ما هو SOC 2: دليل لأمن البيانات وفهم الامتثال SOC 2

نشرت: 2021-06-24

في مجتمع اليوم الذي يحركه البيانات ، يحتل أمن المعلومات مكان الصدارة في أذهان معظم الشركات. بين الاهتمامات الداخلية ونقاط الضعف الخارجية ، مثل الاستعانة بمصادر خارجية لوظائف الأعمال لبائع خارجي (مثل SaaS أو مزود الحوسبة السحابية) ، هناك عدد من الطرق التي يمكن أن تصبح بها البيانات معرضة للخطر أو مكشوفة. هذا يمكن أن يترك الأعمال التجارية من أي حجم عرضة لسرقة البيانات ، وبرامج الفدية ، والبرامج الضارة ، والتسريبات ، ولكن المؤسسات الكبيرة هي الأكثر عرضة للخطر.

إذا كان عملك يراعي الأمان ويتطلع إلى العمل مع تطبيق أو بائع جديد ، أو ببساطة إعادة تقييم مجموعة التكنولوجيا الحالية ، فيجب أن تفكر في استخدام الامتثال SOC 2 كحد أدنى من المتطلبات. يعتبر الامتثال SOC 2 أحد أكثر معايير التدقيق صرامة والمقبولة في الصناعة التي وضعها المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) لمساعدة مزودي الخدمة على إدارة البيانات بشكل آمن في السحابة. سرعان ما أصبح مطلبًا لشركات SaaS التي ترغب في الحفاظ على قدرتها التنافسية أو تلك التي تعمل مع عملاء على مستوى المؤسسات ، حيث يخضع الكثير منهم لضوابط الأمان والامتثال الخاصة بهم.

ما هو SOC 2

التحكم في منظمة الخدمة (SOC) 2 أو SOC 2 ، عبارة عن مجموعة من المعايير التي أنشأتها AICPA لكيفية تقييم الأنظمة والعمليات والضوابط المطبقة لإعداد التقارير غير المالية للشركة وإدارة بيانات العملاء. يعتمد إجراء التدقيق هذا على خمسة معايير خدمة ثقة (TSC) وهو إطار عمل فضفاض فريد لكل شركة ، وممارساتها التجارية ، والضوابط المقابلة. إن برامج TSCs الخمسة هي الأمان والتوافر وتكامل المعالجة والسرية والخصوصية.

يتم الحصول على شهادة SOC 2 عندما يكون المدقق الخارجي قادرًا على إكمال تقييم حول كيفية التزام البائع بواحد أو أكثر من هذه التدفقات النقدية المؤقتة. بمجرد اكتمال هذا التدقيق ، سينتهي البائع إما بتقرير SOC من النوع الأول أو النوع الثاني يوضح كيفية تعامل ضوابطه الداخلية مع المخاطر المتعلقة بالمعايير الخمسة.

تعني شهادة SOC 2 Type I أن المدقق قد قام بتقييم نطاق المنظمة وتصميم عمليات الرقابة الداخلية فيما يتعلق بـ TSCs ذات الصلة. يقوم هذا التقرير بتقييم عناصر التحكم في وقت معين ، لذلك لا يتم تقييم الأداء المتسق وهو خطوة أولية للحصول على شهادة النوع الثاني. فكر في النوع الأول باعتباره أساسًا نظريًا ، حيث يتم فحص تصميم عناصر التحكم في الشركة وتنفيذه ، ولكن لم يتم "اختبارها على الطريق".

يمكن الحصول على شهادة SOC 2 Type II بعد أن يتمكن المدقق من فحص الفعالية التشغيلية لهذه الضوابط خلال فترة زمنية محددة ، عادةً من ستة إلى 12 شهرًا. هذه خطوة أعلى من تقرير النوع الأول لأنها تؤكد أن عمليات التحكم لم يتم تصميمها جيدًا وتنفيذها فحسب ، بل يتم إجراؤها أيضًا بشكل متسق. فكر في النوع الثاني على أنه العالم الحقيقي ، حيث تم بناؤه بشكل صحيح ، وفي مكانه ، وثبت أنه يعمل على توفير المزيد من الثقة للعملاء.

