Jetzt starten  Sales-Team kontaktieren 

Payments

Umsatz

Geldmanagement

Plattformen und Marktplätze

Nach Phase
Nach Use Case
Nach Branche
Dokumentation
Leitfäden
Ressourcen
Wissenswertes
Support
Unternehmen
Jetzt starten  Sales-Team kontaktieren 

Anforderungen an die SaaS-Compliance und wie Unternehmen sie erfüllen

Identity
Identity

Mit Stripe Identity verifizieren Sie Nutzeridentitäten ohne großen Aufwand. So schützen Sie sich nicht nur vor Betrugsversuchen, sondern vereinfachen auch den Anmeldevorgang.

Mehr erfahren 
  1. Einführung
  2. Was ist SaaS-Compliance?
  3. Was ist erforderlich, um gängige SaaS-Compliance-Standards zu erfüllen?
  4. Warum ist SaaS-Compliance für Unternehmen wichtig, die Cloud-Software entwickeln oder nutzen?
    1. Die Sicherheitserwartungen sind höher denn je
    2. Compliance stärkt das Kundenvertrauen
    3. Ein starker Status macht Sie wettbewerbsfähig
    4. Compliance schützt die Geschäftskontinuität
  5. Wie unterstützen Organisationen die Compliance durch Sicherheit, Datenschutz und Zugriffsverwaltung?
    1. Kontrollieren Sie den Zugriff streng
    2. Schützen Sie Daten überall
    3. Unterstützen Sie die Resilienz durch Überwachung
    4. Stärken Sie Systeme durch Menschen
  6. Vor welchen Herausforderungen stehen SaaS-Teams beim Beantragen von Compliance-Zertifizierungen?
  7. Wie sollten Unternehmen SaaS-Anbieter bewerten?
  8. So kann Stripe Identity Sie unterstützen
  9. Jetzt mit Stripe starten 

Bei der Compliance im Zusammenhang mit Software-as-a-Service (SaaS) geht es vor allem darum, wie Unternehmen die Cloud-Sicherheit und den Datenschutz verwalten. Das Einhalten von Compliance-Regeln ist ein klares Ziel mit komplexer Ausführung. Jedes neue SaaS-Tool, das ein Unternehmen in seinen Stack aufnimmt, wirft vor dem Hintergrund sich verändernder Vorschriften und Sicherheitsstandards Fragen zu Risiken und Rechenschaftspflicht auf.

Im Folgenden erfahren Sie mehr über die Anforderungen an die SaaS-Compliance, wie sie sich am besten erfüllen lassen und wie Sie SaaS-Anbieter für Ihr Unternehmen bewerten.

Worum geht es in diesem Artikel?

  • Was ist SaaS-Compliance?
  • Was ist erforderlich, um gängige SaaS-Compliance-Standards zu erfüllen?
  • Warum ist SaaS-Compliance für Unternehmen wichtig, die Cloud-Software entwickeln oder nutzen?
  • Wie unterstützen Organisationen die Compliance durch Sicherheit, Datenschutz und Zugriffsverwaltung?
  • Vor welchen Herausforderungen stehen SaaS-Teams beim Beantragen von Compliance-Zertifizierungen?
  • Wie sollten Unternehmen SaaS-Anbieter bewerten?
  • So kann Stripe Identity Sie unterstützen

Was ist SaaS-Compliance?

SaaS-Compliance ist die kontinuierliche Arbeit, die sicherstellt, dass ein cloudbasiertes Produkt die geltenden Daten- und Sicherheitsregeln einhält. Die spezifischen Anforderungen variieren je nach Region oder Branche, aber alle Produkte müssen persönliche Daten schützen, Verstößen vorbeugen und im Hinblick auf die Datennutzung transparent sein.

Zu den derzeitigen Compliance-Rahmen gehören die DSGVO der EU, der HIPAA der USA, der kalifornische CCPA und Sicherheitsstandards wie System and Organization Controls (SOC 2) oder International Standards Organization (ISO) 27001.

Sie alle verlangen von Unternehmen, ihr Wissen zu folgenden Punkten nachzuweisen:

  • Welche Daten sie einziehen

  • Wie sie Daten speichern

  • Wer auf Daten zugreifen kann

  • Wie sie Daten vor Missbrauch oder unbefugtem Zugriff schützen

Was ist erforderlich, um gängige SaaS-Compliance-Standards zu erfüllen?

