Skip to content
← Blog
Unternehmen

Unser SOC 2-Weg: Enterprise-Vertrauen für AI-Agent-Governance aufbauen

JieGou hat sein SOC 2 Type II-Audit begonnen. Warum SOC 2 für AI-Agent-Plattformen wichtig ist, was das Audit validiert und was es für Enterprise-Kunden bedeutet, die Agent-Governance evaluieren.

JT
JieGou Team · · 3 Min. Lesezeit

Warum SOC 2 für AI-Agent-Plattformen wichtig ist

Wenn Unternehmen AI-Agent-Plattformen evaluieren, werden Sicherheit und Compliance konsistent als die #1-Anforderung genannt. 75% der Enterprise-Führungskräfte sagen, dass Sicherheit, Compliance und Auditierbarkeit ihre kritischsten Kriterien für Agent-Deployment sind.

SOC 2 Type II ist der Goldstandard, um zu demonstrieren, dass eine SaaS-Plattform die Kontrollen hat, die zum Schutz von Kundendaten nötig sind. Es ist keine Selbsteinschätzung — es ist ein Drittanbieter-Audit, durchgeführt von einer unabhängigen Wirtschaftsprüfungsgesellschaft, das Kontrollen über einen erweiterten Beobachtungszeitraum prüft.

Für AI-Agent-Plattformen im Speziellen validiert SOC 2, dass:

  • Von AI-Agenten verarbeitete Kundendaten geschützt sind
  • Zugriffskontrollen nicht autorisierte Agentenaktionen verhindern
  • Audit-Trails alle Systemaktivitäten erfassen
  • Incident-Response-Verfahren vorhanden sind
  • Change-Management-Kontrollen Plattform-Updates steuern

Was wir auditieren

JieGous SOC 2 Type II-Audit deckt die fünf Trust Service Criteria ab:

1. Sicherheit (Common Criteria)

Die Grundlage von SOC 2. Unsere Sicherheitskontrollen umfassen:

  • AES-256-GCM-Verschlüsselung für BYOK (Bring Your Own Key) API-Schlüssel im Ruhezustand
  • Firebase Authentication mit Session-Cookie-Management
  • 6-Rollen-RBAC (Owner > Admin > Manager > Editor > Viewer) mit 20 granularen Berechtigungen
  • Redis-gestütztes Rate-Limiting auf LLM-Endpunkten (30 Req/Min pro Benutzer)
  • Pro-Anbieter Circuit Breaker für LLM-Resilienz

2. Verfügbarkeit

Plattform-Uptime und Zuverlässigkeitskontrollen:

  • Kubernetes-Deployment auf EKS mit Auto-Scaling
  • Health-Check-Endpunkte mit strukturiertem Monitoring
  • Dead-Letter-Queue für fehlgeschlagene asynchrone Operationen mit kategoriespezifischer Retry-Logik
  • Stalled-Run-Watchdog für Workflow-Ausführungswiederherstellung

3. Verarbeitungsintegrität

Sicherstellung, dass AI-Agent-Ausgaben vollständig, gültig und genau sind:

  • Bakeoff-Testing-Framework mit LLM-as-Judge-Evaluierung
  • Template-Health-CI mit automatisiertem Qualitätsscoring
  • Konvergenzschleifen für iterative Qualitätsverbesserung
  • Multi-Judge-Evaluierung mit statistischer Konfidenz (Kendalls Tau, Spearmans Rho)

4. Vertraulichkeit

Schutz sensibler Geschäftsdaten:

  • Datenspeicherort-Kontrollen mit Pro-Kategorie-Klassifizierung (HIPAA/DSGVO/PCI-DSS/SOX/FedRAMP)
  • BYOK-Verschlüsselung, damit Kunden-API-Schlüssel nie ihre Kontrolle verlassen
  • Abteilungs-Scoped Datenzugriff, der sicherstellt, dass Agenten nur für ihre Abteilung relevante Daten sehen
  • Run-Sichtbarkeitskontrollen mit 4 Scopes: privat, Abteilung, Konto, Gruppe