ما الذي يشكل شهادة SOC 2

كما قلنا سابقًا ، يتم منح شهادة SOC 2 عندما يعتبر مدقق خارجي أن مقدم الخدمة متوافق مع واحد أو أكثر من TSCs ذات الصلة المذكورة أعلاه. دعنا نتعمق في كل من هذه المعايير وكيف يمكن أن ترتبط بنشاط تجاري:

  1. الأمان: يشير هذا المبدأ إلى موارد نظام المؤسسة وكيفية حمايتها من الوصول غير المصرح به ، سواء كان ماديًا أو منطقيًا. تمنع ضوابط الوصول الإزالة غير المصرح بها أو التغيير أو الكشف عن المعلومات إلى جانب السرقة أو إساءة الاستخدام أو إساءة الاستخدام. الطرق التي يمكن من خلالها إدارة ذلك هي أدوات الأمان مثل المصادقة الثنائية ، والجدران النارية للشبكة والتطبيقات ، واكتشاف التسلل لمنع الوصول غير المصرح به عبر انتهاكات الأمان.
  2. التوفر: يشير هذا المبدأ إلى النظام أو الخدمة أو المنتج المتاح للتشغيل أو الاستخدام كما هو موضح في العقد أو اتفاقية مستوى الخدمة (SLA). يتم تحديد ذلك من قبل كل من الموفر والعميل لمستوى أدنى مقبول ولا يشير إلى قابلية استخدام النظام أو وظيفته ، بل يشير إلى معايير الأمان التي يمكن أن تؤثر على الوصول. الطرق التي يمكن من خلالها إدارة ذلك هي مراقبة الأداء والتعافي من الكوارث ومعالجة الحوادث الأمنية.
  3. سلامة المعالجة: يشير هذا المبدأ إلى نظام يحقق الغرض المقصود منه ، من حيث تقديم البيانات الصحيحة في الوقت المناسب ، وبالتكلفة المناسبة. يجب أن تكون دقيقة وكاملة وفي الوقت المناسب وصالحة ومصرح بها. هذا لا يساوي بالضرورة تكامل البيانات ، لأنه في حالة وجود أخطاء قبل إدخالها إلى النظام ، فهذا ليس من مسؤولية المعالج. يمكن إدارة ذلك من خلال إجراءات ضمان الجودة (QA) ومراقبة العملية.
  4. السرية: يقوم هذا المبدأ على اعتبار أن البيانات السرية محمية. يمكن أن تكون هذه البيانات التي يكون الوصول إليها أو الكشف عنها مقيدًا بشكل خاص ، مثل هياكل التسعير الداخلية أو الملكية الفكرية أو المعلومات المالية الحساسة. هذا يعني أن الإرسال يجب أن يشمل التشفير والتخزين يجب أن يكون لديه عناصر تحكم في الوصول ، وجدران حماية للشبكة / التطبيق لحماية المستخدمين غير المصرح لهم مرة أخرى.
  5. الخصوصية: يتطرق المبدأ الأخير إلى جمع النظام للمعلومات الشخصية واستخدامها والاحتفاظ بها والكشف عنها والتخلص منها وفقًا لإشعار الخصوصية الخاص بالشركة ، وكذلك المعايير الواردة في مبادئ الخصوصية المقبولة عمومًا (GAPP) من AICPA. يتضمن ذلك معلومات التعريف الشخصية (PII) مثل الأسماء أو العناوين أو أرقام الضمان الاجتماعي التي يمكن استخدامها لتحديد بيانات شخصية أو بيانات شخصية أخرى تعتبر حساسة مثل السجلات الصحية. يتم ذلك باستخدام عناصر التحكم في الوصول والمصادقة الثنائية والتشفير.

