nexalign

Glossary term

SOC 2 Type 2

Also: Service Organization Control 2, SOC 2 Type II

Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrollen eines Dienstleisters über einen Zeitraum (typischerweise 6-12 Monate) bestätigt. Bezieht sich auf Trust Service Criteria.

SOC 2 unterscheidet Typ 1 (Design-Prüfung zu einem Stichtag) und Typ 2 (Wirksamkeitsprüfung über einen Zeitraum). Trust Service Criteria: Security (Pflicht), Availability, Processing Integrity, Confidentiality, Privacy.

Geltungsdauer faktisch 12 Monate, danach Folge-Prüfung. Bericht ist nicht öffentlich, sondern unter NDA verfügbar. Standard im US-Cloud-Markt, im EU-Bankenmarkt zusätzlich oft C5 Typ 2 verlangt.

Praxis bei Vendor-Auswahl: SOC 2 Type 2 ist die Mindestmesslatte für SaaS-Anbieter. Fehlt der Bericht, fliegt der Anbieter in der Eignungsprüfung unter DORA Art. 28 in 80 Prozent der Fälle raus.

Related terms

ISO 27001

Internationaler Standard für Informationssicherheits-Management-Systeme. Aktuelle Fassung ISO/IEC 27

BSI C5

Prüfkatalog des BSI für Cloud-Dienste, der eine Mindest-Sicherheitsbasis und Transparenzpflichten de

SASE

Gartner-Architekturkategorie, die Netzwerk- (SD-WAN) und Security-Funktionen (SWG, CASB, ZTNA, FWaaS

SBOM

Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigke

Schrems II

EuGH-Urteil vom 16. Juli 2020, das den EU-US Privacy Shield für ungueltig erklärte und Standardvertr

Sovereign Cloud

Cloud-Angebot, in dem nicht nur Daten, sondern auch Operations, Personal, Schlüssel und Jurisdiktion

SSE

Subset von SASE ohne SD-WAN-Anteil. Bündelt SWG, CASB, ZTNA und (zunehmend) DLP/RBI in einer Cloud-P

SSPM

Software-Kategorie zur Prüfung von SaaS-Konfigurationen (Microsoft 365, Salesforce, Google Workspace

← Alle BegriffeBook a demo →