Sage DPW ist jetzt SOC 2 Typ 2 zertifiziert

Unternehmen müssen Cloud- und Software-Anbietern vertrauen können, dass ihre Daten sicher gespeichert und verarbeitet werden. Warum Sie bei der Anbieterauswahl auf das Zertifikat SOC 2 Typ 2 achten sollten, erfahren Sie hier.

Wer schützt verlässlich meine sensiblen Daten?

Hackerangriffe nehmen jedes Jahr zu, die DACH-Region und dabei nochmals speziell Österreich waren zuletzt besonders stark betroffen: So stieg die Zahl der Cyber-Attacken auf heimische Unternehmen im dritten Quartal 2024 um alarmierende 127 Prozent im Vergleich zum Vorjahresquartal an. Unternehmen stellen sich daher zurecht die dringende Frage, wie sie ihre Daten, darunter besonders ihre kritischen personenbezogenen Daten, schützen sollen. Für professionellen Datenschutz und auch aus Kostengründen überlegen immer mehr Firmen, auf Cloudlösungen umzusteigen, wo sie ihre Daten von Service-Anbietern speichern und teilweise auch verarbeiten lassen; das betrifft KMU, genauso wie Konzerne. Sie sind auf der Suche nach Profis, weil sie selbst nicht genügend Spezialwissen für IT-Security aufbauen und auf dem neuesten Stand halten können. Doch bei der Auswahl des geeigneten Partners stehen diese Unternehmen vor einem Problem: Wie sollen sie kontrollieren oder prüfen, ob ihr Anbieter das erforderliche Wissen über IT-Security hat und ob er geeignete Sicherheitsvorkehrungen getroffen hat?

SOC 2: Zertifizierte Datensicherheit

Diese Kontrolle bzw. Prüfung ermöglicht SOC 2, das ist die Abkürzung für Systems and Organization Controls. Es bezeichnet ein standardisiertes Kontrollverfahren inklusive Reporting, in dem bewertet wird, wie ein Unternehmen mit Daten umgeht. Dieser internationale Standard wurde von der anerkannten Auditierungsstelle AICPA (American Institute of Certified Public Accountants) entwickelt. Die AICPA hat mehrere Standards entwickelt, wobei SOC 2 für die Zertifizierung von Cloud-Anbietern eingesetzt wird. Die Prüfung wird von externen Auditoren durchgeführt.

SOC 2 Typ 2: Längerer Bewertungszeitraum

Unterschieden wird dabei zwischen SOC 2 Typ 1 und SOC 2 Typ 2 Zertifizierung und der Unterschied liegt im Zeitrahmen: SOC 2 Typ 2 bedeutet insofern mehr Sicherheit, weil nicht eine Momentaufnahme bewertet wird, sondern die Wirksamkeit der Maßnahmen im operativen Betrieb nachgewiesen werden muss, in der Regel ist das ein Zeitraum von mindestens sechs Monaten. Die Zertifizierung nach SOC 2 Typ 2 ist also ein durchaus aufwendiger Prozess: Damit beweisen Service-Anbieter ihren Unternehmenskunden, dass Datensicherheit für sie ein zentraler Wert ist und sie ihre Services auch laufend überwachen und ggf. aktualisieren.

Bis zu 5 Vertrauensgrundsätze

Die SOC 2 Zertifizierung umfasst fünf Punkte zur Überprüfung, wie Cloud-Anbieter und SaaS-Anbieter (Software-as-a-Service) mit den Daten ihrer Kunden umgehen. Mit der Zertifizierung belegen diese Anbieter, dass sie die Einhaltung einiger oder aller fünf „Trust Service Criteria“ bzw. Vertrauensgrundsätze nachweislich erfüllen. Datensicherheit ist dabei ein obligatorischer Punkt, die anderen Punkte hängen vom jeweiligen Business ab:

