NEWLesen
Trust · SOC 2

SOC 2 bei CodeCourier.

Wir behandeln SOC 2 so, wie unsere Kunden es tun: als verbindliches Versprechen darüber, wie wir bauen, betreiben und auditieren. Type-I-Controls sind heute gemappt; das Type-II-Observation-Window läuft mit einer unabhängigen CPA-Kanzlei.

Report anfordernZur Security-Seite

Reports und Bridge Letters geben wir unter beidseitigem NDA heraus. Wir antworten innerhalb eines Werktags.

certificate · soc 2In progress · Type II
CODECOURIER
Engagement-Status
AuditorUnabhängige CPA-Kanzlei · Offenlegung unter NDA
Observation Window12 Monate, rollierend
Zuletzt aktualisiertQ2 - laufender Zyklus
Hintergrund

Was SOC 2 tatsächlich bedeutet.

Eine kurze Einordnung für Security-Teams, die den Standard schon kennen - und eine kompakte Tour für alle anderen.

01

SOC 2 ist ein Attestierungs-Framework des AICPA. Unabhängige CPA-Kanzleien stellen Reports aus, die beschreiben, wie eine Dienstleistungsorganisation Controls für ein oder mehrere Trust Service Criteria gestaltet und betreibt.

02

Ein SOC 2 Type I Report ist eine Momentaufnahme: Er bestätigt, dass Controls zu einem Stichtag korrekt designt waren. Ein SOC 2 Type II Report deckt ein durchgehendes Observation Window (typischerweise 6 bis 12 Monate) ab und prüft, ob diese Controls tatsächlich wie vorgesehen funktioniert haben.

03

Scope, Kriterien und Report werden vorab vereinbart. Kunden erhalten den Report unter NDA. Ein Bridge Letter überbrückt die Lücke zwischen zwei aufeinanderfolgenden Type-II-Windows, damit Procurement-Teams ohne Unterbrechung arbeiten können.

type i · type ii
SOC 2 Type Ipoint-in-time

Point-in-time. Bestätigt das Control-Design zu einem definierten Stichtag. Nützlich als früher Proof Point, bevor das Type-II-Window reift.

SOC 2 Type II12-month

Durchgehend. Prüft die Wirksamkeit der Controls über ein Fenster von 6 bis 12 Monaten. Der Artefakttyp, den die meisten Enterprise-Käufer verlangen.

Trust Service Criteria

Alle fünf TSCs, auf konkrete Controls abgebildet.

Security ist für jeden SOC-2-Report verpflichtend. Wir beziehen die vier zusätzlichen Kriterien mit ein, weil unsere Kunden Code ausliefern, Daten speichern und regulierte Branchen bedienen.

Implemented

Security

Schutz von Systemen und Daten vor unbefugtem Zugriff, Offenlegung und Beschädigung.

  • Zero-Trust-Netzwerk mit kurzlebigen Tokens
  • SSO (SAML / OIDC) mit erzwungener MFA
  • RBAC, unveränderliche Audit-Logs, exportierbar
  • Kontinuierliches Vulnerability-Scanning
Implemented

Availability

Den Dienst gemäß den Zusagen verfügbar machen und betreiben.

  • Multi-Region-Failover, aktives Standby
  • Uptime-SLA-Ziel von 99,95 %
  • Kontinuierliche Health Checks und synthetische Probes
  • Automatisches Rollback bei Deploy-Regressionen
In progress

Processing Integrity

Daten vollständig, korrekt, rechtzeitig und autorisiert verarbeiten.

  • Idempotente Job-Ausführung pro Agent-Run
  • Signierte Payloads zwischen internen Services
  • Versionierte Schemas mit Rückwärtskompatibilität
  • End-to-End-Abgleich auf kritischen Pfaden
Implemented

Confidentiality

Als vertraulich eingestufte Informationen gemäß Vereinbarung schützen.

