Datenschutz und Qualität stehen bei uns im Fokus: FAQ zu ISAE 3000 und ISAE 3402

ISAE steht für International Standard on Assurance Engagements. ISAE-Berichte werden von unabhängigen Wirtschaftsprüfern ausgestellt, die die relevanten und vereinbarten Prozesse und Verfahren des Dienstleisters prüfen. 

Der Bericht dokumentiert die Funktionsweise und Wirksamkeit der Systeme und organisatorischen Kontrolle des Dienstleistungsanbieters.

Nein, das Erlangen eines Berichts ist nicht obligatorisch. Ein ISAE-Bericht dient dazu, den Kunden die Sicherheit zu geben, die sie von einem Dienstleistungsanbieter erwarten. Das Erlangen eines Berichts ist das Ergebnis einer Prüfung. 

Ein Dienstleistungsanbieter, der einen ISAE-Bericht vorweisen kann, kann die Vertrauenswürdigkeit der erbrachten Leistungen nachweisen. 

Der Bericht ist ein Qualitätsmerkmal, das beweist, dass ein unabhängiger Wirtschaftsprüfer die vertrauliche Behandlung von Daten mit einem hohen Sicherheitsniveau geprüft hat und bestätigt, dass mögliche Risiken dokumentiert und entsprechend kontrolliert werden. 

Bei TimeLog sind wir fest der Überzeugung, dass wir als Dienstleister die Pflicht haben, unseren Kunden versichern zu können, dass sie bei der Übertragung der Verantwortung für Teile ihres Geschäfts und ihrer Daten an uns keine zusätzlichen Risiken eingehen. Aus diesem Grund arbeiten wir mit einem staatlich zugelassenen Wirtschaftsprüfer zusammen und sind nach ISAE 3000 (DSGVO) und ISAE 3402 geprüft. Das jährliche Erlangen dieser Prüfungsberichte ist ständiges Ziel unserer Compliance- und Informationssicherheitsarbeit. 

Wir sind stolz darauf, die Prüfungsberichte mit unseren Kunden und Interessenten teilen zu können.  

• ISAE 3000-Bericht
  
  
• ISAE 3402 Typ II-Bericht

Die Grundlage für einen ISAE 3000-Bericht kann jede Art von Prüfung sein, die zwischen dem Dienstleistungsunternehmen und einem unabhängigen Prüfer festgelegt wird. Bei TimeLog haben wir uns freiwillig dafür entschieden, unsere Bemühungen, die unsere Arbeit mit Kundendaten betreffen, von einem externen Wirtschaftsprüfer untersuchen zu lassen. 

Wir wollen Transparenz schaffen und zeigen, dass wir die Bestimmungen der Datenschutz-Grundverordnung einhalten. Dies ist für uns als Datenverarbeiter von entscheidender Bedeutung. 

Mit unserem ISAE 3000-Bericht können wir die operative Wirksamkeit unserer internen Prozesse und Kontrollen dokumentieren, da ein unabhängiger Prüfer unsere DSGVO-Konformität sowohl innerhalb der Organisation als auch in unseren externen Beziehungen bestätigt hat. 

Als Verantwortlicher für die Verarbeitung Ihrer Daten haben Sie die Gewissheit, dass ein Wirtschaftsprüfer unsere Prozesse im Zusammenhang mit der Verarbeitung Ihrer Daten geprüft hat und dass diese mit dem geltenden Recht übereinstimmen. 

ISAE 3402 ist ein international anerkannter Prüfungsstandard, der die Sicherheit und Wirksamkeit der Kontrollsysteme von Dienstleistungsunternehmen in Bezug auf alle Geschäftsprozesse in der IT-Landschaft des Unternehmens bestätigt. 

