Lexikon · Recht & Normen
SOC 2
System and Organization Controls 2
SOC 2 ist ein vor allem im US-Raum verbreiteter Prüfstandard, mit dem Dienstleister durch einen unabhängigen Wirtschaftsprüfer nachweisen, dass ihre Kontrollen zu Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz wirksam sind.
Ausführliche Erklärung
SOC 2 basiert auf den Trust Services Criteria des AICPA. Man unterscheidet Typ I (Eignung der Kontrollen zu einem Stichtag) und Typ II (Wirksamkeit über einen Zeitraum, meist sechs bis zwölf Monate). Das Ergebnis ist ein vertraulicher Prüfbericht, kein öffentliches Zertifikat.
Für europäische Kunden ist SOC 2 oft ein von US-Cloud-Anbietern vorgelegter Nachweis. Inhaltlich überschneidet es sich stark mit der ISO 27001, folgt aber einer anderen Logik: Prüfbericht statt Zertifikat und stärker auf einzelne Dienstleistungen bezogen.
Verwandte Begriffe
ISO 27001
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert die Anforderungen, nach denen sich Organisationen zertifizieren lassen können.
Auftragsverarbeitungsvertrag (AVV)
Ein AVV ist der nach Art. 28 DSGVO vorgeschriebene Vertrag zwischen Verantwortlichem und Dienstleister, der die Verarbeitung personenbezogener Daten im Auftrag regelt.
Nachweis (Evidence)
Ein Nachweis (Evidence) ist ein dokumentierter Beleg dafür, dass eine Maßnahme tatsächlich umgesetzt ist und wirkt, etwa ein Protokoll, ein Screenshot, ein Zertifikat oder ein Bericht.
SOC 2 in der Praxis umsetzen
CompliantDesk bringt ISO 27001, NIS2, DSGVO und weitere Frameworks in einer Plattform zusammen, mit gemeinsamem Kern-Modell statt doppelter Dokumentation.