Alle SaaS-Compliance-Standards verlangen einen Nachweis, dass ein Unternehmen seine Daten kennt, sicher verwahrt und einheitliche Zugriffsrichtlinien einhält. Diesen Nachweis erbringen Unternehmen in der Regel mit einer Kombination aus Richtlinien, Dokumentation und Beweisen, dass sie ihre eigenen Regeln einhalten.

Hier sind einige konkrete Compliance-Standards und ihre jeweiligen Anforderungen:

  • Datenschutzgesetze: Vorschriften wie die DSGVO und der CCPA verlangen von Unternehmen einen präzisen Umgang mit personenbezogenen Daten. Sie erfordern Datenschutzhinweise, eine klare Einwilligung, Aufbewahrungsregeln und Workflows zur Einhaltung der Rechte auf Zugriff und Löschung. Wenn Daten vertraulich sind (z. B. Gesundheitsinformationen nach dem HIPAA), müssen Organisationen den Zugriff darauf einschränken, Prüfprotokolle führen, formelle Risikoanalysen durchführen und Verstöße schnell melden.

  • Sicherheitsrahmen: Sicherheitsstandards verlangen von Unternehmen Belege für die Art und Weise, wie sie Risikomanagement, Zugriffskontrolle und Verschlüsselung handhaben. Der Standard ISO 27001 verlangt ein vollständig dokumentiertes, sich kontinuierlich verbesserndes Informationssicherheitsmanagementsystem (ISMS). SOC 2 legt Standards für Prüfungen fest, mit denen bewertet werden soll, ob Kontrollmechanismen in der Praxis langfristig funktionieren. PCI DSS ist ein Standard, der spezifischere Regeln für den Umgang mit Zahlungskartendaten hinzufügt.

  • Branchenspezifische und regionale Regeln: Standards für die Finanzberichterstattung wie Accounting Standards Codification 606 (ASC 606) und International Financial Reporting Standards 15 (IFRS) regeln, wie SaaS-Unternehmen den Umsatz aus Abos realisieren. In regulierten Märkten oder im öffentlichen Sektor tätige Unternehmen, benötigen möglicherweise SOC 1-Berichte, eine Autorisierung des Federal Risk and Authorization Management Program (FedRAMP) oder strenge, an lokale Gesetze gebundene Verpflichtungen zur Datenresidenz.

Warum ist SaaS-Compliance für Unternehmen wichtig, die Cloud-Software entwickeln oder nutzen?

SaaS-Compliance macht Cloud-Produkte vertrauenswürdiger, robuster und besser skalierbar. Sie wirkt sich auf jede Ebene aus, von der täglichen Sicherheit bis hin zu langfristigen Kundenbeziehungen. Aus folgenden Gründen ist sie wichtig.

Die Sicherheitserwartungen sind höher denn je

An die Handhabung personenbezogener Daten durch Unternehmen stellen die Aufsichtsbehörden hohe Anforderungen. Gesetze wie die DSGVO und der CCPA verlangen strenge Kontrollen des Erfassens, Speicherns und Weitergebens von Informationen. Europäische Aufsichtsbehörden haben Strafen in Milliardenhöhe für unzulässige Datenübertragung verhängt.

Compliance stärkt das Kundenvertrauen

Kundinnen und Kunden erwarten oft einen Nachweis darüber, dass sich ein SaaS-Anbieter auf Sicherheit versteht. Zertifizierungen wie SOC 2 oder ISO 27001 zeigen, dass die Kontrollmechanismen eines Anbieters unabhängig geprüft wurden. Stripe unterzieht sich beispielsweise SOC 1- und SOC 2-Typ-II-Audits und veröffentlicht einen SOC 3-Bericht, den jeder lesen kann.

Ein starker Status macht Sie wettbewerbsfähig

Wer seine Hausaufgaben in Sachen Compliance erledigt hat, kann Beschaffungspipelines viel schneller durchlaufen. Kunden verlangen oft schon zu Beginn des Bewertungsprozesses einen Nachweis bestimmter Standards. Wenn Sie alles bereit haben, kann Ihnen das einen Platz ganz vorne in der Schlange einbringen.

