Wie wichtig es ist, die Kohlenstoffdaten und die Klimastrategie von Unternehmen zu sichern.
Traace ist eine SaaS-Softwareplattform, die es Unternehmen ermöglicht, ihren CO2-Fußabdruck zu messen und Aktionspläne zur Reduzierung des CO2-Fußabdrucks aufzustellen. Auch wenn immer mehr Unternehmen dazu neigen, ihre CSR-Maßnahmen und das Gesamtergebnis ihrer CO2-Bilanz mitzuteilen, sei es aufgrund gesetzlicher Vorschriften oder aus anderen Gründen, bleibt es dabei, dass die Messung des CO2-Fußabdrucks im Allgemeinen auf der Grundlage von manchmal sehr sensiblen Betriebsdaten erfolgt: Einkäufe, Energieausgaben, Reisen der Mitarbeiter, industrielle Prozesse usw. Die meisten Unternehmen sind jedoch nicht in der Lage, ihre CO2-Bilanz mit anderen Unternehmen zu teilen, da sie sich nicht auf ihre eigenen Daten stützen können.
Dies gilt umso mehr, wenn eine CO2-Bilanz nach den strengsten methodologischen Standards für CO2-Bilanzen erstellt wird, wie dies bei Traace der Fall ist .
Da die Erstellung einer CO2-Bilanz nur die notwendige Voraussetzung für die Umsetzung von Maßnahmen zur Emissionsreduzierung ist, verwalten die Kunden von Traace auf der Plattform auch ihre Reduzierungspfade und vor allem die damit verbundenen Aktionspläne zur Dekarbonisierung. Da Traace die Möglichkeit bietet, sowohl die CO2-Auswirkungen als auch die finanziellen Auswirkungen der Reduktionsmaßnahmen detailliert zu modellieren, erfordert dies die Verarbeitung strategischer und somit kritischer Geschäftsdaten für unsere Kunden.
Es ist daher nur natürlich, dass die Kunden von Traace sicherstellen wollen, dass die Daten, die sie uns anvertrauen, angemessen gesichert sind.
Traace entspricht den SOC 2-Sicherheitsstandards.
Seit der Gründung von Traace wenden wir bei der Entwicklung unserer ESG-Software eine Reihe von Grundprinzipien an, die die Implementierung eines sicheren und zuverlässigen Systems gewährleisten. Aber mehr noch als das Produkt selbst muss die gesamte Organisation des Unternehmens darauf abgestimmt sein, dass unser Produkt ein hohes Maß an Sicherheit und Betriebsqualität erfüllt.
Zwar gibt es heute Vorschriften, die eingehalten werden müssen, wie die DSGVO (die Traace selbstverständlich einhält), die den Umgang mit personenbezogenen Daten regeln und deren ordnungsgemäße Verwaltung gewährleisten, doch für unsere Kunden ist es dennoch von entscheidender Bedeutung, dass die ordnungsgemäße Anwendung der besten Sicherheitsprinzipien durch ihre Lieferanten von einer unabhängigen Stelle anerkannt wird.
Daher haben sich Standards entwickelt, um Unternehmen wie Traace auf ihre Fähigkeit zu prüfen und zu bewerten, die besten Praktiken im Bereich der Sicherheit einzuhalten. Einige dieser Standards sind auf einen bestimmten Sektor spezialisiert, wie PCI-DSS für Unternehmen, die Zahlungen abwickeln, andere sind eher allgemein gehalten.
So führte Traace im November 2022 zunächst ein SOC-2-Typ-1-Audit durch, um zubestätigen, dass die Organisation und ihr Produkt die höchsten Sicherheitsanforderungen erfüllen können.
Im Juni 2023 führten wir ein weiteres Audit durch, in einer anspruchsvolleren Version: SOC 2 Typ 2. Der Unterschied von Typ 2 zu Typ 1 besteht darin, dass die Einhaltung unserer Sicherheitsverpflichtungen und Verfahren diesmal über mehrere Monate hinweg und nicht nur zu einem bestimmten Zeitpunkt getestet wurde. Das ist eine noch größere Sicherheitsgarantie. Und in unserem Fall wurden keine Verstöße gegen die Einhaltung unserer Verfahren festgestellt.
Im Allgemeinen kann ein SOC 2-Audit Kriterien bewerten, die in fünf Hauptkategorien zusammengefasst sind:
- Sicherheit: Die technische Infrastruktur muss vor den Risiken, denen sie ausgesetzt sein kann, geschützt werden.
- Verfügbarkeit: Die technische Infrastruktur muss verfügbar bleiben, damit unser Tool für die Kunden zugänglich bleibt.
- Integrität der Verarbeitung: Zu jedem Zeitpunkt müssen die vom System gelieferten Informationen zuverlässig sein.
- Vertraulichkeit: Die Informationen sollten nur autorisiertem Personal zugänglich sein.
- Persönliche Daten: Persönliche Daten müssen in geeigneter Weise verwaltet und gespeichert werden.
Im Rahmen unserer Prüfung lag der Schwerpunkt auf der Sicherheit.
Wie werden die Daten in Traace verarbeitet?
Was bedeutet das in der Praxis für die Daten von Traace-Kunden?
Hier einige Beispiele:
- Die Daten unserer Kunden werden im Ruhezustand und bei der Übertragung verschlüsselt, d. h. wenn die Daten von einem Computer zum anderen wandern.
- Wir haben strenge Regeln für die Verwaltung des Zugriffs auf unsere internen Tools eingeführt.
- Unsere Arbeitsstationen werden regelmäßig aktualisiert, durch Antivirus-, Antimalware- und Firewall-Lösungen geschützt und die Laufwerke sind verschlüsselt.
- Wir führen regelmäßig Penetrationstests und Schwachstellenscans an unserer technischen Infrastruktur durch.
- Alle Mitarbeiterinnen und Mitarbeiter von Traace werden in Sicherheitsfragen geschult, und es werden regelmäßig Phishing-Simulationskampagnen durchgeführt.
- Wir haben Verfahren für den Umgang mit möglichen Vorfällen eingeführt und testen diese regelmäßig.
- Wir haben eine strenge Richtlinie für den Umgang mit unseren Subunternehmern.
Dies sind nur einige Beispiele, aber es ist klar, dass die Einrichtung einer sicheren und zuverlässigen Plattform nicht improvisiert werden kann, sondern Zeit und Investitionen von allen Mitarbeitern von Traace erfordert.
Dies bleibt jedoch entscheidend, um das Vertrauen unserer Kunden zu erhalten, die Erwartungen der Großunternehmen standardmäßig zu erfüllen und in der Lage zu sein, alle unsere Kunden bei ihren Klimastrategien so präzise und ehrgeizig wie möglich zu begleiten.
Die detaillierten Ergebnisse des SOC 2 Typ 2 Audits von Traace sind auf Anfrage per E-Mail erhältlich unter: contact@traace.co.