< Compliance
CenturyLink Cloud's data centers comply with SOC 2 Report

CenturyLink and SOC 2 Report

The Service Organization Controls 2 (SOC 2) report is intended to support a board range of customers and provides assurance related to the service organization's controls supporting achievement of the American Institute Certified Public Accountants (AICPA's) Trust Services Categories - Security, Availability and Confidentiality (as applicable). CenturyLink (the "service organization") undergoes annual Type 2 SOC 2 assessments.

SOC 2 Reports are intended to meet the needs of a broad range of users that need information and assurance of the controls at a service organization using the five categories (as applicable). SOC 2 reports are an alternative to SOC 1 examinations which may only opine on service organization's controls that are likely to be relevant to user entities' internal controls over financial reporting.

There are two types of SOC 2 reports:

Typ 1

Bericht über die Beschreibung eines Systems eines Serviceunternehmens durch das Management und die Angemessenheit der Gestaltung von Kontrollmechanismen. Der Einsatz derartiger Berichte ist für gewöhnlich begrenzt.

Typ 2

Bericht über die Beschreibung eines Systems eines Serviceunternehmens durch das Management und die Angemessenheit der Gestaltung und Effektivität im Einsatz von Kontrollmechanismen. Use of these reports is generally restricted..

SOC 2 Categories

SOC 2 Reports address one or more of the following five categories:

  • Security — The system is protected against unauthorized access (both physical and logical)
  • Availability — The system is available for operation and use as committed or agreed
  • Processing Integrity — System processing is complete, accurate, timely and authorized
  • Confidentiality — Information designated as confidential is protected as committed or agreed
  • Privacy — Personal information is collected, used, retained, disclosed and disposed of in conformity with the commitments in the entity’s privacy notice, and with criteria set forth in Generally Accepted Privacy Principles (GAPP) issued by the AICPA and Canadian Institute of Chartered Accountants

Häufig gestellte Fragen

Was ist der Unterschied zwischen einem SOC-1, SOC-2- und SOC-3-Bericht?

SOC 1 provides customers assurance of controls at the service organization relevant to customers’ internal control over financial reporting.

SOC 2 provides customers assurance of controls at the service organization relevant to the achievement of the AICPA Trust Services Categories and related criteria. The AICPA Trust Services Categories include Security, Availability, Confidentiality, Processing Integrity, and Privacy.

SOC 3 is a general-use report based on the AICPA's Trust Services Categories and related criteria. A SOC 3 report can be made publicly available as it does not contain all of the details of the SOC 2 report.

Wo liegt der Unterschied zweichen einem Bericht des Typs 1 und Typs 2?

A Type 1 report describes the service organization’s controls as of the specified report date (point in time). Dieser Bericht untersucht insbesondere die Gestaltung der Kontrollmechanismen auf Erfüllen der Kontrollziele hin. It includes the service auditor’s opinion, management’s assertion, and the description of the system, including the controls specified by the service organization to meet the intended control objectives (SOC 1) or Trust Services Criteria (SOC 2)

A Type 2 report focuses on both the design and operating effectiveness of controls throughout the specified review period (recommended as a minimum of six months or greater). Type 2 reports include all of the information in a Type 1 report along with the testing performed by the service auditor and corresponding test results for each control activity.

Welche Unternehmen benötigen einen SOC-Bericht?

Jedes Serviceunternehmen, das eine unabhängige Bewertung der Kontrollmechanismen bezüglich der Weiterleitung, Bearbeitung oder Speicherung von Kundendaten braucht, kann einen SOC-Bericht benötigen. Additionally, as a result of various legislative requirements, like the Sarbanes-Oxley Act, as well as increased scrutiny over third-party controls, clients are increasingly requiring SOC reports from their service organizations.

Kann ein SOC 2 ein SOC 1 ersetzen?

Nein. Der erste Abschnitt des Standards SSAE 16 besagt, dass der Zweck eines SOC-1-Berichts die Berichterstattung zu Kontrollmechansimen von Unternehmen ist, die Nutzereinheiten Services bereitstellen, wenn diese Kontrollmechanismen für die interne Kontrolle über die finanzielle Berichterstattung der Nutzereinheiten relevant sein könnte. Abschnitt 1.10 des SOC-2-Leitfadens besagt, dass es der Zweck eines SOC 2 ist, über die Krontrollmechanismen eines Serviceunternehmens zu berichten, die nicht ausschließlich für die interne Kontrolle über die finanzielle Berichterstattung der Nutzereinheit relevant sind. Die zweckgerichtete „Giftpille“ bestätigt, dass Hosting Provider SOC-2-Prüfungen nicht als Ersatz für SOC-1-Prüfungen einsetzen dürfen.

Standorte der Rechenzentren
  • Chicago, IL (IL1)
  • Frankfurt, Germany (DE1, DE3)
  • Ireland (AWS EU West-Ireland)
  • London, United Kingdom (AWS EU West-London)
  • Porstmouth, United Kingdom (GB1)
  • Oregon (AWS West-Oregon)
  • Santa Clara, CA (UC1)
  • Seattle, WA (WA1)
  • Secaucus, NJ (NY1)
  • Singapore (SG1, AWS AP West-Singapore)
  • Slough, United Kingdom (GB3)
  • Sydney, Australia (AU1, AWS AP West-Sydney)
  • Sterling, VA (VA1)
  • Toronto, Canada (CA2, CA3)
  • Vancouver, Canada (CA1)
  • Virginia (AWS East-NoVa)

Verwandte Produkte

Cloud-Server

Eine Hybrid-bereite Public Cloud bietet die Agilität, Skalierbarkeit und Sicherheit, die man von einer Cloud der Enterprise-Klasse erwarten kann, die von einem branchenführenden, globalen Netzwerk unterstützt wird.

Managed Services

Für Wartung und Verwaltung Ihrer Cloud-Bereitstellungen steht jederzeit Fachpersonal zur Verfügung. Schnelles Bereitstellen, stundengenaue Abrechnung und hochgradige Automatisierung.

Managed Security

Ein umfassendes Angebot an Gefahrenabwehr, Gefahrenmanagement, Reaktion auf Störfälle und Analyse-Services, das Ihre gehostete oder am Standort installierte Unternehmenssicherheitsumgebung unterstützt.

Managed Hosting

Aufrechterhaltung einer komplexen IT-Infrastruktur und Anwendungen mit unserem umfassenden Portfolio an Managed Hosting-Services, einschließlich vollständig verwaltete Netzwerke, Server Speicher, Betriebssysteme und Sicherheit.

Managed Storage und Backups

Bietet eine Auswahl an Speicheroptionen, einschließlich Datenreplikation und Backups/Archivierung. Die Lösungen von CenturyLinks sind sicher, erschwinglich und können eine Ausfallsicherheit von bis zu 99,999 % gewährleisten.