Lexikon · Recht & Normen

SOC 2

System and Organization Controls 2

SOC 2 ist ein vor allem im US-Raum verbreiteter Prüfstandard, mit dem Dienstleister durch einen unabhängigen Wirtschaftsprüfer nachweisen, dass ihre Kontrollen zu Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz wirksam sind.

Ausführliche Erklärung

SOC 2 basiert auf den Trust Services Criteria des AICPA. Man unterscheidet Typ I (Eignung der Kontrollen zu einem Stichtag) und Typ II (Wirksamkeit über einen Zeitraum, meist sechs bis zwölf Monate). Das Ergebnis ist ein vertraulicher Prüfbericht, kein öffentliches Zertifikat.

Für europäische Kunden ist SOC 2 oft ein von US-Cloud-Anbietern vorgelegter Nachweis. Inhaltlich überschneidet es sich stark mit der ISO 27001, folgt aber einer anderen Logik: Prüfbericht statt Zertifikat und stärker auf einzelne Dienstleistungen bezogen.

SOC 2 in der Praxis umsetzen

CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.