  • TLS 1.3 in transit, AES-256 at rest
  • Customer-Managed Keys (BYOK) im Enterprise-Tarif
  • Need-to-know-Zugriffe mit Quartalsreview
  • Datenklassifizierung und Labelling durchgesetzt
In progress

Privacy

Personenbezogene Daten gemäß Zusagen erheben, nutzen, speichern, offenlegen und löschen.

  • GDPR-konforme Rechtsgrundlage je Zweck
  • DPA verfügbar; Subprocessor-Liste veröffentlicht
  • Kryptografische Löschung innerhalb von 30 Tagen
  • Right-to-access- und Right-to-delete-Flows
Scope

Was das Audit abdeckt - und was nicht.

Scope-Entscheidungen sind im Engagement Letter dokumentiert. Wir machen sie explizit, damit Käufer den Report gegen die eigene Risikobewertung abgleichen können.

Im Engagement enthaltenIn scope
  • Produktivanwendung und APIs für Kunden-Workloads
  • Kunden-Datenspeicher, Backups und Key-Management-Systeme
  • Mitarbeiter-Zugangssysteme und Identity-Provider-Integration
  • Sandbox-Runtime, Orchestrator und Isolationsgrenze pro Agent
  • Observability-Stack, Audit-Log-Pipeline und SIEM
  • Subprozessoren, die Kundendaten in unserem Auftrag verarbeiten
Außerhalb des EngagementsOut of scope
  • Marketing-Website und nicht-authentifizierte öffentliche Seiten
  • Sales-CRM und interne Go-to-Market-Tools
  • Interne F&E-Umgebungen, die keine Kundendaten verarbeiten
  • Kundenseitige Integrationen, die außerhalb unserer Grenze betrieben werden
Kadenz

Unsere Audit-Kadenz.

Vom Readiness Assessment bis zum kontinuierlichen Monitoring. Jeder Meilenstein hat eine verantwortliche Person, ein Austrittskriterium und ein Kunden-Artefakt.

Q1
Readiness Assessment
Q2
Gap-Remediation
Q3
Type-I-Report
Q3
Type-II-Window öffnet
Q3 + 1 J.
Type-II-Report
Laufend
Kontinuierliches Monitoring
Controls

Inventory-Snapshot.

Ein Blick auf die Control-Kategorien, durch die ein Auditor läuft. Die vollständige Controls-Matrix wird mit dem Report ausgeliefert.

Access Management

Wer darf was auf welchem System und für wie lange. Provisioniert und de-provisioniert über den Identity Provider.

  • SSO + MFA
  • Quartals-Access-Review
  • JIT-Elevation
  • Session-Timeouts

Change Management

Jede Änderung an Produktionscode, Infrastruktur oder Konfiguration wird reviewed, freigegeben und auf den Autor zurückverfolgbar gemacht.

  • Pflicht-Code-Review
  • Signierte Artefakte
  • Staged Rollouts
  • Automatisches Rollback

Risk Management

Wir pflegen ein lebendes Risikoregister, das an die Controls gebunden ist. Wesentliche Risiken haben Owner, Maßnahmen und Review-Termine.

  • Jährliches Risk-Assessment
  • Monatlicher Register-Review
  • Threat Modeling pro Feature
  • Reporting auf Board-Ebene

Vendor Management

Jeder Subprozessor wird vor dem Onboarding geprüft und jährlich erneut. Wesentliche Findings werden vertraglich abgesichert.

  • Pre-Onboarding-Review
  • Jährliche Re-Review
  • DPA vorhanden
  • Termination-Playbook

Incident Response

Dokumentierte Severities, Paging-Matrix und Fristen für die Kundenbenachrichtigung. Post-Mortems sind blameless und werden geteilt.

  • Severity-Definitionen
  • On-Call-Rotation
  • Notification-SLA
  • Jährliches Tabletop

Data Lifecycle

Daten werden klassifiziert, verschlüsselt, gemäß Richtlinie aufbewahrt und kryptografisch gelöscht, wenn ihr Zweck endet.

  • Datenklassifizierung
  • Aufbewahrungspläne
  • Crypto-Erasure
  • Löschzertifikat
Subprozessoren

Wir aktualisieren die Liste, sobald sich der Stack ändert.