Compliance schützt die Geschäftskontinuität

Starke Compliance schafft Stabilität. Unternehmen mit gutem Risikomanagement vergeuden weniger Zeit mit dem Bearbeiten von Vorfällen und haben mehr Zeit, um ihre Produkte zu verbessern.

Wie unterstützen Organisationen die Compliance durch Sicherheit, Datenschutz und Zugriffsverwaltung?

Unternehmen können die Compliance aufrechterhalten, indem sie die Sicherheit in ihre Systeme integrieren. Gemeint damit ist das Integrieren von einheitlichen Gewohnheiten und Transparenz in die Art und Weise, wie Daten bewegt werden. Im Folgenden erfahren Sie, wie das funktioniert.

Kontrollieren Sie den Zugriff streng

In konformen Unternehmen kommen nur bestimmte Personen an sensible Systeme und Daten heran. Rollenbasierter Zugriff, einmalige Anmeldung und Multi-Faktor-Authentifizierung halten Konten gesperrt, während das Prinzip der geringsten Rechte nur dann Zugriff gewährt, wenn er wirklich nötig ist. Automatisierte Bereitstellung und Aufhebung der Bereitstellung helfen, vergessene Konten zu beseitigen. Die durch diese Prozesse erstellten Prüfpfade sind für die Einhaltung gängiger Standards wie SOC 2, ISO 27001, HIPAA und DSGVO unerlässlich.

Schützen Sie Daten überall

Compliance-Rahmen verlangen Verschlüsselung, weil sie davon ausgehen, dass Angreifer/innen Daten abfangen oder darauf zugreifen können. Sensible Informationen werden im gesamten System verschlüsselt. Datenschutzgesetze fügen eine weitere Ebene hinzu. Organisationen müssen wissen, welche personenbezogenen Daten sie erfassen, wie lange sie sie speichern und wie die Daten interne und externe Systeme durchlaufen.

Unterstützen Sie die Resilienz durch Überwachung

Starke Compliance-Programme sind auf laufende Überwachung angewiesen. Unternehmen verfolgen Anmeldungen, administrative Aktionen und Konfigurationsänderungen. Warnungen zeigen ungewöhnliches Verhalten an. Wenn etwas versagt, gibt es einen Plan für die Untersuchung und die Benachrichtigung von Aufsichtsbehörden und Kundschaft.

Stärken Sie Systeme durch Menschen

Das Überprüfen von Richtlinien, Sicherheitsschulungen und Hintergrundüberprüfungen sorgen für hohe Standards. Die Dokumentation zeigt, dass die Organisation ihre eigenen Regeln befolgt. In der Folge verfestigen sich gute Gewohnheiten Jahr für Jahr. Eine solche Sicherheitskultur möchten Prüfer/innen sehen. Sie trägt dazu bei, dass technische Kontrollmechanismen wie vorgesehen funktionieren.

Vor welchen Herausforderungen stehen SaaS-Teams beim Beantragen von Compliance-Zertifizierungen?

SaaS-Teams stehen vor rechtlichen, sicherheitstechnischen und kulturellen Herausforderungen. Sie müssen Systeme entwickeln, die mit einem Flickenteppich aus schwierigen und sich ständig ändernden Anforderungen zurechtkommen.

Hier sind einige der schwierigsten Aspekte:

  • Vorschriften überschneiden sich: Ein Unternehmen, das Daten aus mehreren Ländern verarbeitet, muss möglicherweise gleichzeitig die Anforderungen von DSGVO, CCPA und HIPAA und noch weitere Verpflichtungen erfüllen, alle mit jeweils eigenen Erwartungen und Durchsetzungsmustern. Und das gilt zusätzlich zu regionalen Anforderungen und situativen Sicherheitsstandards.

  • Regeln ändern sich schnell: Die Sicherheitslandschaft verändert sich ständig. Datenschutzgesetze entwickeln sich weiter, Sicherheitsrahmen werden aktualisiert und Aufsichtsbehörden reagieren auf neue Risiken mit geänderten Richtlinien. Teams müssen diese Dynamik beobachten entsprechende Anpassungen vornehmen, ansonsten riskieren sie Compliance-Abweichungen.

  • Ressourcen sind knapp: Zertifizierungen erfordern Tools und Dokumentation. Für jährliche oder laufende Audits müssen Teams wiederholt Beweise vorlegen. Das alles kostet Zeit und Geld. Selbst mit Automatisierung kann es wie ein nie enden wollender Kreislauf erscheinen.

