SOC-Berichte (Service Organization Control), auch System- und Organisationskontrollberichte genannt, sind Berichte unabhängiger Dritter, die von Prüfern erstellt werden, die vom American Institute of Certified Public Accountants (AICPA) zertifiziert sind. Sie befassen sich mit dem Risiko, das mit einem extern vergebenen Service verbunden ist. Das AICPA hat sogenannte Trust Services Criteria (TSC) für die Bereiche Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Geheimhaltung aufgestellt, nach denen die Serviceorganisationen bewertet werden können.
Ein SOC-3-Bericht bewertet die internen Kontrollen einer Organisation zum Schutz kundeneigener Daten und gibt Auskunft über die Art dieser internen Kontrollen. Der SOC-3-Bericht hat den gleichen Schwerpunkt wie der SOC-2-Bericht, enthält jedoch keine vertraulichen Informationen und offenbart keine Details über interne Kontrollen. SOC-3-Berichte richten sich an Benutzer, die nicht unbedingt die Detailgenauigkeit des SOC-2-Berichts benötigen. Sie können öffentlich verbreitet werden.
Berichte und andere Dokumentation
IBM Services, die Kontrollinstrumente in Übereinstimmung mit den entsprechenden Trust-Service-Prinzipien implementiert haben, können mit einem SOC-3-Bericht versehen werden. Der SOC-3-Bericht belegt, dass IBM die Kontrollinstrumente für die betreffenden Trust-Service-Prinzipien angemessen konzipiert hat und dass sie im Berichtszeitraum wirksam eingesetzt wurden.
Die unten aufgeführten Dienste verfügen über einen SOC-3-Bericht, der einen Zeitraum darstellt, in dem die Kontrollen bewertet wurden. IBM Servicebeschreibungen (SBs) geben an, ob für ein bestimmtes Angebot ein SOC-3-Bericht vorliegt. Die unten aufgeführten Dienste stellen mindestens einmal im Jahr SOC-3-Berichte aus.
Sehen Sie sich die Systembeschreibung der IBM Cloud-Infrastruktur an (PDF, 1,1 MB)
IBM Cloud® Services mit SOC-3-Berichten:
IBM Cloud Foundry Public