من يحتاج إلى SOC 2

كما ذكرنا سابقًا ، يعد الامتثال SOC 2 أحد أكثر معايير التدقيق المقبولة على نطاق واسع لأمن البيانات وإدارتها ، مما يعني أن العديد من الشركات ستحتاج إلى تقرير قبل أن تتمكن من الموافقة على شراء برنامج أو خدمة جديدة.

سيوضح تقرير SOC 2 التوقعات والعملاء الحاليين أنك ملتزم بحماية مصالح عملائهم ومصالحهم الخاصة. بعض الصناعات التي يجب أن تكون متوافقة مع SOC 2 هي:

  • المحاسبة ، والحوسبة السحابية ، وإدارة علاقات العملاء ، وتحليل البيانات ، وإدارة المستندات أو السجلات ، والخدمات المالية ، والموارد البشرية ، وإدارة أمن تكنولوجيا المعلومات ، والمطالبات الطبية ، وبائعي SaaS (مثل Justuno!) ، والمزيد.

لماذا SOC 2 مهم

يعد الامتثال SOC 2 ضروريًا لمقدمي الخدمات الذين يعملون في مجالات شديدة التنظيم أو مع العملاء الذين يتم تداولهم بشكل عام ، حتى يُنظر إليهم على أنهم بائعون قابلون للاستمرار للتأجير. يمنح هذا التقرير العملاء المحتملين الثقة بأن بياناتهم محمية ولا يمكنك إدخال نقاط ضعف في أنظمتهم عبر عمليات الدمج.

مع استمرار تزايد أهمية خصوصية البيانات وإدخال المزيد من اللوائح ، سيصبح الامتثال SOC 2 أكثر أهمية فقط. فقط بضعة أسباب لأهميتها:

  • يمكن للشركات أن تخسر الأعمال بدونها ، أو بالعكس يمكن أن تكتسب ميزة تنافسية على المنافسين الأبطأ.
  • إنه أرخص من خرق البيانات الهائل
  • يعزز سمعة الشركة ومصداقيتها

ومع ذلك ، فإن SOC 2 ليس هو النوع الوحيد من تقارير SOC الموجودة ، فهناك نوعان آخران:

  • SOC 1: تقارير عن الضوابط الداخلية للتقارير المالية للتأكد من أن المعلومات المالية الخاصة بهم يتم التعامل معها بشكل آمن ، ويتم إنشاؤها لمراجعين آخرين. قد يكون هذا مطلوبًا في الواقع لبعض المنظمات للامتثال له ، مثل الشركات المتداولة علنًا.
  • SOC 3: تقارير عن 5 TSCs مثل SOC 2 ولكنها متاحة للجمهور لأي شخص لديه مستوى عالٍ فقط من المعلومات لأن SOC 2 يحتوي على مخططات بنية تحتية شديدة الحساسية.

في نهاية اليوم ، يعتمد نوع تقرير SOC الذي يجب أن تبحث عنه كشركة على الخدمات المقدمة والعملاء المتابعين.

خواطر ختامية

الامتثال SOC 2 ليس شرطًا لموفري SaaS ، ولكن لا يمكن المبالغة في أهميته. سواء كنت شركة تبحث عن تقارير SOC الخاصة بها أو شركة تتطلع إلى مقارنة البائعين الخارجيين ، فمن المهم أن تفهم ماهية تدقيق SOC ، وما الذي تبحث عنه في أنظمة الشركة ، وكيف يؤثر ذلك على مؤسستك.

Justuno متوافق مع SOC 2 Type II في TSCs: الأمان والتوافر وسلامة المعالجة كما تم اعتمادها من قبل Dansa و D'Arata و Soucia LLP في عام 2021. كنظام أساسي SaaS يتعامل باستمرار مع البيانات الشخصية والمعلومات الحساسة في كثير من الأحيان ، من المهم لـ Justuno أننا نحافظ على أكثر معايير الأمان والنزاهة والخصوصية صرامة ونحافظ عليها.