SOC-2-Überprüfung für Enterprise Experimentation

Optimizely hat erfolgreich die SOC-2-Zertifizierung für die Optimizely X Experimentation-Plattform bestanden.

Sicherheit und Datenschutz sind für Optimizely von höchster Bedeutung

Egal ob ein Snippet oder Software Development Kit (SDK) von Optimizely implementiert wird, erwarten unsere Kunden ein sicheres Produkt. Damit steht es in unserer Verantwortung, unser Engagement für Compliance und Sicherheit unter Beweis zu stellen. Die SOC 2-Zertifizierung) nach Typ 1 für Sicherheit, Verfügbarkeit und Vertraulichkeit zeugt von der Qualität unserer Sicherheitsverfahren.

Optimizely hat die Zertifizierung für SOC-2 nach Typ 1 abgeschlossen. Diese Prüfung wurde von Schellman & Company – einem unabhängigen Wirtschaftsprüfungsunternehmen – im folgenden Rahmen durchgeführt:

  • Umfang der Prüfung: Optimizely X Experimentation-Plattform
  • Ausgewählte SOC-2-Prinzipien: Sicherheit, Verfügbarkeit und Vertraulichkeit
  • Art der Prüfung: Typ 1
  • Prüfdatum: 2. August 2017
  • Auditor der Dienstleistung: Schellman & Company, LLC

Optimizely hat sich dazu verpflichtet auch zukünftig SOC-2-Überprüfungen durchzuführen.

soc-seal.png

FAQs – Häufig gestellte Fragen

Was enthält der SOC-2-Bericht?

Optimizely wurde im Hinblick auf drei sogenannte Trust-Services-Prinzipien untersucht:

  • Sicherheit - Das System ist vor Zugriffen, Benutzung und Modifikationen durch Unbefugte geschützt.
  • Verfügbarkeit - Das System ist verfügbar und kann vertragsgemäß genutzt werden.
  • Vertraulichkeit - Informationen, die als vertraulich gekennzeichnet sind, werden gemäß der vertraglichen Absprachen geschützt.

Weiter oben sind die für den letzten SOC-2-Bericht relevanten Faktoren aufgeführt.

Wie bekomme ich eine Kopie des SOC-2-Berichtes von Optimizely?

Optimizelys SOC-2-Bericht wird aktuellen sowie potenziellen Kunden unter einer Vertraulichkeitsvereinbarung zur Verfügung gestellt.

Bitten Sie Ihren Customer Success Manager oder Account Manager bei uns um eine Kopie.

Wie entsteht ein SOC-2-Bericht?

Indem ein unabhängiger Wirtschaftsprüfer bestellt wird, der die Kontrollmechanismen in einem Dienstleistungsunternehmen untersucht und dazu Bericht ablegt, können Dienstleistungsunternehmen auf die Anforderungen ihrer Kunden eingehen. Dadurch erhalten diese eine sachliche Bewertung der Effektivität interner Kontrollen beim Dienstleister, die sich auf Betriebsabläufe und Compliance sowie die Rechnungslegung richten, die die Kunden betrifft. Das AICPA, der Berufsverband der Wirtschaftsprüfer in den USA, hat drei Berichtssparten für Kontrollverfahren in Dienstleistungsunternehmen geschaffen. Dies bietet einen Rahmen einerseits für die Wirtschaftsprüfer, andererseits für das Management, um die jeweiligen Risiken sichtbar zu machen. Es gibt innerhalb dieser Struktur drei Optionen für SOC-Berichte:

  • SOC 1 Bericht zum Kontrollsystem eines Dienstleistungsunternehmens (auch als SSAE 16 bekannt)
  • SOC 2 Bericht zu internen Kontrollen eines Dienstleistungsunternehmens in Bezug auf Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit oder Datenschutz
  • SOC 3 SysTrust (Allgemeiner Bericht über das interne Kontrollsystem eines Dienstleistungsunternehmens)

SOC-2-Berichte bescheinigen den Umfang der Kontrollmaßnahmen in einem Dienstleistungsunternehmen. Dieser nimmt insbesondere die Sicherheit, Verfügbarkeit, oder Prozessintegrität eines Systems in Augenschein (Prinzipien der Sicherheit, Verfügbarkeit, und/oder Prozessintegrität) oder die Verarbeitung der vertraulichen beziehungsweise schutzwürdigen Daten der Nutzerentitäten (Vertraulichkeits- bzw. Datenschutzprinzipien). SOC-2-Berichte sind eine Alternative zu SOC-1-Überprüfungen (d.h. SSAE16), welche lediglich diejenigen Kontrollmechanismen eines Dienstleistungsunternehmens untersuchen, die für die interne Finanzberichterstattung der Kunden relevant sind. Es gibt fünf sogenannte Trust-Services-Prinzipien, die vom jeweiligen Dienstleistungsunternehmen als Kriterien für eine Evaluation nach SOC 2 ausgewählt werden können.

  • Sicherheit - Das System ist vor Zugriffen, Benutzung und Modifikationen durch Unbefugte geschützt.
  • Verfügbarkeit - Das System ist verfügbar und kann vertragsgemäß genutzt werden.
  • Prozessintegrität - Die Verarbeitung im System ist vollständig, präzise, korrekt, schnell und autorisiert.
  • Vertraulichkeit - Informationen, die als vertraulich gekennzeichnet sind, werden gemäß der vertraglichen Absprachen geschützt.
  • Datenschutz - Persönliche Informationen werden gemäß der Datenschutzerklärung des Kundenunternehmens und der gesetzlichen Datenschutzbestimmungen gesammelt, verwendet, gespeichert, offengelegt und gelöscht.

Die Dienstleistungsprinzipien, die von Optimizely Inc. auswählt wurden, sind Sicherheit, Vertraulichkeit und Verfügbarkeit.

SOC-2-Überprüfungen dürfen nur von staatlich anerkannten Wirtschaftsprüfungsunternehmen vorgenommen werden.

SOC-2-Berichte sind nur für einen bestimmten Nutzerkreis vorgesehen. Dazu gehören üblicherweise das Management von Optimizely Inc., Nutzer (Kunden) der von Optimizely Inc. bereitgestellten Dienstleistungen, potenzielle Nutzer, unabhängige Auditoren dieser Nutzer, sowie andere Parteien, die Einblick in SOC-2-relevante Dienstleistungen von Optimizely Inc. haben.

Es gibt zwei Typen von SOC-2-Überprüfungen. Solche vom Typ 1 enthalten Beurteilungen über die Beschreibungen des Kontrollsystems der Dienstleistungsorganisation und die Angemessenheit der vom Management vorgesehenen Kontrollen. Diese haben immer ein genaues Prüfdatum. Solche vom Typ 2 enthalten darüber hinaus Beurteilungen zur Wirksamkeit der eingerichteten Kontrollen. Diese Untersuchung findet innerhalb einer bestimmten Prüfperiode statt.