Pure.ai besuchen Vertrieb: +49 800 976 6494
Pure.ai besuchen Vertrieb: +49 800 976 6494
Weiter zu Pure Deutschland
Weiter zu Pure Deutschland
Dismiss
Innovation
Eine AIVision für alle

Eine einheitliche, automatisierte Grundlage für die Umwandlung von Daten in Intelligenz im großen Maßstab.

Erfahren Sie, wie das geht
Dismiss
16. bis 18. Juni, Las Vegas
Pure//Accelerate® 2026

Entdecken Sie, wie Sie den wahren Wert Ihrer Daten erschließen können.

Jetzt anmelden
Dismiss
Gartner® Magic Quadrant™-Bericht 2025
Beste Umsetzungsfähigkeit und beste Vision

Everpure wurde im Gartner® Magic Quadrant™ 2025 für Enterprise Storage-Plattformen als Leader genannt und als das Unternehmen mit der besten Umsetzungsfähigkeit und der besten Vision eingestuft.

Report downloaden
Unsere Plattform Produkte Lösungen Support Everpure-Partner Ressourcen
Kontaktieren Sie uns!
Vertrieb: +49 800 976 6494
Kontaktieren Sie uns!
Main Menu
Unsere Plattform
Produkte
Lösungen
Support
Everpure-Partner
Ressourcen
Kontaktieren Sie uns!
  1. Pure Knowledge
  2. Was ist SOC 2 Type II Compliance?

Was ist SOC 2 Typ-II-Compliance?

Was ist SOC 2 Type II Compliance?

SOC 2 Typ-II-Compliance ist ein Framework für Serviceorganisationen, das angemessene Kontrollen für Datensicherheitskriterien demonstriert.

In der heutigen serviceorientierten Landschaft gibt es die Daten eines Unternehmens nur selten in seiner eigenen IT-Umgebung. Diese Daten werden häufig von vielen Anbietern und Dienstleistern genutzt. Ein großer Teil der Entscheidung, mit welchem Anbieter man diesen Daten vertrauen möchte, wird mithilfe von Zertifizierungen getroffen, die die Einhaltung bestimmter Standards für Sicherheit und Vertraulichkeit nachweisen können. 

Compliance-Zertifizierungen fallen unter Frameworks und werden von externen Auditoren überprüft. Sie können Kunden einen Genehmigungsstempel geben, dass ein Anbieter über alle erforderlichen Kontrollen und Schutzmaßnahmen verfügt, um sicherzustellen, dass seine Daten so sicher wie möglich sind. Eines dieser Frameworks wird als „Service Organization Control“-Framework (SOC) bezeichnet.

Wenn Sie ein Anbieter oder Serviceprovider sind, werden Sie möglicherweise gebeten, SOC-2-Daten-Compliance-Berichte bereitzustellen. Wenn Sie Kunde sind, können Sie eine SOC-Zertifizierung anfordern, um zu überprüfen, ob ein Anbieter oder Anbieter über die richtigen Kontrollen für die Daten-Compliance verfügt. 

Im Folgenden erhalten Sie einen genaueren Blick auf diesen serviceanbieterspezifischen Compliance-Standard, was er beinhaltet und warum er wichtig ist.

Was ist SOC 2 Typ II?

Überblick über SOC 2 Typ II

Daten-Compliance-Zertifizierungen sind oft als Voraussetzung oder vertragliche Verpflichtung für eine Beauftragung erforderlich. SOC 2 Typ II-Compliance wurde speziell für Serviceorganisationen entwickelt. SOC 2 Typ II enthält Grundsätze für Datensicherheit, Verfügbarkeit, Vertraulichkeit, Datenschutz und Integrität der Transaktionsverarbeitung. Typ II gibt an, dass das Audit über einen längeren Zeitraum, oft sechs Monate, durchgeführt wurde. 

Diese Standards sind entscheidend, um erstklassige Informationssicherheit (InfoSec) in den IT-Systemen von Anbietern zu gewährleisten und Anbieter-Kundenverträge einzuhalten. 

Wie viele SOC-Kriterien gibt es?

Es gibt fünf Servicekriterien oder Vertrauensprinzipien in einem SOC-2-Compliance-Bericht. Sicherheit ist obligatorisch, während die anderen Kriterien branchen- oder geschäftsspezifischer sein können. Jedes dieser Elemente löst Anforderungen für verschiedene Arten von Kontrollen aus.

