Dieser Artikel wurde maschinell übersetzt.
Wenn Sie mit Finanzdaten Ihrer Kunden umgehen, ist Vertrauen von entscheidender Bedeutung. Mit einem SOC 1-Bericht können Sie nachweisen, dass Sie über Kontrollen zum Schutz dieser Daten verfügen.
Die Abkürzung SOC steht für "service Unternehmen control". Bereiten Sie sich auf viele, viele Akronyme und ungewöhnliche Begriffe in SOC 1-Berichten vor. Dabei handelt es sich um technische Dokumente, und die Sprache, in der sie diskutiert werden, spiegelt diese Komplexität wider.
Was ist ein SOC 1-Bericht?
Ein SOC 1-Bericht beschreibt detailliert, wie Ihr Unternehmen die Finanzdaten seiner Kunden schützt. Mithilfe solcher Berichte können Sie Ihr Engagement gegenüber Ihren aktuellen und potenziellen Kunden bestätigen.
Die SOC-Berichte wurden zum Teil von der AICPA erstellt. Das Unternehmen gibt an, dass es zwei Arten von SOC-1-Berichten gibt (Typ 1 und Typ 2). Beide verlangen von einem Unternehmen, dass es detailliert beschreibt, wie es Kundendaten sichert. Nur SOC-1-Berichte vom Typ 2 befassen sich mit der operativen Wirksamkeit dieser Pläne.
Wofür wird SOC 1 verwendet?
Sie und Ihre Mitarbeiter befolgen täglich Protokolle bezüglich Kundendaten. Sie tun alles, was Sie können, um sicherzustellen, dass Sie diese Informationen nicht ändern oder anderweitig ungültig machen. Mithilfe von SOC 1-Berichten können Sie diese Pläne prüfen und nachweisen, dass Sie tun, was Sie sagen.
SOC 1 Audit überblickt sogenannte "Kontrollen". Diese können zutreffen auf:
- Programme. Schützen die von Ihnen verwendeten Tools Informationen?
- Daten. Erlauben Ihre Workflows die Änderung kritischer Informationen?
- Ressourcen. Schützen die Computer, Server und andere Geräte, die Sie verwenden, Daten?
Ein Prüfer kann sich die physischen Teile Ihres Unternehmens ansehen. Der Prüfer kann auch die Prozesse, Berechtigungen und Passwörter überprüfen, die Informationen schützen. Der Prüfer muss nicht beweisen, dass alles wasserdicht ist. Stattdessen werden sie einfach versuchen, zu beweisen oder zu widerlegen, dass Sie die in Ihrem Bericht gemachten Versprechen einhalten.
Sind SOC-1-Berichte verpflichtend?
Einige Branchen stehen unter regulatorischem oder rechtlichem Druck, SOC-Berichte zu erstellen, darunter:
- Medizinisch: Bearbeitet Ihr Unternehmen medizinische Ansprüche für Kunden?
- Finanziell: Betreuen Sie Kredite für Ihre Kunden? Verarbeiten Sie die Lohn- und Gehaltsabrechnung? Alle Finanzdaten können Gegenstand eines SOC 1-Berichts sein.
- Daten: Speichern Sie Informationen für Kunden? Bieten Sie Software an, die Finanzinformationen verändern könnte?
Die Fähigkeit, Informationen "schreiben" zu können, ist hier wichtig. Wenn Sie nur Informationen sehen, aber nie die IT ändern können, benötigen Sie möglicherweise keinen SOC 1-Bericht. Wenn Sie jedoch die Fähigkeit und die Autorität haben, bei der Änderung von Daten einen Fehler zu machen, kann ein Bericht von entscheidender Bedeutung sein. Wenn Sie Daten ändern können, handelt es sich bei Ihrem Unternehmen technisch gesehen um eine "SOC 1-Serviceorganisation", und potenzielle Kunden verlangen möglicherweise einen Bericht, bevor sie mit Ihnen Geschäfte machen.
Grundlegendes zur SOC-1-Prüfung
Beauftragen Sie eine CPA-Firma, die sich auf IT -Audit spezialisiert hat, um Ihr SOC 1-Audit durchzuführen. Es wird nicht empfohlen, die harte Arbeit selbst zu erledigen. Sie benötigen einen Experten, der Sie durch den Prozess führt.
Im Rahmen des Prozesses erstellen Sie Nachweisberichte, in denen alle Maßnahmen zum Schutz von Clientdaten detailliert beschrieben sind. Außerdem gewähren Sie sowohl Ihrer Einrichtung als auch Ihren Mitarbeitern Zugang. Ihre Kanzlei wird von dort aus die Arbeit übernehmen. Rechnen Sie damit, dass der Prozess Wochen, wenn nicht Monate dauern wird.
Der Abschlussbericht ist in der Regel für volle 12 Monate gültig, aber einige dauern länger oder kürzer. Fragen Sie Ihre Wirtschaftsprüfungsgesellschaft, wie lange Ihre Lebensdauer haben wird, bevor Sie beginnen.
Im Rahmen Ihrer Überwachung stellen Sie möglicherweise fest, dass eine schlechte Authentifizierung ein Risiko für Clientdaten darstellt. Erfahren Sie in unserem Blog mehr über fünf Identitätsangriffe , die eine gebrochene Authentifizierung ausnutzen.
Referenzen
SOC for Service Unternehmen: Informationen für Service Unternehmen. AICPA.