Unsere Subprozessor-Liste ist Teil des Trust-Pakets. Wir aktualisieren sie, sobald ein Anbieter, der Kundendaten verarbeitet, hinzukommt oder ausscheidet. Fordern Sie die aktuelle Liste mit dem SOC-2-Report an - oder unabhängig davon.

Subprozessor-Liste anfordern
Anforderung

Bereit, den Report zu prüfen?

Reports, Bridge Letters und das Controls-Mapping versenden wir als ein einziges Trust-Paket. Wir antworten innerhalb eines Werktags.

Type-II-Report

Vollständiger Report nach Abschluss des Observation Windows; in der Zwischenzeit der aktuelle Type-I-Report und Bridge Letter.

Bridge Letter

Überbrückt die Lücken zwischen aufeinanderfolgenden Type-II-Windows, damit Procurement keine Kontinuität verliert.

SIG-Fragebogen

Standardized-Information-Gathering-Antwort, vom Security-Team ausgefüllt und unterzeichnet.

Custom Controls Mapping

Mapping unserer Controls auf ISO 27001, GDPR, HIPAA oder Ihr internes Framework auf Anfrage.

Paket anfordern

Vor der Herausgabe der Artefakte ist ein NDA erforderlich. Wir akzeptieren Ihr NDA oder senden auf Wunsch unser Standard-Mutual-NDA.

SOC 2 FAQ

Häufige Fragen aus dem Procurement.

Wann wird Type II verfügbar sein?
Das Type-II-Observation-Window läuft mit unserer unabhängigen CPA-Kanzlei. Wir erwarten den ersten Type-II-Report am Ende des laufenden 12-Monats-Zyklus. Type I und der aktuelle Bridge Letter sind bereits jetzt unter NDA verfügbar.
Mit welchem Auditor arbeiten Sie?
Wir arbeiten mit einer unabhängigen CPA-Kanzlei mit ausgeprägter SaaS-Praxis zusammen. Den Namen geben wir unter NDA als Teil des Trust-Pakets bekannt - den Auditor öffentlich zu nennen, bevor ein Report ausgestellt ist, ist nicht üblich, und wir halten uns an diese Konvention.
Mappen Sie Controls auf ISO 27001, GDPR oder HIPAA?
Ja. Wir pflegen Mappings unserer Controls auf ISO 27001 Anhang A, GDPR-Verarbeitungsgrundsätze und HIPAA Technical Safeguards. Im Enterprise-Tarif erstellen wir zusätzlich ein Mapping gegen Ihr internes Control-Framework.
Bekomme ich einen Bridge Letter?
Ja. Ein Bridge Letter überbrückt die Lücke zwischen zwei aufeinanderfolgenden Type-II-Observation-Windows und bestätigt, dass die Controls in Betrieb blieben. Wir stellen jährlich einen aus und auf Anfrage auch zwischen den Zyklen.
Sind Subprozessoren in Ihrem SOC 2 abgedeckt?
Subprozessoren, die Kundendaten verarbeiten, sind Teil des Engagements. Unser Auditor prüft Vendor-Due-Diligence-Evidenzen und vertragliche Controls. Die vollständige Subprozessor-Liste, einschließlich juristischer Einheit und Region, wird mit dem Report ausgeliefert.
Wie oft wird der Report aktualisiert?
Der Type-II-Report wird jährlich aktualisiert. Der Bridge Letter wird quartalsweise zwischen den Reports erneuert. Die Controls-Matrix und die Subprozessor-Liste werden kontinuierlich gepflegt und bei wesentlichen Änderungen erneut versendet.
Security bei CodeCourier

Sehen Sie die gesamte Security-Posture im Kontext.

Security-SeiteSecurity-Team kontaktieren
14 Tage kostenlos · keine Kreditkarte

Stellen Sie Ihren ersten KI-Ingenieur ein.
Bis zum Mittag live.

5 Minuten Onboarding. Erster PR innerhalb einer Stunde. Jederzeit kündbar.

Ersten Agenten deployen20-Min-Demo buchen