  • Sicherheit: Dies ist die wichtigste grundlegende Servicekategorie, die für die SOC-2-Compliance erforderlich ist.
  • Verfügbarkeit: Dies ist wichtig für Dienstleister, die strenge SLAs für Software-as-a-Service- (SaaS), Platform-as-a-Service- (PaaS) oder Infrastructure-as-a-Service-Produkte (IaaS) einhalten müssen. Wenn der IT-Service für Kunden als geschäftskritisch angesehen wird, ist die Datenverfügbarkeit entscheidend.
  • Verarbeitungsintegrität: Dies gilt für Services, die Transaktionen für Finanz- oder E-Commerce-Kunden verarbeiten.
  • Vertraulichkeit: Wenn die Daten, die Sie für Kunden verarbeiten, sensibel sind (z. B. geistiges Eigentum), ist dies eine wichtige Säule Ihrer SOC 2 Typ II-Compliance.
  • Datenschutz: Dieses Prinzip ist nicht mit der oben genannten Vertraulichkeit zu verwechseln, sondern gilt speziell für persönlich identifizierbare Informationen (PII), wie z. B. Krankenakten.

Servicekriterien vertrauen

Grundsätze

Kategorien

Sicherheit

Verfügbarkeit

Integrität bei der Verarbeitung

Vertraulichkeit

Datenschutz
  • Organisation
  • Kommunikation
  • Risikobewertung und Management von Kontrollen
  • Überwachung der Kontrollen
  • Logische und physische Zugriffskontrolle auf sensible Daten und Systeme (z. B. Schlüsselkarten oder Anmeldedaten)
  • Systemoperationen und -verfahren (täglich, wöchentlich, monatlich)
  • Änderungsmanagement
Slide

Was wird in einem SOC 2 Typ II bewertet?

In einem SOC 2-Compliance-Audit vom Typ II werden Richtlinien und Kontrollen, die darauf ausgelegt sind, die oben genannten Servicekriterien zu erfüllen, auf ihre Wirksamkeit bewertet, in der Regel über einen Zeitraum von sechs Monaten. Sind die Kontrollen für die Kriterien geeignet? Ist Ihr Unternehmen bei der Durchführung konsistent?

Was ist eine SOC-2-Typ-II-Zertifizierung?

Die SOC 2 Typ II-Zertifizierung ist der Nachweis eines externen Auditors, dass die Richtlinien eines Unternehmens die Prüfung auf SOC 2 Typ II-Compliance bestanden haben.

Was sind die Vorteile von SOC 2 Typ II Compliance?

Die Vorteile von SOC 2 Typ II bestehen darin, den allgemeinen Zustand der Datensicherheit und des Datenschutzes innerhalb eines Unternehmens und bei seinen Anbietern zu verbessern. Für Dienstleister kann die SOC 2 Typ II-Zertifizierung dazu beitragen, die Wahrscheinlichkeit zu erhöhen, eine Partnerschaft oder einen Kunden im Vergleich zur Konkurrenz zu gewinnen. Für Kunden ist es ein nachweislicher Nachweis, dass Ihre Daten mit den richtigen Kontrollen und Schutzmaßnahmen in guten Händen sind.

Wer muss SOC 2 Typ II Compliance haben?

Jeder Anbieter, der Kundendaten oder sensible Informationen verarbeitet, die vertragliche Verpflichtungen mit einem Kunden für die SOC 2 Typ II-Compliance erfüllen möchten, kann von der Zertifizierung profitieren.

SOC 2 im Vergleich zu anderen Compliance-Zertifizierungen

Unterschiede zwischen SOC 1 und SOC 2

Was ist der Unterschied zwischen SOC 1 und SOC 2? SOC 1 konzentriert sich nicht auf Sicherheitskriterien, sondern auf Finanzberichterstattungskriterien. SOC 1 wurde auch für Serviceorganisationen entwickelt, insbesondere aber für solche, an die bestimmte Finanzfunktionen ausgelagert wurden. Beachten Sie, dass SOC-1-Audits in der Regel mit den Geschäftsjahren übereinstimmen und fünf Servicekriterien enthalten, einschließlich Kontrollumgebung, Risikobewertung, Kontrollaktivitäten, Kommunikation und Informationen sowie Überwachung. 

Unterschiede zwischen SOC 2 und ISO-27001

Sowohl SOC 2 Typ II als auch ISO-27001 sind Frameworks, die sich auf das Management von InfoSec konzentrieren. Während SOC 2 Typ II die Gesamteffektivität von Sicherheitskontrollen bewertet, ist ISO-27001 ein sehr präskriptiver, systematischer Ansatz für Informationssicherheitsmanagementsysteme. Der Hauptfokus von ISO-27001 liegt auf internen Systemen und Kontrollen und ist ein Standard, während SOC 2 Typ II ein Rahmenwerk für die Durchführung eines Audits ist.

