System and Organization Controls
Smartsheet System and Organization Controls (SOC)-Berichte sind unabhängige Berichte Dritter, die zeigen, wie Smartsheet wichtige Compliance-Kontrollen und -Ziele einhält.
Diese Berichte sollen Smartsheet-Kunden detaillierte Informationen und Sicherheit in Hinblick auf die Steuerungen bei Smartsheet bieten, die für die Sicherheit und Verfügbarkeit des Systems relevant sind und von Smartsheet eingesetzt werden, um Benutzerdaten zu verarbeiten und die Vertraulichkeit der von diesen Systemen verarbeiteten Daten sicherzustellen. Smartsheet stellt Kunden aktuell die folgenden Berichte zur Verfügung:
- Smartsheet SOC 2 Typ 2 ist aktuell für aktuelle Kunden und potenzielle Kunden über das Security and Governance-Antragsformular verfügbar.
- Smartsheet SOC 3 ist ein öffentlich verfügbarer Bericht des Sachverständigen von Smartsheet
Fragen zu Service Organization Controls
Unternehmen outsourcen zunehmend grundlegende Funktionen wie die Datenspeicherung und den Zugriff auf Anwendungen an Cloud-Serviceanbieter (Cloud Service Provider, CPS) und andere Dienstleister. Als Reaktion darauf hat das American Institute of Certified Public Accountants (AICPA) das Service Organization Controls (SOC)-Framework als Standard für Kontrollen entwickelt, die die Vertraulichkeit und den Schutz von Daten gewährleisten, die in der Cloud gespeichert und verarbeitet werden. Dieses Framework entspricht dem International Standard on Assurance Engagements (ISAE), dem Berichterstattungsstandard für internationale Dienstleiter.
Ein SOC-2-Audit prüft die Effektivität des Systems eines CSPs basierend auf den AICPA Trust Service Principles and Criteria. Ein Attest Engagement unter Abschnitt 101 Attestation Standards (AT) ist die Grundlage von SOC-2- und SOC-3-Berichten.
Nach Abschluss eines SOC-2-Audits gibt der Prüfer des Services eine Einschätzung in einem SOC-2-Typ 2-Bericht ab. Er beschreibt das System des CSPs und bewertet die Fairness der Beschreibung der Datenschutzkontrollen des CSPs. Im Rahmen des Berichts wird außerdem bewertet, ob die Kontrollen des CSPs angemessen entwickelt wurden, an einem bestimmten Datum in Betrieb waren und über einen bestimmten Zeitraum effizient funktioniert haben.
Prüfer können auch einen SOC-3-Bericht erstellen. Dies ist eine verkürzte Version des SOC-2-Typ 2-Prüfberichts für Benutzer, die sich bezüglich der Kontrollen des CSPs rückversichern möchten, jedoch keinen vollständigen SOC-2-Bericht benötigen. Ein SOC-3-Bericht kann nur übermittelt werden, wenn der CSP einen nicht qualifizierten Prüfvermerk für SOC-2 besitzt.
Sollten Sie weitere Fragen haben, die oben nicht beantwortet wurden, oder Sie möchten eine Kopie des neuesten SOC-2-Berichts anfordern, füllen Sie dieses Formular aus. Ein Smartsheet Security Engineer wird sich dann mit Ihnen in Verbindung setzen.