Zum Hauptinhalt springen

SOC 2 Trust Service Criteria

Uebersicht

SOC 2 ist ein vom AICPA definiertes Pruefungsrahmenwerk fuer Dienstleistungsorganisationen, aufgebaut um fuenf Trust Service Criteria (TSC): Security, Availability, Processing Integrity, Confidentiality und Privacy.

vitalera setzt Sicherheits-, Verfuegbarkeits- und Vertraulichkeitskontrollen um, die an den SOC 2 Trust Service Criteria ausgerichtet sind. Diese Kontrollen werden unabhaengig auditiert und zertifiziert im Rahmen unseres Informationssicherheits-Managementsystems nach ISO/IEC 27001:2022, das sich weitgehend mit dem SOC 2 TSC-Rahmenwerk ueberschneidet.

Aktueller Stand

Transparente Positionierung

vitalera veroeffentlicht derzeit keinen SOC 2 Type I- oder Type II-Pruefbericht.

Die von SOC 2 geforderten zugrundeliegenden Sicherheitskontrollen sind im Rahmen von ISO 27001:2022 implementiert, im Betrieb und extern auditiert — einem Rahmenwerk, das zwar von einer anderen Normungsorganisation (ISO) herausgegeben wird, jedoch im Wesentlichen dieselben Kontrolldomaenen wie SOC 2 abdeckt und international, insbesondere im von vitalera primaer bedienten EU-Gesundheitsmarkt, breiter anerkannt ist.

Enterprise-Kunden, die SOC 2-Dokumentation fuer ihren internen Lieferantenpruefungsprozess benoetigen, koennen eine der untenstehenden Optionen anfordern.

Was Enterprise-Kunden anfordern koennen

Wenden Sie sich an legal@vitalera.io oder Ihren Account Manager, um eines der folgenden Dokumente im Rahmen einer Sicherheitspruefung zu erhalten:

DokumentBeschreibung
ISO 27001:2022-ZertifikatAktuelles Zertifikat unserer akkreditierten Zertifizierungsstelle, einschliesslich Geltungsbereich und Gueltigkeitsdaten
Statement of Applicability (SoA)Auf vitalera angewandte Annex A-Kontrollen mit Umsetzungshinweisen
SOC 2 / ISO 27001-KontrollmappingDokument, das die fuenf SOC 2 Trust Service Criteria auf die von vitalera umgesetzten ISO 27001 Annex A-Kontrollen abbildet
Zusammenfassung des PenetrationstestsZusammenfassung der Ergebnisse des juengsten unabhaengigen Penetrationstests
Architektur- und DatenflussdokumentationNetzwerkdiagramme, Datenresidenzdetails, Verschluesselungsarchitektur und Drittanbieter-Datenverarbeiter
Antwort auf SicherheitsfragebogenAusgefuellte Antworten auf gaengige Lieferanten-Sicherheitsfragebogen (CAIQ, SIG, VSA)

Alle Dokumente werden im Rahmen des Enterprise-Vertriebsprozesses unter einer wechselseitigen NDA geteilt.

Abdeckung der Trust Service Criteria

Die fuenf SOC 2 Trust Service Criteria und wie vitalera jede davon adressiert:

Security (Common Criteria — fuer alle SOC 2-Berichte erforderlich)

Abgedeckt durch die ISO 27001:2022 Annex A-Kontrollen fuer Informationssicherheitsrichtlinien, Zugriffskontrolle, Kryptografie, physische Sicherheit, Betriebssicherheit, Kommunikationssicherheit, Systembeschaffung, Lieferantenbeziehungen, Incident Management und Business Continuity. Details siehe Seiten ISO 27001 und Datensicherheit.

Availability

  • Multi-AZ-Deployment in AWS eu-west-1 mit automatischem Failover
  • Taegliche Backups mit Point-in-Time-Recovery
  • Dokumentierte Disaster-Recovery-Runbooks mit getesteten RTO- und RPO-Zielen
  • Kontinuierliches Monitoring und Alerting fuer Verfuegbarkeitsmetriken

Confidentiality

  • AES-256-Verschluesselung im Ruhezustand, TLS 1.2+ in Uebertragung
  • Rollenbasierte Zugriffskontrolle mit Durchsetzung des Prinzips der minimalen Rechte
  • Netzwerkisolation ueber AWS VPC
  • Verschluesselte verwaltete Datenbanken und Objektspeicher
  • Datenklassifizierungs- und Handhabungsrichtlinien, die PHI, PII und Kundendaten abdecken

Processing Integrity

  • Eingabevalidierung an der API-Grenze (FHIR R5-Schema-Durchsetzung)
  • Integritaets-Constraints auf Datenbankebene und kryptografische Audit-Logs
  • Strukturierte Fehlerbehandlung und Idempotenz fuer Webhook-Zustellung
  • Automatisierte Tests und Change Management fuer alle Produktions-Deployments

Privacy

  • GDPR-Konformitaet fuer personenbezogene Daten der EU
  • HIPAA Business Associate-Schutzmassnahmen fuer US-PHI
  • Dokumentierte Betroffenenrechte-Workflows
  • Data Processing Agreements (DPAs) und Business Associate Agreements (BAAs) verfuegbar

Warum ISO 27001 fuer SOC 2-Pruefungen funktioniert

Fuer Kunden, deren Beschaffungsprozess nach "SOC 2 oder gleichwertig" fragt, ist ISO 27001:2022 das am breitesten akzeptierte Aequivalent:

  • Umfang: Die 93 Annex A-Kontrollen von ISO 27001 decken dieselben Domaenen wie die SOC 2 Common Criteria ab
  • Audit: Jaehrliche Ueberwachungsaudits und dreijaehrliche Rezertifizierung durch eine akkreditierte Stelle
  • Unabhaengigkeit: Durchgefuehrt von einer unabhaengigen ISO-Zertifizierungsstelle, keine Selbstbewertung
  • Internationale Anerkennung: Von vielen nicht-US-amerikanischen Unternehmen und Gesundheitssystemen gefordert

Falls Ihr Beschaffungsprozess zwingend einen SOC 2 Type II-Bericht verlangt und ISO 27001 nicht als Alternative akzeptiert, wenden Sie sich an legal@vitalera.io, um die Planung eines SOC 2-Audits im Rahmen des Enterprise-Vertrags zu besprechen.

Verwandte Konformitaet

  • ISO 27001 — Primaere Sicherheitszertifizierung und SOC 2-Aequivalent
  • HIPAA — US-Healthcare Business Associate-Schutzmassnahmen
  • GDPR — Schutz personenbezogener EU-Daten
  • Datensicherheit — Uebersicht ueber die technische Sicherheitsarchitektur

Kontakt

Fuer Sicherheitspruefungen, SOC 2-Kontrollmapping oder Enterprise-Compliance-Dokumentation wenden Sie sich an legal@vitalera.io.