SOC-Berichte (Service Organization Control), auch System- und Organisationskontrollberichte genannt, sind Berichte unabhängiger Dritter, die von Prüfern erstellt werden, die vom American Institute of Certified Public Accountants (AICPA) zertifiziert sind. Sie befassen sich mit dem Risiko, das mit einem extern vergebenen Service verbunden ist. Die AICPA hat Trust Services Criteria (TSC) für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz festgelegt, anhand derer Serviceorganisationen bewertet werden können.
Ein SOC-3-Bericht bewertet die internen Kontrollen einer Organisation zum Schutz kundeneigener Daten und gibt Auskunft über die Art dieser internen Kontrollen. Der SOC-3-Bericht hat den gleichen Schwerpunkt wie der SOC-2-Bericht, enthält jedoch keine vertraulichen Informationen und offenbart keine Details über interne Kontrollen. SOC-3-Berichte richten sich an Benutzer, die nicht unbedingt die Detailgenauigkeit des SOC-2-Berichts benötigen. Sie können öffentlich verbreitet werden.
Berichte und andere Dokumentationen
IBM Services, die Kontrollinstrumente in Übereinstimmung mit den entsprechenden Trust-Service-Prinzipien implementiert haben, können mit einem SOC-3-Bericht versehen werden. Der SOC-3-Bericht belegt, dass IBM die Kontrollinstrumente für die betreffenden Trust-Service-Prinzipien angemessen konzipiert hat und dass sie im Berichtszeitraum wirksam eingesetzt wurden.
Die unten aufgeführten Dienste verfügen über einen SOC-3-Bericht, der einen Zeitraum darstellt, in dem die Kontrollen bewertet wurden. IBM Servicebeschreibungen (SBs) geben an, ob für ein bestimmtes Angebot ein SOC-3-Bericht vorliegt. Die unten aufgeführten Dienste stellen mindestens einmal im Jahr SOC-3-Berichte aus.
Sehen Sie sich die Beschreibung des IBM Cloud-Infrastruktursystems an