YesPDF — SOC 2 Compliance-Bericht

Was ist SOC 2?

SOC 2 — AICPA Trust Services Criteria

SOC 2 (System and Organization Controls 2) ist ein Prüfrahmenwerk, das vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde und bewertet, wie Dienstleistungsorganisationen Kundendaten verwalten. SOC 2 ist ein kritischer Sicherheitsstandard, insbesondere für Cloud-Dienste, SaaS-Anbieter und Datenverarbeitungsorganisationen.

SOC 2-Prüfungen basieren auf fünf Vertrauensdienstkriterien (TSC): Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Diese Kriterien bewerten, wie Organisationen ihre Informationssysteme schützen und verwalten.

Dieser Bericht erläutert, wie YesPDF die SOC 2-Vertrauensdienstkriterien Punkt für Punkt unterstützt.

SOC 2-Berichtstypen

SOC 2 Typ I

Bewertet die Eignung des Kontrolldesigns zu einem bestimmten Zeitpunkt. Beantwortet: „Sind die Kontrollen richtig gestaltet?“

SOC 2 Typ II

Bewertet sowohl Design als auch operative Wirksamkeit der Kontrollen über einen Zeitraum (typischerweise 6-12 Monate). Beantwortet: „Funktionieren die Kontrollen wie geplant?“

Fünf Vertrauensdienstkriterien (TSC)

SOC 2-Prüfungen basieren auf den folgenden fünf Kriterien. Sicherheit ist obligatorisch; andere werden basierend auf den Bedürfnissen der Organisation ausgewählt.

🛡️

Sicherheit

Schutz von Informationen und Systemen vor unbefugtem Zugriff, Nutzung, Änderung und Zerstörung. Das grundlegende und obligatorische Kriterium von SOC 2.

Erforderlich

⏱️

Verfügbarkeit

Systeme und Informationen stehen für den Betrieb und die Nutzung wie zugesagt zur Verfügung.

Optional

⚙️

Verarbeitungsintegrität

Die Systemverarbeitung ist vollständig, genau, zeitgerecht und autorisiert.

Optional

🔐

Vertraulichkeit

Als vertraulich eingestufte Informationen sind vor unbefugter Offenlegung geschützt.

Optional

👤

Datenschutz

Personenbezogene Daten werden gemäß den Verpflichtungen erhoben, verwendet, aufbewahrt, offengelegt und entsorgt.

Optional

SOC 2-Kriterien und YesPDF-Lösungen

1. Sicherheit — Logische und physische Zugriffskontrollen (CC6)

Die Organisation implementiert logische und physische Zugriffskontrollen, um unbefugten Zugriff auf Informationswerte zu verhindern.

✅ YesPDF Solution

Role-Based Access Control (RBAC): Granulare Autorisierung mit Administrator-, Bearbeiter-, Betrachter- und abteilungsbasierten Rollen.
Document-Level Permissions: Lese-, Bearbeitungs-, Download- und Druckberechtigungen können für jedes Dokument separat definiert werden.
LDAP/Active Directory Integration: Zentralisierte Zugriffsverwaltung durch Integration mit der bestehenden Authentifizierungsinfrastruktur der Organisation.
IP Restriction: Der Dokumentenzugriff kann auf das Unternehmensnetzwerk oder bestimmte IP-Bereiche beschränkt werden.
Automatic Session Timeout: Inaktive Sitzungen werden nach einem konfigurierten Zeitraum automatisch beendet.
On-Premise Architecture: Die physische Zugriffskontrolle wird in den eigenen Einrichtungen der Organisation verwaltet — keine Abhängigkeit von Drittanbieter-Rechenzentren.

2. Sicherheit — Überwachung und Prüfung (CC7)

Die Organisation implementiert Überwachungs- und Prüfmechanismen zur Erkennung und Reaktion auf Sicherheitsereignisse.

✅ YesPDF Solution

Comprehensive Audit Log: Jeder Dokumentenzugriff, jede Bearbeitung, jeder Download, Druckvorgang und jede Freigabe wird automatisch protokolliert.
Immutable Records: Prüfprotokolle können nicht geändert oder gelöscht werden — sie liefern zuverlässige Nachweise für SOC 2-Prüfungen.
Detailed Tracking: Benutzer-ID, Zeitstempel, Dokumentname, Vorgangstyp, IP-Adresse und Geräteinformationen — alle Details werden aufgezeichnet.
Activity Reports: Zugriffsberichte können nach Benutzer, Dokument oder Zeitraum erstellt werden.
Security Event Detection: Ungewöhnliche Zugriffsmuster und verdächtige Aktivitäten können durch Berichte erkannt werden.

3. Sicherheit — Änderungsmanagement (CC8)

Die Organisation implementiert Kontrollen zur Verwaltung von Änderungen an Infrastruktur, Daten, Software und Verfahren.

