SOC 2-KONFORMITÄT

Zuletzt bewertet: Juli 2025
Nächste Überprüfung fällig: Juli 2026

Übersicht

Das System- und Organisationskontrollen 2 (SOC 2) ist ein weithin anerkannter Compliance-Standard, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Er konzentriert sich auf fünf zentrale Kriterien für Vertrauensdienste: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und DatenschutzSOC 2 soll sicherstellen, dass die Systeme einer Organisation so konzipiert sind, dass Kundendaten sicher und verfügbar bleiben, insbesondere für Cloud-basierte und Software-as-a-Service (SaaS)-Anbieter.

Für Anbieter von Lastausgleichssoftware wie RELIANOIDDie SOC 2-Konformität hat einen direkten Einfluss darauf, wie Produkte entwickelt, eingesetzt und gewartet werden. Der Fokus auf sicheres Systemdesign, kontinuierliche Überwachung, Incident Response und Datenintegrität passt natürlich zu RELIANOIDDie Mission von ist es, robuste und leistungsstarke Lastausgleichslösungen anzubieten. Unsere Technologien unterstützen Kunden bei der Aufrechterhaltung eines sicheren und konformen Betriebs, indem sie Funktionen wie Verschlüsselung, Audit-Protokollierung, Failover-Funktionen und robuste Zugriffskontrollmechanismen bieten.

In diesem Zusammenhang RELIANOID präsentiert seine offizielle Erklärung zur SOC 2-Konformität, in den folgenden Abschnitten detailliert beschrieben, wie die Lastausgleichstechnologie die Säulen des Standards – Vertrauen, Sicherheit und Verfügbarkeit – unterstützt.

SOC 2-Ausrichtungserklärung

Vertrauensdienste Kriterien für die RELIANOID Load Balancer und organisatorische Vorgänge

RELIANOID is ausgerichtet an den SOC 2-Sicherheitsprinzipien und implementiert Kontrollen, die alle fünf Trust Services-Kriterien berücksichtigen –Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz– über unsere Load Balancer-Lösung und die ganze Organisation (Entwicklung, Support, Lieferung). Unsere Software wird hauptsächlich auf dem Geländeund auch in Cloud und Hybride Umgebungen; für alle Bereitstellungsmodelle gilt der gleiche Kontrollsatz. Wir bedienen stark regulierte Sektoren wie Finanzen, Fachleute des Gesundheitswesens  die Entscheidungsfindung verbessern. und Regierung, sowie allgemeine Unternehmen.

Hinweis: RELIANOID ist nicht SOC 2 zertifiziert. Im Folgenden wird unsere Ausrichtung gemäß den SOC 2 Trust Services-Kriterien, kein Zertifizierungs- oder Bescheinigungsbericht.

Geltungsbereich

• System: RELIANOID Load Balancer (alle Editionen)
• Operationen: Produktentwicklung, Freigabe und Lieferung, Kundensupport
• Bereitstellungen: Vor Ort, in der Cloud und hybrid – eine Kontrollbasislinie angewendet

Organisationsführung und Risikomanagement

Unser Governance-Framework ist den SOC 2-Kontrollbereichen (Kontrollumgebung, Kommunikation, Risikobewertung, Überwachung) zugeordnet:

• Richtlinien und Prozeduren: Weitere Informationen finden Sie auch in den Geschäftskontinuität und Notfallwiederherstellung und Risikomanagement von Drittanbietern.
• Risikomanagement: Formale Risikoidentifizierung, -bewertung und -verfolgung mit in Produkt- und Betriebsrückstände integrierten Sanierungsplänen.
• Schulung und Sensibilisierung: Obligatorische Sicherheitsschulungen für alle Mitarbeiter; rollenbasierte Auffrischungskurse für Ingenieure und Support.

Datensicherheit & Datenschutz

• Datenverarbeitung & Datenschutz: Weitere Informationen finden Sie auch in den Datenverarbeitungsvereinbarung (DPA) und Globale Datentrennungs- und Datenschutzrichtlinie.
• Verschlüsselung: TLS 1.3 für Daten während der Übertragung; Unterstützung für Verschlüsselung im Ruhezustand und vom Kunden verwaltete Schlüssel in unterstützten Umgebungen.
• Zugang: Rollenbasierte Zugriffskontrolle (RBAC), SSO/LDAP-Integrationen und MFA für privilegierte Vorgänge.