  • Datensicherheit: Informationen sind gegen unbefugten Zugriff und unbefugte Offenlegung geschützt. Enthalten ist auch der Schutz vor Systemschäden, um die Verfügbarkeit und Integrität der Daten sicherzustellen. Das ist die grundlegende Kategorie.
  • Verfügbarkeit: Damit Daten jederzeit für Berechtigte zugänglich sind, gibt es Maßnahmen für die Aufrechterhaltung des Betriebs der Systeme. Das ist besonders bei geschäftskritischen Anwendungen wichtig, wo Systemausfälle kritische Folgen haben oder hohe Kosten verursachen können.
  • Verarbeitungsintegrität: Die Verarbeitung muss vollständig, gültig, präzise, rechtzeitig und autorisiert sein. Das betrifft zumeist Kunden im E-Commerce oder Finanzbereich.
  • Vertraulichkeit: Als vertraulich gekennzeichnete Informationen müssen gesetzeskonform und übereinstimmend mit den Unternehmensrichtlinien geschützt werden können, von der Erfassung bis zur Löschung. Das betrifft etwa geistiges Eigentum.
  • Datenschutz: Personenbezogenen Daten müssen datenschutzkonform gesammelt, verwendet, aufbewahrt, offengelegt oder gelöscht werden können. Das betrifft zum Beispiel HR-Daten.

Vorteile der SOC 2 Typ 2 Zertifizierung von Sage DPW

Gerade im Personalbereich ist Datenschutz ein zentrales Anliegen und auch eine gesetzliche Pflicht. Unternehmen sollten daher bei der Auswahl ihres HR-Softwarepartners besondere Aufmerksamkeit auf Datensicherheit legen. Die Zertifizierung SOC 2 Typ 2 von Sage DPW bedeutet für Sie als Unternehmen bzw. Sage-Kunde:

  • Durch externe standardisierte Audits ist nachgewiesen, dass die Systeme und Prozesse von Sage DPW den höchsten Sicherheitsstandards entsprechen. Dazu gehören zahlreiche Maßnahmen, u.a. die MFA – Multi-Faktor-Authentifizierung bei der Anmeldung ins System.
  • SOC 2 ist speziell auf Anbieter von Cloud-Services zugeschnitten. Damit können Sie ohne Sicherheitsbedenken auf eine moderne Cloud-Lösung setzen und diese bringt Ihnen gesetzeskonforme Datenablage, reibungslosen Betrieb, Wartung und IT-Security durch Profis.
  • Die Wirksamkeit der Maßnahmen wurde über mehr als ein halbes Jahr im operativen Betrieb nachgewiesen, das besagt die zusätzliche Kategorisierung des Zertifikats nach Typ 2. Kontinuität und ständige Wachsamkeit sind entscheidend, angesichts der sich laufend ändernden Cyberbedrohungen.
  • Sie vermindern Ihre unternehmerischen Risiken und erfüllen gesetzliche Compliance-Anforderungen.
  • Sie können sich darauf verlassen, dass ihre sensiblen personenbezogenen Personaldaten mit geeigneten Datenschutzmaßnahmen und laufenden Kontrollen bei Sage DPW in guten Händen sind.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

8. Oktober 2020 Storytelling im Personalmarketing

Geschichten können im Personalwesen viel bewirken: Wenn Mitarbeiter über ihren Arbeitgeber erzählen, ist das glaubhafter, als eine Liste von Benefits auf der Karriereseite des Unternehmens. Wir zeigen Ihnen an Beispielen, warum Storytelling funktioniert und geben Tipps, wie Sie damit beginnen.

Beitrag lesen
13. Juli 2023 Passwortsicherheit

Personaldaten sind besonders sensibel, daher folgt Sage den aktuellen Richtlinien der Security-Spezialisten. Lesen Sie über starke Passwörter und warum diese künftig nicht mehr ablaufen müssen.

Beitrag lesen
30. Oktober 2018 DSGVO: Wie Sie Daten richtig löschen

In der Personalabteilung arbeiten Sie mit sensiblen Daten, sowohl von Mitarbeitern Ihres Unternehmens, als auch von Bewerbern. Daher müssen Sie besonders sorgfältig achten, Ihre internen Prozesse entsprechend der Datenschutzgrundverordnung (DSGVO) zu gestalten. Eine wichtige Voraussetzung ist das richtige Löschen von Daten – und diese Anforderung sollte bereits umgesetzt sein. Überprüfen Sie jetzt den Status in Ihrem Unternehmen an Hand nachfolgender Checklisten, bzw. mit unserem Service Datenschutz-Consulting.

Beitrag lesen