SOC 1 und SOC 2 – es ist wichtig, dass sowohl Typ 1 als auch Typ 2 Reports für diese SOCs vollständig sind.- Typ 1 Report - Zeigt, dass die internen Kontrollen eines Unternehmens ordnungsgemäß gestaltet sind, um die relevanten Vertrauensgrundsätze zu erfüllen. Diese Report bestätigt nicht die Wirksamkeit von Kontrollen über einen bestimmten Zeitraum.
- Typ 2 Report - Darüber hinaus wird gezeigt, dass Ihre Steuerelemente über einen bestimmten Zeitraum hinweg effektiv funktionieren.
Unterschiede zwischen SOC 1 & SOC 2-Konformitäten
Nachdem wir nun die gängigsten Compliance-Standards (SOCs) skizziert haben, schauen wir uns die Unterschiede zwischen SOC 1 und SOC 2 an. SOC 1 – Ein SOC 1- Report gibt die Gewissheit, dass Ihre Finanzinformationen sicher und geschützt behandelt werden. Die internationale Version der SOC 1 Report wird allgemein als ISAE 3402 bezeichnet. Wenn ein Anbieter sagt, dass er SOC 1-konform ist, bedeutet dies in der Regel, dass er sowohl Typ 1 als auch Typ 2 Reportsabgeschlossen hat. SOC 2 – Diese Report bietet Sicherheit über Kontrollumgebungen in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Hier kommen die Trust Service Principles (TSPs) ins Spiel. SOC 2 Reports die Compliance eines Unternehmens anhand von fünf Kriterien bewerten, die allgemein als Trust Service Principles (TSPs) bezeichnet werden. Die fünf Trust Service Principles sind:- Sicherheit– Informationen und Systeme werden vor unbefugtem Zugriff, unbefugter Weitergabe von Informationen und Beschädigung von Systemen geschützt.
- Verfügbarkeit — Informationen und Systeme sind für den Betrieb und die Nutzung verfügbar.
- Integrität der Verarbeitung — Die Systemverarbeitung ist vollständig, gültig, korrekt, zeitnah und autorisiert.
- Vertraulichkeit — Informationen, die als vertraulich gekennzeichnet sind, sind geschützt.
- Datenschutz – private Informationen werden gesammelt, verwendet, aufbewahrt, offengelegt und entsorgt.