Operative Sicherheitskontrollen

RELIANOID verwaltet mehrschichtige Kontrollen zur Prävention, Erkennung und Reaktion (logischer Zugriff, Systembetrieb, Änderungsmanagement):

• Protokollierung und Überwachung: Administrative und sicherheitsrelevante Ereignisse werden protokolliert und bieten die Möglichkeit, diese an das SIEM des Kunden weiterzuleiten. Warn- und Eskalationspfade sind definiert.
• Schwachstellenmanagement: Wöchentliche Schwachstellenscans für die Lastausgleichssoftware; vierteljährlich Sicherheitsscans für öffentliche und interne Dienste; verfolgte SLAs zur Behebung.
• Härten: Standardmäßig sichere Konfigurationen, Dienstkonten mit geringsten Berechtigungen, Netzwerksegmentierung und sichere Handhabung geheimer Daten.

Änderungs- und Release-Management

• Codeüberprüfungen: Obligatorische Peer-Review; jedes Commit führt automatisierte Validierungsskripte für sicheren Code aus.
• Automatisierte Tests: Sicherheits- und Funktionstests, integriert in OpenAPI-gesteuerte Pipelines; Regressionsgates bei Builds.
• Integrität der Veröffentlichung: Versionierte Releases, dokumentierte Änderungen und Rollback-Verfahren.

Reaktion auf Vorfälle und Service-Levels

Die Prozesse zur Vorfallbehandlung und die externe Kommunikation entsprechen den SOC 2-Erwartungen hinsichtlich Sicherheitsereignissen und Verfügbarkeitsverpflichtungen:

• Schritte: Weitere Informationen finden Sie auch in den Verfahren zur Reaktion auf Vorfälle und zur Meldung von Vorfällen.
• Kundenverpflichtungen: Weitere Informationen finden Sie auch in den Service Level Agreement (SLA).

Drittparteien- und Lieferkettenrisiken

• Lieferantenüberwachung: Kritische Lieferanten bewertet nach Richtlinie zum Risikomanagement Dritter, einschließlich SLAs und Exit-Strategien.
• Cloud & Hosting: Kunden können die Bereitstellung auf ihrer bevorzugten Infrastruktur vornehmen. Es werden Anleitungen zur Abstimmung gemeinsamer Verantwortlichkeiten bereitgestellt.

Geschäftskontinuität und Notfallwiederherstellung

• BC/DR-Programm: Richtlinien und Tests wie definiert in BC/DR-Richtlinie.
• Backups und Wiederherstellung: Regelmäßige Backups und Wiederherstellungsübungen, um Verfügbarkeits- und Integritätsziele zu erreichen.

Ausrichtung an den Trust Services Criteria (TSC)

Sicherheit (Common Criteria)

• Logische Zugriffskontrollen: RBAC, MFA für privilegierten Zugriff, Netzwerksegmentierung.
• Systembetrieb: Überwachung, Alarmierung, Schwachstellenmanagement, Schutz vor Missbrauch.
• Änderungsmanagement: Codeüberprüfungen, automatisierte Sicherheitsvalidierung pro Commit, Release-Genehmigungen.

Verfügbarkeit

• Hochverfügbare Clustering- und Failover-Optionen (vor Ort/in der Cloud).
• SLA für Support und Reaktionszeiten; Kapazitäts- und Integritätsüberwachung.
• BC/DR-Pläne mit Backup- und Wiederherstellungstests.

Vertraulichkeit

• Verschlüsselung während der Übertragung (TLS 1.3) und im Ruhezustand (unterstützte Umgebungen); Anleitung zur Schlüsselverwaltung.
• Datentrennungspraktiken gemäß Datenschutzrichtlinie; Zugriff mit geringsten Berechtigungen.
• Sichere Konfigurations-Baselines und Geheimhaltung.

Verarbeitungsintegrität

• Automatisierte Pipeline-Tests (funktional, Regression), um eine genaue und autorisierte Verarbeitung sicherzustellen.
• Konfigurationsvalidierung und Änderungsverfolgung; Integritätsprüfungen bei Releases.
• Definierte SLAs zur Behebung von Mängeln, die die Richtigkeit beeinträchtigen.

Datenschutz

• Datenverarbeitungsvereinbarung und globale Datenschutzkontrollen (siehe DPA und Datenschutzrichtlinie).
• Datenminimierung und Aufbewahrungsoptionen für Protokolle/Telemetrie.
• Eigentum und Kontrolle des Kunden über Datenflüsse und -exporte.

Schlusserklärung

RELIANOID engagiert sich dafür, Organisationen dabei zu unterstützen, die SOC 2 Trust Services-Kriterien durch Integration robuste Sicherheitsmaßnahmen, Strategien zur operativen Belastbarkeit und Compliance-orientierte Best Practices in unsere Lastausgleichslösungen.

Dokumentenprüfungen

Kontakt und Versicherung

Wir freuen uns über Anfragen nach detaillierter Sicherheitsdokumentation, Risikomatrizen oder Compliance-Offenlegungen.

Kontaktieren Sie unser Compliance- und Sicherheitsteam

Aktuellen Sicherheitsbericht herunterladen