5. Datenschutz

Praktiken zur Handhabung von Kundendaten:

  • Audit-Logging mit 30 Aktionstypen, Fire-and-Forget
  • Compliance-Timeline für visuelle Governance-Event-Historie
  • Evidenz-Export mit 17 TSC-Kontrollen über 8 Kategorien
  • DSGVO-bereite Datenhandhabung mit konfigurierbaren Aufbewahrungsrichtlinien

Der Audit-Zeitplan

Unser SOC 2 Type II-Audit begann am 5. März 2026 mit einem 12-monatigen Beobachtungszeitraum:

  • März 2026: Service-Zeitraum beginnt, Vanta-Dauermonitoring aktiv
  • Laufend: Kontrollen werden überwacht und Evidenz automatisch gesammelt
  • März 2027: Beobachtungszeitraum endet, Auditbericht erstellt

Wir haben Type II (vs. Type I) gewählt, weil es erfordert zu demonstrieren, dass Kontrollen nicht nur konzipiert sind, sondern über die Zeit effektiv operieren. Ein Type I-Audit ist eine Momentaufnahme. Ein Type II-Audit beweist nachhaltige Compliance — was Enterprise-Kunden tatsächlich brauchen.

Was das für Kunden bedeutet

Für Unternehmen, die JieGou evaluieren:

  1. “SOC 2 Type II — Audit in Arbeit” bedeutet, dass wir uns zur Drittanbieter-Validierung unserer Sicherheitskontrollen verpflichtet haben. Das Audit ist aktiv und wird kontinuierlich überwacht.

  2. Unser Governance-Stack ist die Grundlage für SOC 2. Die 10-Schichten-Governance-Architektur, Audit-Logging, RBAC und Compliance-Kontrollen, die wir für AI-Agent-Governance gebaut haben, sind dieselben Kontrollen, die das SOC 2-Audit validiert.

  3. Evidenz-Export ist bereits verfügbar. Sie müssen nicht auf den Abschluss des Audits warten. JieGous Evidenz-Export deckt 17 TSC-Kontrollen über 8 Kategorien ab — strukturiert für Ihr eigenes Compliance-Team.

Wie JieGou sich vergleicht

Die meisten agent-nativen Plattformen (CrewAI, LangGraph, AutoGen) haben keine SOC 2-Zertifizierung oder laufende Audits. Enterprise-Automatisierungsplattformen (Zapier, Make) haben SOC 2, bieten aber keine agent-spezifischen Governance-Kontrollen. JieGou kombiniert beides: Enterprise-grade Sicherheitszertifizierung mit zweckgebautem AI-Agent-Governance.

Erfahren Sie mehr über JieGous Sicherheit und Compliance:

soc2 security compliance enterprise trust audit vanta

Explore more

📖 AI Governance ⚙️ Enterprise Plan ⚙️ Why JieGou?
Diesen Artikel teilen

Verwandte Artikel

SOC 2 Penetrationstest abgeschlossen: Was das für Unternehmenskunden bedeutet

JieGous SOC 2 Penetrationstest ist abgeschlossen, alle Ergebnisse wurden behoben. Erfahren Sie, was dieser Meilenstein für unsere Sicherheitslage und den Weg zur Type I Zertifizierung bedeutet.

Der Markt hat gesprochen: Governance ist Nr. 1

CrewAIs 2026 State of Agentic AI-Umfrage bestätigt, was JieGou von Anfang an geglaubt hat: Sicherheit und Governance ist die Nr. 1 Enterprise-Priorität für AI-Agent-Plattformen bei 34% der Käufer.

Warum Versionierung kein Governance ist: Die Lücke zwischen Deployment-Kontrolle und KI-Sicherheit

Zapier hat Agent-Versionierung eingeführt. Ein gutes Feature — aber Versionierung ist Deployment-Kontrolle, nicht Governance. Hier ist der Unterschied und warum er wichtig ist.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie Workflow-Tipps, Produktupdates und Automatisierungsleitfäden direkt in Ihren Posteingang.

No spam. Unsubscribe anytime.

← Zurück zu allen Beiträgen