SOC 2 Typ II vs. PCI DSS, HIPAA, DSGVO 

Es gibt eine Reihe von Compliance-Frameworks – wie unterscheiden sie sich und welche Organisationen benötigen sie?

SOC 2 Typ II und Payment Card Industry Data Security Standard (PCI DSS) sind zwei sehr unterschiedliche Compliance-Frameworks mit wenig bis keiner Überschneidung. PCI DSS bezieht sich speziell auf Kontrollen zur Handhabung von Kreditkarteninformationen und Transaktionen. PCI DSS gilt auch nur für Finanzdienstleister, während SOC 2 Typ II ein breiteres Branchenspektrum abdeckt. Schließlich wird PCI DSS jährlich und nicht von einem CPA-Unternehmen durchgeführt.

SOC 2 Typ II und der Health Insurance Portability and Accountability Act (HIPAA) unterscheiden sich auch im Fokusbereich der zu schützenden Daten. HIPAA gilt nur für Gesundheitsorganisationen und Dienstleister, die Patientendaten verarbeiten (und gesetzlich vorgeschrieben sind), während SOC 2 Typ II Gesundheitsorganisationen umfassen kann, aber für sie nicht obligatorisch ist. Während SOC 2 Typ II nicht so präskriptiv ist, wie die Servicekriterien erfüllt werden, ist HIPAA mit sehr spezifischen Standards, die für die Compliance erfüllt werden müssen.

SOC 2 Typ II und die Datenschutz-Grundverordnung (DSGVO) sind beide Frameworks, die sich mit Datensicherheit und Datenschutz befassen. Das DSGVO-Framework gilt nur für Organisationen, die personenbezogene Daten von Einwohnern innerhalb der Europäischen Union verarbeiten, und konzentriert sich auf Datenschutz und Datenschutzrechte. Dies erfordert Kontrollen in Bezug auf die Transparenz der Art und Weise, wie Daten verwendet werden, das „Recht auf Vergessenwerden“ und die Datenminimierung sowie die Zustimmung. Während SOC 2 Typ II nicht obligatorisch ist, ist die DSGVO und die Nichteinhaltung kann rechtliche Folgen und Bußgelder nach sich ziehen.

Vorbereitung auf SOC-2-Typ-II-Bewertung

Die Vorbereitung auf ein SOC 2-Typ-II-Audit ist eine Teamarbeit und kann einige Stunden dauern, bis das Team loslegen kann. Die Entscheidung, SOC 2 Typ II-Compliance zu implementieren, kann auch eine angemessene Menge an Zustimmung und Unterstützung intern erfordern, um die Dinge in Gang zu bringen und sie langfristig in Prozesse zu integrieren. 

Schritte zur Vorbereitung auf SOC 2 Typ-II-Bewertung

  1. Erfahren Sie, „warum“ hinter Ihrer Anfrage nach SOC 2-Compliance steckt. Ganz gleich, ob es sich um eine Kundenanfrage oder einen anderen Grund handelt, dies hilft Ihnen dabei, Ihre Fristen für die Compliance-Zertifizierung, den Umfang der damit verbundenen Arbeit und vieles mehr zu verstehen. Dies wird Ihnen auch dabei helfen, bestehende Richtlinien zu identifizieren, die Ihnen helfen können und die dem Auditor auch Kontext und Umfang bieten.
  2. Sammeln Sie das richtige Team von Personen in Ihrem Unternehmen, um sie in SOC 2 Typ II einzubinden. Abhängig von Ihrem Zeitrahmen, um SOC 2 Typ II in Gang zu setzen, benötigen Sie möglicherweise mehr Personen, um bestimmte Aufgaben, die Erfassung von Beweisen und die Entwicklung zu besprechen. Diese Gruppe kann Folgendes umfassen:
    • Führungskräfte wie CEO, CTO, CISO und andere Führungskräfte der Führungsebene
    • DevOps
    • Human Resources, da Mitarbeiter in den Anwendungsbereich von Audits kommen können
    • InfoSec
  3. InfoSecPrepsieren Sie, um den Umfang bereitzustellen. Seien Sie darauf vorbereitet, datenspezifische Fragen zu beantworten, z. B. wo Ihr Service gehostet wird (Public Cloud, lokal), Kapazitätsprognosen, Bürostandorte (ist es eine Zero-Trust-Umgebung oder müssen Server auf die Whitelist gesetzt werden?), ob Sie sensible Daten speichern usw.

