SOC 2
Service and Organization Controls (SOC) 2 ist ein Bericht, der auf dem Auditing Standards Board des American Institute of Certified Public Accountants (AICPA) SSAE 18 basiert. Darin werden die Kontrollen der Dienstorganisation in Bezug auf die Trust Services-Kriterien für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bewertet.
Sie suchen nach SOC 2-Berichten zu Google Cloud und Google Workspace ? Kunden können die Berichte jederzeit über die Übersicht über Complianceberichte anfordern.
Google Cloud- und SOC 2-Compliance
Auf SOC 2-Berichte von Google Cloud zugreifen
Google Cloud wird für seine Produkte, Systeme und Infrastrukturen im Zusammenhang mit diesem Standard regelmäßig externen Prüfungen unterzogen. Die SOC 2-Berichte werden von einem unabhängigen Dritten erstellt, der eine Reihe von Zusicherungen von Google Cloud zu seinen Kontrollen bestätigt, die zum Schutz von Kundendaten gelten. Die Bewertung durch die Auditfirma umfasst umfassende Tests der Gestaltung und Wirksamkeit der Kontrollen innerhalb des Audit-Zeitraums.
Kunden können den SOC 2-Bericht verwenden, um die Risiken zu bewerten, die sich aus den Interaktionen mit den bewerteten Google Cloud- und Google Workspace-Systemen während des Zeitraums ergeben.
SOC 2-Zeitpläne von Google Cloud
Grundlegende Google Cloud- und Google Workspace SOC 2-Berichte
Die wichtigsten SOC 2-Berichte vom Typ II von Google Cloud und Google Workspace werden halbjährlich veröffentlicht und können in der Übersicht über Complianceberichte heruntergeladen werden. Für diese Berichte gelten folgende Abdeckungszeiträume und Ausstellungsdaten:
- Erstes Halbjahr
- Abdeckungszeitraum: 1. Mai – 30. April
- Voraussichtliche Ausstellung: Mitte Juni
- Zweites Halbjahr
- Abdeckungszeitraum: 1. November bis 31. Oktober
- Voraussichtliche Ausstellung: Mitte Dezember
Zusätzliche Google Cloud SOC 2-Berichte
Wir erstellen separate SOC 2 Typ II-Berichte für einen kleinen Teil der Google Cloud-Produkte, darunter AppSheet, Backup and Disaster Recovery, Google Cloud VMware Engine, Bare-Metal-Lösung, Apigee Edge, Actifio Heritage, StratoZone, Google Security Operations SOAR, Mandiant und Looker (Google Cloud Core). Diese Berichte werden jährlich erstellt und Kunden können sie über den Vertrieb oder den Support erhalten.
Brückenbuchstaben
Bridge Letters sind Attestierungen, die vom Dienstanbieter verwaltet werden, in diesem Fall Google Cloud. Sie sollen die Lücke zwischen dem Enddatum des SOC-Berichts und dem Enddatum des Kunden für den Berichtszeitraum überbrücken. In Bridge Letters werden wesentliche Änderungen oder Probleme zusammengefasst, die nach dem Enddatum des Berichtszeitraums für den letzten SOC-Bericht innerhalb der internen Kontrollumgebung identifiziert wurden. Bridge Letters sind nur für SOC 1- und SOC 2-Berichte verfügbar.
Google Cloud erstellt monatliche Brückenschreiben, die jeweils den Zeitraum seit dem letzten SOC-Bericht abdecken. So sendet Google Cloud beispielsweise Anfang Januar ein Brückenschreiben für den Rückschauzeitraum vom 1. November bis zum 31. Dezember, wodurch der Abdeckungszeitraum des zuvor veröffentlichten SOC-Berichts mit dem Enddatum des 31. Oktober verlängert wird.
SOC-Brückenschreiben für die wichtigsten SOC 2-Berichte von Google Cloud und Google Workspace sind in der Übersicht über Complianceberichte für die Zeiträume vom 31. März, 30. Juni, 30. September und 31. Dezember verfügbar und können direkt heruntergeladen werden. Wenn ein Brückenschreiben für ein anderes Enddatum oder einen anderen Produktumfang erforderlich ist, wenden Sie sich bitte an den Vertrieb oder den Support.
Häufig gestellte Fragen
Wer führt das Audit durch unabhängige Dritte durch?
Die unabhängigen Prüfer von Google Cloud sind Ernst &Young LLP und Coalfire.
