Die Trust Services Criteria sind die vom AICPA definierten Kontrollprinzipien, nach denen ein SOC 2-Bericht erstellt wird. Sie umfassen die Bereiche Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz.
Die Trust Services Criteria bilden das Gerüst für jede SOC 2-Prüfung. Der Clou: Nur das Kriterium "Sicherheit" (Common Criteria) ist obligatorisch. Unternehmen können die anderen vier Kriterien je nach Geschäftsmodell flexibel hinzufügen.
Security (Sicherheit): Schutz vor unberechtigtem Zugriff.
Availability (Verfügbarkeit): Barrierefreie Nutzung der Systeme.
Processing Integrity (Prozessintegrität): Vollständige und autorisierte Systemverarbeitung.
Confidentiality (Vertraulichkeit): Schutz als vertraulich gekennzeichneter Daten.
Privacy (Datenschutz): Ordnungsgemäßer Umgang mit personenbezogenen Daten.
In Kopexa mappst du deine Controls gegen diese Kriterien. So siehst du auf einen Blick, ob du beispielsweise für das Kriterium "Availability" genug redundante Assets und Disaster-Recovery-Pläne hinterlegt hast, um den Auditor zu überzeugen.