Zusammenarbeit mit externen Auditoren für SOC 2 Typ II Compliance

Das SOC-2-Framework wurde vom American Institute of Certified Public Accountants (AICPA) entwickelt und ein Audit muss von einem CPA-Unternehmen durchgeführt werden.

Wenn Sie ein Unternehmen bewerten, das Sie auf die Einhaltung von SOC 2 Typ II prüft, sollten Sie Qualität und Erfahrung zusammen mit den Kosten berücksichtigen und wissen, ob es für Wochen oder Monate gut geeignet ist, täglich mit Ihrem Team zusammenzuarbeiten – und langfristiger Berater und Partner für Ihr Unternehmen werden.

Fragen, die Sie stellen sollten: Haben sie eine großartige Erfolgsbilanz bei erfolgreichen Audits? Verfügt das Unternehmen über Audit-Erfahrung speziell für Ihre Branche? Sie können gerne um Peer Reviews, die erforderliche Prüfung von Dokumenten durch Dritte für Auditoren und Empfehlungen bitten.

Ziehen Sie auch in Betracht, einen Auditor so früh wie möglich in den Prozess einzubeziehen, da er Ihnen dabei helfen kann, das Projekt zu planen und die richtigen Ressourcen intern auszurichten, um Ihre Frist einzuhalten (falls Sie einen haben).

  • Sobald Sie den Auditor ausgewählt haben, gehen Sie wie folgt vor: 
  • Eine Scoping- und Entdeckungsübung, um Erwartungen zu setzen
  • Eine Bereitschaftsbewertung für einen Top-down-Blick auf Lücken, was Sie brauchen, welche Richtlinien bereits vorhanden sind usw.
  • Check-ins, die zum letzten Test führen
  • Die Zertifizierungsprüfung

Während des Audits werden Sie gebeten, die jeweiligen Richtlinien, Kontrollen und Nachweise bereitzustellen. 

So pflegen Sie die SOC-2-Typ-II-Zertifizierung

Es ist wichtig zu beachten, dass die Einhaltung von SOC 2 Typ II nicht einfach ist. Es erfordert Sorgfalt und laufenden Aufwand. Die Aufrechterhaltung der SOC-2-Typ-II-Zertifizierung erfordert eine ständige Überwachung, Dokumentation, Offenlegung und Reaktion auf Vorfälle, Mitarbeiterschulungen und regelmäßige Bewertungen. Dies soll zeigen, dass ein Unternehmen sich kontinuierlich für die Compliance einsetzt und die erforderlichen Richtlinienänderungen und Upgrades vornimmt.

Als nach ISO 27001 zertifiziertes Unternehmen bietet Pure Storage eine Reihe von Produkten und Services an, die unseren Kunden eine umfassende Überwachung und Kontrolle über ihre Daten ermöglichen. Sehen Sie sich unsere Suite moderner Datenschutzlösungen an, um zu erfahren, wie wir Ihnen dabei helfen können, Ihre Ziele zur Einhaltung der Datensicherheit zu erreichen.

Wir empfehlen außerdem …

Alle Ressourcen anzeigen Alle Ressourcen anzeigen
12/2025
Data and Cybersecurity Capabilities from Everpure | Everpure
AI-driven cyber security from Everpure offers real-time threat detection, zero-trust protection & automated incident response for enterprises.
Lösungsprofil
3 pages
10/2025
Simplified Fleet-wide Cyber Resilience | Veeam | Everpure
Discover how Everpure and Veeam deliver a comprehensive unified cyber resilience solution fleet-wide.
Lösungsprofil
3 pages
01/2026

Wichtige Ressourcen und Veranstaltungen durchsuchen

VIDEO
Sehen Sie selbst: Der Wert einer Enterprise Data Cloud

Charlie Giancarlo erklärt, warum die Zukunft in der Verwaltung von Daten und nicht in der Verwaltung von Storage liegt. Erfahren Sie, wie ein einheitlicher Ansatz IT-Abläufe in Unternehmen transformiert.

Jetzt ansehen
RESSOURCE
Herkömmlicher Storage kann die Zukunft nicht beflügeln.

Moderne Workloads erfordern KI-fähige Geschwindigkeit, Sicherheit und Skalierbarkeit. Ist Ihr Stack darauf vorbereitet?

Bewertung durchführen
PURE360-DEMOS
Pure Storage erkunden, kennenlernen und erleben.

Überzeugen Sie sich mit On-Demand-Videos und -Demos von den Möglichkeiten von Pure Storage.

Demos ansehen
THOUGHT LEADERSHIP
Der Innovationswettlauf

Branchenführer, die an vorderster Front der Storage-Innovationen stehen, geben Einblicke und Ausblicke.