Eine Prüfung gemäß ISAE 3402 kann folgende Prüfungsbereiche umfassen, ist aber nicht darauf beschränkt: 

• Organisation und Management 
• IT-Sicherheitsrichtlinie 
• IT-Strategie 
• Risikomanagement 
• Benutzerzugang 
• Netzwerk-Sicherheit 
• Entwicklung und Wartung der Systeme 
• Notfall- und Krisenpläne 
  
  

Bei TimeLog möchten wir gewährleisten können, dass unsere IT-Infrastruktur das höchste Niveau an Sicherheit, Vertraulichkeit und Verfügbarkeit aufweist. Deshalb haben wir uns freiwillig dafür entschieden, unsere Richtlinien, Prozesse und Dokumentation von einem externen Wirtschaftsprüfer kontrollieren zu lassen. 

Das Ergebnis beweist die Qualität und Zuverlässigkeit gegenüber unseren Kunden und zeigt gleichzeitig, dass wir unsere Arbeit kontinuierlich prüfen, um sie zu verbessern und unseren Kunden die höchstmögliche Qualität zu gewährleisten. 

TimeLog hat erfolgreich die Klassifizierung nach ISAE 3402 Typ II erreicht.

Der ISAE 3402-Bericht kann als Typ-I- oder Typ-II-Bericht ausgestellt werden. 

• Typ I deckt einen bestimmten Zeitraum ab, in dem der Prüfer beurteilt, ob die Beschreibung des Kontrollsystems durch das Dienstleistungsunternehmen angemessen und geeignet ist, um die Kontrollziele zu erreichen. 
• Typ II umfasst die Beschreibung der durchgeführten Kontrollen und umfasst einen detaillierten Test der Wirksamkeit der entsprechenden Ergebnisse. Die Tests erstrecken sich über einen Zeitraum von sechs bis zwölf Monaten. 

• ISO 2700X-Zertifizierungen galten früher als Maßstab für Informationssicherheit. Da sich die Bedrohungslage jedoch ständig ändert, wird es für Unternehmen immer wichtiger, ein höheres Sicherheitsniveau in allen Bereichen zu erreichen. 
• ISO 27001 konzentriert sich nur auf die Gestaltung der Kontrollen. 
• ISO 27001 bietet Richtlinien für den Implementierungsprozess. 
• ISAE-Berichte basieren auf ISO-Kontrollen und bieten zusätzlich die Möglichkeit, die operative Wirksamkeit der Kontrollen über einen bestimmten Zeitraum zu testen. 
• Ein ISAE-Bericht ist eine formelle Bestätigung und ist daher eine größere Sicherheit für Kunden, die wissen wollen, ob die internen Prozesse ihres Dienstleisters umfassendere Bereiche abdecken. 

Die Daten unserer Kunden, Geschäftspartner und Mitarbeiter gehören zu den wertvollsten Daten in TimeLog. Deshalb haben wir uns entschieden, dass unsere Kunden einen Bericht eines unabhängigen Wirtschaftsprüfers erhalten, der aufzeigt, wie wir mit personenbezogenen Daten umgehen und bestätigt, dass wir die DSGVO einhalten (ISAE 3000-Bericht). 

Unsere Kunden sollen sich zudem sicher sein können, dass unsere IT-Landschaft ausgereift genug ist, um die Anforderungen an Dienstleistungsanbieter zu erfüllen, was wir im ISAE 3402-Bericht dokumentieren können. 

• Wir übernehmen die Verantwortung für den jederzeitigen Schutz Ihrer Daten. Dies ist in unseren Berichten ISAE 3000 und ISAE 3402 dokumentiert. 
• Wir sind der Meinung, dass unsere Kunden Transparenz in Bezug auf Qualität und Zuverlässigkeit erhalten sollten. 
• Unsere Kunden können die ISAE-Berichte an ihren eigenen Wirtschaftsprüfer weitergeben, damit sie bei ihrer Prüfung keine oder eine geringere Anzahl Tests zusätzlich zu unseren Kontrollen durchführen müssen.