  • Kultur und Prozess müssen synchron bleiben: Die Einführung neuer Kontrollen, das Eingrenzen von Berechtigungen oder das Hinzufügen von Prüfschritten kann auf internen Widerstand stoßen, insbesondere wenn es bereits zu Ermüdung gekommen ist.

Wie sollten Unternehmen SaaS-Anbieter bewerten?

Die Entscheidung für einen SaaS-Anbieter ist gleichzeitig die Entscheidung für einen Sicherheitspartner. Dieser Partner muss nachweisen, dass er die Compliance ernst nimmt.

Achten Sie auf Folgendes:

  • Zertifizierungen und Prüfungen: Suchen Sie nach SOC 2- oder ISO 27001-Berichten und der PCI DSS-Validierung für alle Dienstleistungen, die mit Zahlungsdaten zu tun haben. Seriöse Anbieter können aktuelle Berichte freigeben. Einige veröffentlichen für verbesserte Sichtbarkeit möglicherweise SOC 3-Zusammenfassungen.

  • Sicherheits- und Datenschutzpraktiken: Fragen Sie nach, wie der Anbieter Daten verschlüsselt, den Zugriff verwaltet, Vorfälle bearbeitet und Mitarbeiter/innen schult. Starke Anbieter dokumentieren ihre Kontrollmechanismen und können erläutern, wie sie die Datenschutzgesetze einhalten.

  • Verträge: Prüfen Sie das Service Level Agreement (SLA) des Anbieters, die Konditionen der Datenverarbeitung und die Verpflichtungen zur Meldung von Verstößen. Prüfen Sie, wie er mit den Unterverarbeitern umgeht. Diese Dokumente sollten klären, wer für die Daten verantwortlich ist, wie sie verwendet werden und was passiert, wenn etwas schiefgeht.

  • Produktfunktionen: Das Produkt selbst kann Ihnen zeigen, ob die Governance bei seiner Entwicklung berücksichtigt wurde. Achten Sie auf detaillierte Rollen, Prüfprotokolle und Tools zum Exportieren und Löschen von Daten.

So kann Stripe Identity Sie unterstützen

Stripe Identity ist eine Suite aus Verifizierungstools, mit denen Unternehmen Kundenidentitäten schnell und sicher verifizieren können. So können sie ihren KYC-Verpflichtungen (Know Your Customer) nachkommen.
Stripe Identity kann Ihnen bei Folgendem helfen:

  • Kundinnen und Kunden schneller onboarden: Bieten Sie einen nahtlosen, automatisierten Prozess zur Identitätsprüfung, der Reibungsverluste reduziert und die Konversionsrate beim Onboarding erhöht.

  • Betrugsrisiko mindern: Nutzen Sie fortschrittliche Betrugserkennungsfunktionen, um böswillige Akteurinnen und Akteure am Erstellen von Konten oder Durchführen betrügerischer Transaktionen zu hindern.

  • Verbessern der betrieblichen Effizienz: Sie müssen Identitäten nicht mehr manuell verifizieren. Das verringert den Zeit- und Ressourcenaufwand, den das Onboarding neuer Kundinnen und Kunden erfordert.

  • Konfigurieren der Erfahrung: Integrieren Sie Identity ganz einfach in Ihre bestehende Nutzererfahrung und konfigurieren Sie Ihre Verifizierungsmethoden und Ausweichmöglichkeiten.

  • Sicher skalieren: Die robuste Infrastruktur von Stripe Identity kann große Mengen an Verifizierungsanfragen bewältigen, wenn Ihr Unternehmen wächst – ohne zusätzlichen Betriebsaufwand.

Erfahren Sie mehr darüber, wie Identity Ihnen beim sicheren und einfachen Onboarding von Kundinnen und Kunden helfen kann, oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Identity

Identity

Mit Stripe Identity verifizieren Sie Nutzeridentitäten ohne großen Aufwand. So schützen Sie sich nicht nur vor Betrugsversuchen, sondern vereinfachen auch den Anmeldevorgang.

Dokumentation zu Identity

Erfahren Sie, wie einfach die Identitätsprüfung mit Stripe Identity funktioniert.
Proxying: stripe.com/de-ch/resources/more/saas-compliance-requirements-and-how-companies-meet-them