Mehr erfahren
Ihr Browser wird nicht mehr unterstützt!

Ältere Browser stellen häufig ein Sicherheitsrisiko dar. Um die bestmögliche Erfahrung bei der Nutzung unserer Website zu ermöglichen, führen Sie bitte ein Update auf einen dieser aktuellen Browser durch.

safari
chrome
firefox
edge
Close
Personalize for Me
Steps Complete!
1
2
3
Edit My Preferences
Start a Chat
Personalize your Everpure experience
Select a challenge, or skip and build your own use case.
Zukunftssichere Virtualisierungsstrategien

Storage-Optionen für alle Ihre Anforderungen.

KIAIProjekte in beliebigem Umfang ermöglichen

Hochleistungs-Storage für Datenpipelines, Training und Inferenz.

Verhindern Sie Datenverluste

Cyber-Resilienz-Lösungen, die Ihr Risiko senken.

Senken Sie die Kosten für Cloud-Operationen

Kosteneffizienter Storage für Azure, AWS und Private Clouds.

Beschleunigen Sie die Performance von Anwendungen und Datenbanken

Storage mit geringer Latenz zur Beschleunigung der Anwendungs-Performance.

Verringern Sie den Stromverbrauch und den Platzbedarf von Rechenzentren

Ressourceneffizienter Storage zur Verbesserung der Rechenzentrumsauslastung.

Build My Use Case
Confirm your outcome priorities
Your scenario prioritizes the selected outcomes. You can modify or choose next to confirm.
Primary
Reduce My Storage Costs
Lower hardware and operational spend.
Primary
Strengthen Cyber Resilience
Detect, protect against, and recover from ransomware.
Primary
Simplify Governance and Compliance
Easy-to-use policy rules, settings, and templates.
Primary
Deliver Workflow Automation
Eliminate error-prone manual tasks.
Primary
Use Less Power and Space
Smaller footprint, lower power consumption.
Primary
Boost Performance and Scale
Predictability and low latency at any size.
Start Over
Select an outcome priority
Select an outcome priority
Next
What’s your role and industry?
We've inferred your role based on your scenario. Modify or confirm and select your industry.
Select your industry
Financial services
Government
Healthcare
Education
Telecommunications
Automotive
Hyperscaler
Electronic design automation
Retail
Service provider
Transportation
Which team are you on?
Technical leadership team
Defines the strategy and the decision making process
Infrastructure and Ops team
Manages IT infrastructure operations and the technical evaluations
Business leadership team
Responsible for achieving business outcomes
Security team
Owns the policies for security, incident management, and recovery
Application team
Owns the business applications and application SLAs
Back
Select an industry
 Select a team
Select an industry
 Select a team
Next
Describe your ideal environment
Tell us about your infrastructure and workload needs. We chose a few based on your scenario.
Select your preferred deployment
Hosted
Dedicated off-prem
On-prem
Your data center + edge
Public cloud
Public cloud only
Hybrid
Mix of on-prem and cloud
Select the workloads you need
Databases
Oracle, SQL Server, SAP HANA, open-source

Key benefits:

  • Instant, space-efficient snapshots

  • Near-zero-RPO protection and rapid restore

  • Consistent, low-latency performance

 

AI/ML and analytics
Training, inference, data lakes, HPC

Key benefits:

  • Predictable throughput for faster training and ingest

  • One data layer for pipelines from ingest to serve

  • Optimized GPU utilization and scale
Data protection and recovery
Backups, disaster recovery, and ransomware-safe restore

Key benefits:

  • Immutable snapshots and isolated recovery points

  • Clean, rapid restore with SafeMode™

  • Detection and policy-driven response

 

Containers and Kubernetes
Kubernetes, containers, microservices

Key benefits:

  • Reliable, persistent volumes for stateful apps

  • Fast, space-efficient clones for CI/CD

  • Multi-cloud portability and consistent ops
Cloud
AWS, Azure

Key benefits:

  • Consistent data services across clouds

  • Simple mobility for apps and datasets

  • Flexible, pay-as-you-use economics

 

Virtualization
VMs, vSphere, VCF, vSAN replacement

Key benefits:

  • Higher VM density with predictable latency

  • Non-disruptive, always-on upgrades

  • Fast ransomware recovery with SafeMode™

 

Data storage
Block, file, and object

Key benefits:

  • Consolidate workloads on one platform

  • Unified services, policy, and governance

  • Eliminate silos and redundant copies

 

What other vendors are you considering or using?
Back
Select a deployment
 Select a workload
Select a deployment
 Select a workload
Finish
Thinking...
Your personalized, guided path
Get started with resources based on your selections.
Start a Chat