✅ YesPDF Solution

Version Control: Dokumentänderungen werden mit Versionshistorie verfolgt — wer jede Änderung vorgenommen hat und wann, wird aufgezeichnet.
Configuration Management: Systemeinstellungen können nur von Benutzern mit Administratorrollen geändert werden.
Update Controls: YesPDF-Updates werden vor der Bereitstellung in einer kontrollierten Umgebung getestet.
Rollback: Frühere Dokumentversionen können auf Dokumentebene wiederhergestellt werden.

4. Verfügbarkeit (A1)

Die Organisation implementiert Kontrollen, um sicherzustellen, dass Systeme und Informationen wie zugesagt verfügbar sind.

✅ YesPDF Solution

Load Balancer Support: Hochverfügbarkeit durch Load Balancer wie F5 BIG-IP und Citrix NetScaler.
Backup and Recovery: Automatisierte Sicherungspläne verhindern Datenverlust und ermöglichen schnelle Wiederherstellung.
Performance Monitoring: Systemressourcen und Antwortzeiten werden überwacht, um Leistungsprobleme frühzeitig zu erkennen.
Business Continuity: Die On-Premise-Architektur gewährleistet den lokalen Netzwerkzugriff auch bei Internetausfällen.

5. Verarbeitungsintegrität (PI1)

Die Organisation stellt sicher, dass die Systemverarbeitung vollständig, genau, zeitgerecht und autorisiert ist.

✅ YesPDF Solution

Job Queue Management: PDF-Konvertierung, OCR und andere Operationen werden über ein Warteschlangensystem verwaltet — kein Auftrag geht verloren.
Job Status Tracking: Der Status jedes Auftrags (ausstehend, in Bearbeitung, abgeschlossen, fehlgeschlagen) kann in Echtzeit überwacht werden.
Automatic Retry: Fehlgeschlagene Operationen werden mit konfigurierbaren Wiederholungsrichtlinien erneut versucht.
Digital Signatures: Die Dokumentintegrität kann durch digitale Signaturen verifiziert werden.

6. Vertraulichkeit (C1)

Die Organisation stellt sicher, dass als vertraulich eingestufte Informationen vor unbefugtem Zugriff und Offenlegung geschützt sind.

✅ YesPDF Solution

AES-256 Encryption: Alle Dokumente werden sowohl bei der Übertragung als auch im Ruhezustand mit AES-256 verschlüsselt.
Permanent Redaction: Vertrauliche Informationen können unwiderruflich aus Dokumenten entfernt werden.
PDF Encryption: Einzelne PDF-Dateien können mit Passwortschutz und Berechtigungseinschränkungen versehen werden.
Secure Deletion: Vertrauliche Dokumente nach Ablauf ihrer Aufbewahrungsfrist werden sicher vernichtet und Löschprotokolle geführt.
Classification: Dokumente können nach Vertraulichkeitsstufe kategorisiert werden (Öffentlich, Intern, Vertraulich, Streng vertraulich).

7. Datenschutz (P1)

Die Organisation implementiert Kontrollen für die Erhebung, Nutzung, Aufbewahrung, Offenlegung und Entsorgung personenbezogener Daten gemäß der Datenschutzerklärung.

✅ YesPDF Solution

Data Minimization: YesPDF erhebt nur personenbezogene Daten, die für das Dokumentenmanagement erforderlich sind.
On-Premise Data Control: Personenbezogene Daten verlassen niemals die institutionelle Infrastruktur — sie werden nicht an Server Dritter gesendet.
Retention Policies: Automatische Aufbewahrungsfristen können für Dokumente mit personenbezogenen Daten definiert werden.
Access Rights: Benutzer können nur auf personenbezogene Daten zugreifen, für die sie autorisiert sind.
Batch Redaction: Personenbezogene Daten können für DSGVO-Compliance-Anfragen in Dokumenten massenhaft geschwärzt werden.

Allgemeine SOC 2-Kriterien

SOC 2 basiert auf dem COSO-Rahmenwerk (Committee of Sponsoring Organizations) für interne Kontrollen. Allgemeine Kriterien gelten für alle Vertrauensdienstkriterien:

Kontrollumgebung (CC1)

Zeigt das Engagement der Organisation für Sicherheit und ethische Werte.

Die rollenbasierte Struktur und das zentrale Admin-Panel von YesPDF unterstützen die Einrichtung der Kontrollumgebung.

Kommunikation und Information (CC2)

Gewährleistet eine effektive Kommunikation von Sicherheitsrichtlinien und -verfahren.

Prüfprotokolle und Berichtsfunktionen erleichtern den Austausch von Sicherheitsinformationen.

Risikobewertung (CC3)

Identifiziert und bewertet Risiken für die Ziele der Organisation.

Zugriffsberichte und Aktivitätsprotokolle unterstützen Risikobewertungsprozesse.

