Cloud-Sicherheit 101: Alle Grundlagen, die Sie wissen müssen

Es ist leicht, sich von der schieren Menge an Akronymen einschüchtern zu lassen, die im Bereich Sicherheit und Compliance existieren. Diese Akronyme machen es schwer zu wissen, worauf man bei der Auswahl eines Software-as-a-Service (SaaS)-Cloud-Anbieters achten muss. Schließlich wollen Sie sich darauf verlassen können, dass Ihre Daten sicher und geschützt sind. Deshalb möchten wir den Bewertungsprozess entmystifizieren und erklären, worauf Sie beim Vergleich und der Bewertung von SaaS-Cloud-Anbietern achten sollten. In diesem Blog werden wir die Compliance-Standards und ihre Auswirkungen auf die Cloud-Sicherheit erläutern.

Was sind Konformitätsstandards?

Einige der gebräuchlichsten Akronyme, denen Sie vielleicht begegnen, sind Security Operations Center (SOC) und Trust Service Principles (TSPs). Die Aufgabe eines Security Operations Center (SOC) besteht darin, die Sicherheitslage eines Unternehmens kontinuierlich zu überwachen und zu analysieren. SOC-Berichte geben Gewissheit über Kontrollumgebungen in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Es gibt mehrere Berichte, die belegen, dass eine Organisation in gutem Zustand ist. Es ist wichtig, dass sowohl der Typ-1- als auch der Typ-2-Bericht für diese SOCs vollständig sind.

• Typ-1-Bericht - Er weist nach, dass die internen Kontrollen eines Unternehmens so konzipiert sind, dass sie den einschlägigen Vertrauensgrundsätzen entsprechen. Dieser Bericht bestätigt nicht die Wirksamkeit der Kontrollen über einen bestimmten Zeitraum.
• Typ-2-Bericht - Er weist nach, dass Ihre Kontrollen über einen bestimmten Zeitraum hinweg wirksam sind.

Wussten Sie schon? Um die SOC-Konformität zu beanspruchen, müssen Anbieter nur einen SOC-1-Bericht des Typs 1 erstellen lassen, nicht aber die vollständige SOC-Konformität, die einen Bericht des Typs 2 umfasst. Es ist wichtig, einen Anbieter zu fragen, ob seine SOC-Konformität einen Typ-2-Bericht umfasst. Nur dann können Sie sicher sein, dass die Kontrollen über einen bestimmten Zeitraum hinweg getestet wurden.

Unterschiede zwischen SOC-1- und SOC-2-Konformität

Nachdem wir nun die gängigsten Konformitätsstandards (SOCs) erläutert haben, wollen wir uns nun die Unterschiede zwischen SOC 1 und SOC 2 ansehen. SOC 1 - Ein SOC 1-Bericht gibt die Gewissheit, dass Ihre Finanzdaten sicher und geschützt behandelt werden. Die internationale Version des SOC 1-Berichts wird gemeinhin als ISAE 3402 bezeichnet. Wenn ein Anbieter angibt, dass er SOC-1-konform ist, bedeutet das in der Regel, dass er sowohl Typ-1- als auch Typ-2-Berichte erstellt hat. SOC 2 - Dieser Bericht gibt Gewissheit über die Kontrollumgebung in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Hier kommen die Trust Service Principles (TSP) ins Spiel. In denSOC-2-Berichten wird die Einhaltung von fünf Kriterien bewertet, die gemeinhin als Trust Service Principles (TSPs) bezeichnet werden. Die fünf Trust-Service-Prinzipien sind:

1. Sicherheit - Informationen und Systeme sind gegen unbefugten Zugriff, unbefugte Offenlegung von Informationen und Beschädigung von Systemen geschützt.
2. Verfügbarkeit - Informationen und Systeme sind für den Betrieb und die Nutzung verfügbar.
3. Integrität der Verarbeitung - Die Systemverarbeitung ist vollständig, gültig, genau, zeitgerecht und autorisiert.
4. Vertraulichkeit - Informationen, die als vertraulich eingestuft sind, werden geschützt.
5. Datenschutz - Persönliche Daten werden erfasst, verwendet, aufbewahrt, weitergegeben und entsorgt.

Wussten Sie schon? Um die Konformität mit dem SOC 2 Typ 2 Bericht zu beanspruchen, müssen Anbieter nur mindestens eine der fünf TSPs erfüllen. Es ist wichtig, einen Anbieter zu fragen, welche Trust Service Principals für einen SOC 2 Typ 2-Bericht erfüllt werden. Stellen Sie sicher, dass Sie den Anbieter fragen, ob er alle fünf TSPs als Teil seiner SOC 2-Konformität erfüllt.

Prophix' Cloud-Sicherheit & Konformität

Wenn Sie die Unterschiede zwischen SOC 1, SOC 2 und den Berichten vom Typ 1 und 2 verstehen, können Sie bei der Auswahl eines SaaS-Cloud-Anbieters eine fundierte Entscheidung treffen. Es gibt jedoch noch weitere Aspekte der Sicherheit und Compliance, die Sie berücksichtigen sollten, z. B. die Häufigkeit der Audits, die Zertifizierung des Anbieters, die Bereitstellung der zugrundeliegenden Cloud-Technologie und die Vereinfachung der Authentifizierung der Endbenutzer. Wenn Sie mehr darüber erfahren möchten, wie Sie sich bei den heute auf dem Markt befindlichen Cloud-Anbietern zurechtfinden, lesen Sie unser Whitepaper zu Sicherheit und Compliance. Prophix ist sowohl nach SOC 1 Typ 1 & 2 als auch nach SOC 2 Typ 1 & 2 zertifiziert, was bedeutet, dass wir alle fünf Vertrauensprinzipien erfüllen. Weitere Informationen zu Prophix Cloud finden Sie unter https://trust.prophix.com/.