Wie unterscheidet sich ein SOC 2 Typ II-Bericht von einem SOC 2 Typ I-Bericht?
Ein SOC 2 Typ I-Bericht deckt das Design der Kontrollen der Dienstorganisation zu einem bestimmten Zeitpunkt ab. Ein SOC 2 Typ-II-Bericht deckt die Design- und Betriebseffektivität der Kontrollen der Dienstorganisation über einen bestimmten Zeitraum ab. Zum Beispiel bewertet ein SOC 2-Typ I die Kontrollen der Dienstorganisation zum aktuellen Zeitpunkt, aber ein SOC 2-Typ II bewertet die Kontrollen der Dienstorganisation innerhalb der letzten sechs Monate. Google Cloud gibt nur SOC 2-Berichte vom Typ II aus.
Betroffene Dienste
Unten finden Sie Google Cloud-Dienste, die den Vorgaben von SOC 2 entsprechen.
Bild: Google Cloud
Dienste, deren Name vereinfacht wurde, sind in Klammern mit ihrem vorherigen Namen aufgeführt.
AI Platform Deep Learning Container
AI Platform Neural Architecture Search (NAS)
AI Platform Training and Prediction
Anti-Money Laundering (AML) AI
Sicherung und Notfallwiederherstellung
BigQuery Data Transfer Service
Cloud External Key Manager (Cloud EKM)
Cloud Hardware Security Module (HSM)
Cloud Intrusion Detection System (IDS)
Cloud Key Management Service (KMS)
Cloud Life Sciences (formerly Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (vollständig verwaltet)
Virtuelles privates Cloud-Netzwerk (VPN)
Generative AI in Vertex AI (früher Unterstützung von generativer KI in Vertex AI)
GKE Enterprise Config Management
Google Cloud Identity-Aware Proxy
Google Cloud VMware Engine (GCVE)
Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM)
Key Access Justifications (KAJ)
Managed Service for Microsoft Active Directory (AD)
Migrate to Virtual Machines (früher Migrate for Compute Engine)
Notebooks (früher AI Platform Notebooks)
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Threat Intelligence für Google Security Operations
Vertex AI Conversation (früher Generative AI App Builder)
Vertex AI Platform (früher Vertex AI)
Vertex AI Search (früher Gen App Builder – Enterprise Search)
Google Workspace
Relevante Produkte und Dienste
Access Transparency
Access Transparency
Wenn Google Cloud-Administratoren auf Ihre Inhalte zugreifen, erhalten Sie über Access Transparency nahezu in Echtzeit Logs ihrer Aktionen.
Cloud Key Management Service
Cloud Key Management Service
Verwalten Sie kryptografische Schlüssel lokal genauso wie für Ihre Cloud-Dienste, um Secrets und andere sensible Daten zu schützen, die Sie in Google Cloud speichern.
Google Cloud Armor
Google Cloud Armor
Bietet skalierbare Verteidigung gegen DDoS-Angriffe auf Infrastruktur und Anwendungen unter Verwendung der globalen Infrastruktur- und Sicherheitssysteme von Google.
Security Command Center
Security Command Center
Vermeiden und Erkennen von Bedrohungen in virtuellen Maschinen, Netzwerken, Anwendungen und Speichern von einem Standort aus. So können Sie Maßnahmen ergreifen, bevor es zu Schäden oder Verlusten kommt.
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Sensitive Data Protection (einschließlich Cloud Data Loss Prevention)
Ermöglicht eine schnelle, skalierbare Klassifizierung und die Entfernung von sensiblen Daten wie Namen, Kreditkartennummern oder Google Cloud-Anmeldedaten.
VPC Service Controls
VPC Service Controls
Schützt sensible Daten durch Definition eines Sicherheitsbereichs um Google Cloud-Ressourcen wie Cloud Storage-Buckets, Bigtable-Instanzen und BigQuery-Datasets.
Weitere Angebote
SOC 1Google Cloud wird regelmäßig von einem unabhängigen Unternehmen überprüft, um einzelne Produkte gemäß SOC-2-Standard zu zertifizieren.
SOC 3Google Cloud und Google Workspace werden regelmäßig von einem unabhängigen Unternehmen überprüft, um einzelne Produkte gemäß den SOC-3-Standards zu zertifizieren.
Gleich loslegen
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.
Best Practices für Sicherheit
Mehr über Best PracticesHäufige Probleme beheben
Videos zu sicherheitsbezogenen Fallstudien ansehenUnterstützung durch Partner
Mehr über unsere Sicherheitspartner