Überwachungsaktivitäten (CC4)

Gewährleistet die laufende Überwachung der Wirksamkeit interner Kontrollen.

Umfassende Prüfprotokollierung und Berichterstattung bilden die Grundlage der Überwachungsaktivitäten.

Kontrollaktivitäten (CC5)

Implementiert Richtlinien und Verfahren zur Risikominderung.

RBAC, Verschlüsselung, Schwärzung und Aufbewahrungsrichtlinien sind direkte Kontrollaktivitäten.

Lieferantenbewertung und SOC 2

Unternehmenskunden verlangen häufig SOC 2-Compliance in Lieferantenbewertungsprozessen. Die On-Premise-Architektur von YesPDF bietet bei diesen Bewertungen erhebliche Vorteile:

Kein Datenverarbeitungsrisiko durch Dritte, da die Daten die Organisation niemals verlassen
Der SOC 2-Prüfungsumfang umfasst die eigenen Kontrollen der Organisation anstatt die eines Anbieters
Abhängigkeit von Subdienstleistern wird beseitigt
Lässt sich natürlich in das bestehende SOC 2-Kontrollrahmenwerk der Organisation integrieren

Vergleich: On-Premise vs. Cloud

Vergleich von On-Premise- und Cloud-Lösungen für die SOC 2-Compliance:

Kriterien	YesPDF (On-Premise)	Cloud-PDF-Tools
Datenspeicherort	Eigener Server der Organisation	Rechenzentrum eines Drittanbieters
Kontrollumfang	100 % unter Kontrolle der Organisation	Modell der geteilten Verantwortung
Prüfungsfreundlichkeit	Alle Protokolle lokal — direkter Zugriff	Abhängig von Anbieterberichten
Subdienstleister-Risiko	Keiner	Risiko von Kettenabhängigkeiten
Physische Sicherheit	Unter Kontrolle der Organisationseinrichtung	Unter Kontrolle des Anbieter-Rechenzentrums
Konfigurationskontrolle	Vollständige Anpassung	Begrenzte Konfigurationsoptionen
Vorfallreaktion	Direkte Eingreifmöglichkeit	Koordination mit dem Anbieter erforderlich

SOC 2 Compliance-Checkliste

Zur Unterstützung der SOC 2-Kriterien mit YesPDF:

1
Zugriffsrichtlinien definieren
Konfigurieren Sie RBAC-Rollen und -Berechtigungen zur Durchsetzung des Prinzips der geringsten Berechtigung.
2
Prüfprotokollierung aktivieren
Stellen Sie sicher, dass alle Dokumentenzugriffe protokolliert werden. Teilen Sie regelmäßig Zugriffsberichte mit Prüfern.
3
Verschlüsselung überprüfen
Bestätigen Sie, dass die AES-256-Verschlüsselung aktiv ist und alle Dokumente verschlüsselt gespeichert werden.
4
Änderungsmanagement implementieren
Überprüfen Sie, dass Systemänderungen protokolliert werden und einen Genehmigungsprozess durchlaufen.
5
Sicherungsplan testen
Überprüfen Sie, dass regelmäßige Sicherungen erstellt werden und Wiederherstellungsverfahren korrekt funktionieren.
6
Aufbewahrungsrichtlinien konfigurieren
Definieren Sie Aufbewahrungsfristen nach Dokumenttyp und aktivieren Sie automatische Warnungen.
7
Notfallplan erstellen
Definieren Sie Schritte für Sicherheitsvorfälle, weisen Sie Verantwortlichkeiten zu und testen Sie den Plan.
8
Personal schulen
Schulen Sie das zuständige Personal in Sicherheitsbewusstsein und YesPDF-Nutzung.
9
Regelmäßige Risikobewertung durchführen
Bewerten Sie regelmäßig die Risiken in Dokumentenmanagementprozessen und aktualisieren Sie die Kontrollen.
10
Auf die Prüfung vorbereiten
Bereiten Sie Zugriffsberichte, Konfigurationsaufzeichnungen und Richtliniendokumente für SOC 2-Prüfer vor.

Zusammenfassung

YesPDF unterstützt Organisationen bei der Erfüllung der SOC 2-Vertrauensdienstkriterien durch seine On-Premise-Architektur, umfassende Zugriffskontrollen, unveränderliche Prüfprotokolle, AES-256-Verschlüsselung, permanente Schwärzung, Versionskontrolle und flexible Aufbewahrungsrichtlinien. Die On-Premise-Architektur stellt sicher, dass die Datenkontrolle vollständig bei der Organisation verbleibt, eliminiert Abhängigkeiten von Drittanbietern und vereinfacht den SOC 2-Prüfungsumfang.

Technischer Support

Bei Fragen zur SOC 2-Compliance und YesPDF-Konfiguration:

🌐 www.yespdf.com.tr

📧 [email protected]

📞 +90 212 347 47 16