Sage DPW ist jetzt SOC 2 Typ 2 zertifiziert

Unternehmen müssen Cloud- und Software-Anbietern vertrauen können, dass ihre Daten sicher gespeichert und verarbeitet werden. Warum Sie bei der Anbieterauswahl auf das Zertifikat SOC 2 Typ 2 achten sollten, erfahren Sie hier.

Wer schützt verlässlich meine sensiblen Daten?

Hackerangriffe nehmen jedes Jahr zu, die DACH-Region und dabei nochmals speziell Österreich waren zuletzt besonders stark betroffen: So stieg die Zahl der Cyber-Attacken auf heimische Unternehmen im dritten Quartal 2024 um alarmierende 127 Prozent im Vergleich zum Vorjahresquartal an. Unternehmen stellen sich daher zurecht die dringende Frage, wie sie ihre Daten, darunter besonders ihre kritischen personenbezogenen Daten, schützen sollen. Für professionellen Datenschutz und auch aus Kostengründen überlegen immer mehr Firmen, auf Cloudlösungen umzusteigen, wo sie ihre Daten von Service-Anbietern speichern und teilweise auch verarbeiten lassen; das betrifft KMU, genauso wie Konzerne. Sie sind auf der Suche nach Profis, weil sie selbst nicht genügend Spezialwissen für IT-Security aufbauen und auf dem neuesten Stand halten können. Doch bei der Auswahl des geeigneten Partners stehen diese Unternehmen vor einem Problem: Wie sollen sie kontrollieren oder prüfen, ob ihr Anbieter das erforderliche Wissen über IT-Security hat und ob er geeignete Sicherheitsvorkehrungen getroffen hat?

SOC 2: Zertifizierte Datensicherheit

Diese Kontrolle bzw. Prüfung ermöglicht SOC 2, das ist die Abkürzung für Systems and Organization Controls. Es bezeichnet ein standardisiertes Kontrollverfahren inklusive Reporting, in dem bewertet wird, wie ein Unternehmen mit Daten umgeht. Dieser internationale Standard wurde von der anerkannten Auditierungsstelle AICPA (American Institute of Certified Public Accountants) entwickelt. Die AICPA hat mehrere Standards entwickelt, wobei SOC 2 für die Zertifizierung von Cloud-Anbietern eingesetzt wird. Die Prüfung wird von externen Auditoren durchgeführt.

SOC 2 Typ 2: Längerer Bewertungszeitraum

Unterschieden wird dabei zwischen SOC 2 Typ 1 und SOC 2 Typ 2 Zertifizierung und der Unterschied liegt im Zeitrahmen: SOC 2 Typ 2 bedeutet insofern mehr Sicherheit, weil nicht eine Momentaufnahme bewertet wird, sondern die Wirksamkeit der Maßnahmen im operativen Betrieb nachgewiesen werden muss, in der Regel ist das ein Zeitraum von mindestens sechs Monaten. Die Zertifizierung nach SOC 2 Typ 2 ist also ein durchaus aufwendiger Prozess: Damit beweisen Service-Anbieter ihren Unternehmenskunden, dass Datensicherheit für sie ein zentraler Wert ist und sie ihre Services auch laufend überwachen und ggf. aktualisieren.

Bis zu 5 Vertrauensgrundsätze

Die SOC 2 Zertifizierung umfasst fünf Punkte zur Überprüfung, wie Cloud-Anbieter und SaaS-Anbieter (Software-as-a-Service) mit den Daten ihrer Kunden umgehen. Mit der Zertifizierung belegen diese Anbieter, dass sie die Einhaltung einiger oder aller fünf „Trust Service Criteria“ bzw. Vertrauensgrundsätze nachweislich erfüllen. Datensicherheit ist dabei ein obligatorischer Punkt, die anderen Punkte hängen vom jeweiligen Business ab:

  • Datensicherheit: Informationen sind gegen unbefugten Zugriff und unbefugte Offenlegung geschützt. Enthalten ist auch der Schutz vor Systemschäden, um die Verfügbarkeit und Integrität der Daten sicherzustellen. Das ist die grundlegende Kategorie.
  • Verfügbarkeit: Damit Daten jederzeit für Berechtigte zugänglich sind, gibt es Maßnahmen für die Aufrechterhaltung des Betriebs der Systeme. Das ist besonders bei geschäftskritischen Anwendungen wichtig, wo Systemausfälle kritische Folgen haben oder hohe Kosten verursachen können.
  • Verarbeitungsintegrität: Die Verarbeitung muss vollständig, gültig, präzise, rechtzeitig und autorisiert sein. Das betrifft zumeist Kunden im E-Commerce oder Finanzbereich.
  • Vertraulichkeit: Als vertraulich gekennzeichnete Informationen müssen gesetzeskonform und übereinstimmend mit den Unternehmensrichtlinien geschützt werden können, von der Erfassung bis zur Löschung. Das betrifft etwa geistiges Eigentum.
  • Datenschutz: Personenbezogenen Daten müssen datenschutzkonform gesammelt, verwendet, aufbewahrt, offengelegt oder gelöscht werden können. Das betrifft zum Beispiel HR-Daten.

Vorteile der SOC 2 Typ 2 Zertifizierung von Sage DPW

Gerade im Personalbereich ist Datenschutz ein zentrales Anliegen und auch eine gesetzliche Pflicht. Unternehmen sollten daher bei der Auswahl ihres HR-Softwarepartners besondere Aufmerksamkeit auf Datensicherheit legen. Die Zertifizierung SOC 2 Typ 2 von Sage DPW bedeutet für Sie als Unternehmen bzw. Sage-Kunde:

  • Durch externe standardisierte Audits ist nachgewiesen, dass die Systeme und Prozesse von Sage DPW den höchsten Sicherheitsstandards entsprechen. Dazu gehören zahlreiche Maßnahmen, u.a. die MFA – Multi-Faktor-Authentifizierung bei der Anmeldung ins System.
  • SOC 2 ist speziell auf Anbieter von Cloud-Services zugeschnitten. Damit können Sie ohne Sicherheitsbedenken auf eine moderne Cloud-Lösung setzen und diese bringt Ihnen gesetzeskonforme Datenablage, reibungslosen Betrieb, Wartung und IT-Security durch Profis.
  • Die Wirksamkeit der Maßnahmen wurde über mehr als ein halbes Jahr im operativen Betrieb nachgewiesen, das besagt die zusätzliche Kategorisierung des Zertifikats nach Typ 2. Kontinuität und ständige Wachsamkeit sind entscheidend, angesichts der sich laufend ändernden Cyberbedrohungen.
  • Sie vermindern Ihre unternehmerischen Risiken und erfüllen gesetzliche Compliance-Anforderungen.
  • Sie können sich darauf verlassen, dass ihre sensiblen personenbezogenen Personaldaten mit geeigneten Datenschutzmaßnahmen und laufenden Kontrollen bei Sage DPW in guten Händen sind.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

14. März 2023 Transformation zur People-based HR

Ausreichend qualitative Zeit für die Belegschaft wünscht sich jedes HR-Team. Ermöglichen kann das Automatisierung – doch viele werden jetzt einwenden: Mehr Technik soll den Menschen mehr in den Mittelpunkt stellen? Ja! Wir zeigen Ihnen, wie das geht und geben Tipps.

Beitrag lesen
15. Januar 2020 Training on the Job

Wenn es um aufgabenorientiertes Lernen geht, hat Training on the Job klar die Nase vorn. Hier erfahren Sie, wofür und wie Sie diese Lernmethode einsetzen können. Wir zeigen Ihnen auch mögliche Stolpersteine und geben Tipps, wie Sie diese vermeiden können.

Beitrag lesen
22. Dezember 2023 Urlaubsanspruch: Teil 1

Um die erforderlichen Leistungen im Beruf erbringen zu können, braucht jede Person auch Erholungsphasen. Wir nehmen das zum Anlass, uns den Urlaub genauer anzusehen: Was sagt das Gesetz, wie werden die Tage berechnet, welche Spezialfälle gibt es, was ist sonst zu beachten.

Beitrag lesen