• Homepage
  • Articoli
  • Ecommerce
  • Che cos'è SOC 2: una guida alla sicurezza dei dati e alla comprensione della conformità a SOC 2

Che cos'è SOC 2: una guida alla sicurezza dei dati e alla comprensione della conformità a SOC 2

Pubblicato: 2021-06-24

Nell'odierna società basata sui dati, la sicurezza delle informazioni è al primo posto nella mente della maggior parte delle aziende. Tra problemi interni e vulnerabilità esterne, come l'esternalizzazione di funzioni aziendali a un fornitore di terze parti (ad esempio un provider SaaS o cloud computing), esistono diversi modi in cui i dati possono essere a rischio o esposti. Ciò può rendere un'azienda di qualsiasi dimensione vulnerabile a furto di dati, ransomware, malware e perdite, ma le organizzazioni aziendali più grandi sono le più a rischio.

Se la tua azienda è attenta alla sicurezza e sta cercando di lavorare con una nuova app o fornitore, o semplicemente rivalutando il tuo attuale stack tecnologico, dovresti considerare l'utilizzo della conformità SOC 2 come requisito minimo. La conformità SOC 2 è considerata uno degli standard di auditing più rigorosi e accettati dal settore stabiliti dall'American Institute of Certified Public Accountants (AICPA) per aiutare i fornitori di servizi a gestire i dati nel cloud in modo sicuro. Sta rapidamente diventando un requisito per le aziende SaaS che desiderano rimanere competitive o per coloro che lavorano con clienti di livello aziendale, molti dei quali sono soggetti ai propri controlli di sicurezza e conformità.

Cos'è SOC 2

Service Organization Control (SOC) 2 o SOC 2, è un insieme di criteri creati dall'AICPA per valutare i sistemi, i processi e i controlli in atto per la rendicontazione non finanziaria di un'azienda e la gestione dei dati dei clienti. Questa procedura di revisione si basa su cinque criteri di servizio fiduciario (TSC) ed è un quadro di riferimento unico per ogni azienda, le sue pratiche commerciali e i controlli corrispondenti. I cinque TSC sono sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.

Una certificazione SOC 2 si ottiene quando un revisore esterno è stato in grado di completare una valutazione su come un fornitore rispetta uno o più di questi TSC. Una volta completato questo audit, il venditore finirà con un rapporto SOC di tipo I o di tipo II che delinea come i suoi controlli interni affrontano i rischi relativi ai cinque criteri.

Una certificazione SOC 2 di tipo I significa che un revisore ha valutato l'ambito dell'organizzazione e la progettazione dei processi di controllo interno in relazione alle pertinenti TSC. Questo rapporto sta valutando i controlli in un determinato momento, quindi le prestazioni coerenti non vengono valutate ed è un passaggio preliminare per ottenere una certificazione di Tipo II. Pensa al Tipo I come a una linea di base teorica, in cui il progetto dei controlli di un'azienda viene esaminato e implementato, ma non sono stati "testati su strada".

Una certificazione SOC 2 Tipo II può essere ottenuta dopo che l'auditor è stato in grado di esaminare l'efficacia operativa di questi controlli in un periodo di tempo specificato, in genere da sei a 12 mesi. Questo è un passaggio superiore al rapporto di tipo I poiché conferma che i processi di controllo non solo sono progettati correttamente, implementati, ma anche eseguiti in modo coerente. Pensa al Tipo II come al mondo reale, dove sono costruiti correttamente, sul posto e hanno dimostrato di funzionare fornendo ancora più fiducia ai clienti.

Cosa costituisce una certificazione SOC 2

Come accennato in precedenza, una certificazione SOC 2 viene rilasciata quando un revisore esterno ha ritenuto un fornitore di servizi conforme a uno o più dei TSC pertinenti sopra menzionati. Analizziamo ciascuno di questi criteri e come possono essere correlati a un'azienda:

  1. Sicurezza: questo principio si riferisce alle risorse di sistema di un'organizzazione e al modo in cui sono protette da accessi non autorizzati, fisici o logici. I controlli di accesso impediscono la rimozione, l'alterazione o la divulgazione non autorizzata di informazioni insieme a furto, abuso o uso improprio. I modi in cui questo può essere gestito sono strumenti di sicurezza come l'autenticazione a due fattori, i firewall di rete e di app e il rilevamento delle intrusioni per impedire l'accesso non autorizzato tramite violazioni della sicurezza.
  2. Disponibilità: questo principio fa riferimento al sistema, al servizio o al prodotto disponibile per il funzionamento o l'uso come indicato in un contratto o in un contratto di servizio (SLA). Ciò è determinato sia dal fornitore che dal cliente per un livello minimo accettabile e non si riferisce all'usabilità o alla funzionalità di un sistema, ma ai criteri di sicurezza che possono influire sull'accesso. I modi in cui questo può essere gestito sono il monitoraggio delle prestazioni, il ripristino di emergenza e la gestione degli incidenti di sicurezza.
  3. Integrità del trattamento: questo principio fa riferimento a un sistema che raggiunge lo scopo previsto, in termini di fornitura dei dati giusti al momento giusto e al costo giusto. Deve essere accurato, completo, tempestivo, valido e autorizzato. Ciò non equivale necessariamente all'integrità dei dati, poiché se si sono verificati errori prima di essere immessi nel sistema, ciò non è responsabilità del processore. Questo può essere gestito attraverso procedure di assicurazione della qualità (QA) e monitoraggio del processo.
  4. Riservatezza: questo principio si basa sulla considerazione che i dati riservati sono protetti. Possono trattarsi di dati il ​​cui accesso o divulgazione è specificamente limitato, ad esempio strutture tariffarie interne, proprietà intellettuale o informazioni finanziarie sensibili. Ciò significa che la trasmissione dovrebbe includere la crittografia e l'archiviazione dovrebbe avere controlli di accesso, firewall di rete/app per proteggere nuovamente gli utenti non autorizzati.
  5. Privacy: l'ultimo principio riguarda la raccolta, l'utilizzo, la conservazione, la divulgazione e l'eliminazione delle informazioni personali da parte del sistema in conformità con l'informativa sulla privacy dell'azienda, nonché i criteri nei principi sulla privacy generalmente accettati dell'AICPA (GAPP). Ciò include informazioni di identificazione personale (PII) come nomi, indirizzi o numeri di previdenza sociale che possono essere utilizzati per identificare un individuo o altri dati personali considerati sensibili come le cartelle cliniche. Questo viene fatto utilizzando i controlli di accesso, l'autenticazione a 2 fattori e la crittografia.

Chi ha bisogno di SOC 2

Come affermato in precedenza, la conformità SOC 2 è uno degli standard di controllo più ampiamente accettati per la sicurezza e la gestione dei dati, il che significa che molte aziende richiederanno un rapporto prima di poter approvare l'acquisto di un nuovo software o servizio.

Il rapporto SOC 2 mostrerà ai potenziali clienti e ai clienti attuali che ti impegni a proteggere i propri clienti e gli interessi. Alcuni settori che dovrebbero essere conformi a SOC 2 sono:

  • Contabilità, cloud computing, CRM, analisi dei dati, gestione di documenti o record, servizi finanziari, risorse umane, gestione della sicurezza IT, reclami medici, fornitori SaaS (come Justuno!) e altro ancora.

Perché SOC 2 è importante

La conformità SOC 2 è necessaria per i fornitori di servizi che lavorano in settori altamente regolamentati o con clienti che sono società quotate in borsa, per essere visti come un valido fornitore a noleggio. Questo rapporto dà ai potenziali clienti la certezza che i loro dati siano protetti e che tu non abbia la possibilità di introdurre vulnerabilità nei loro sistemi tramite integrazioni.

Man mano che la privacy dei dati continua a crescere d'importanza e vengono introdotte più normative, la conformità a SOC 2 diventerà sempre più importante. Solo alcuni motivi per cui è importante:

  • Le aziende possono perdere affari senza di essa, o viceversa possono ottenere un vantaggio competitivo rispetto ai concorrenti più lenti a muoversi.
  • È più economico di una massiccia violazione dei dati
  • Migliora la reputazione e l'affidabilità di un'azienda

Tuttavia, SOC 2 non è l'unico tipo di report SOC in circolazione, ce ne sono altri due:

  • SOC 1: Rapporti sui controlli interni della rendicontazione finanziaria per garantire agli utenti che le loro informazioni finanziarie siano gestite in modo sicuro e generate per altri revisori. Questo può essere effettivamente richiesto da alcune organizzazioni per conformarsi, ad esempio società quotate in borsa.
  • SOC 3: riporta gli stessi 5 TSC di SOC 2 ma è pubblicamente disponibile a chiunque abbia solo un livello elevato di informazioni poiché SOC 2 contiene contorni di infrastruttura altamente sensibili.

Alla fine della giornata, il tipo di rapporto SOC che dovresti cercare come azienda dipende dai servizi forniti e dalla clientela perseguita.

Pensieri di chiusura

La conformità a SOC 2 non è un requisito per i provider SaaS, ma la sua importanza non può essere sopravvalutata. Che tu sia un'azienda che cerca i propri report SOC o un'azienda che cerca di confrontare fornitori esterni, è importante capire che cos'è un audit SOC, cosa cercare nei sistemi di un'azienda e in che modo questo influisce sulla tua organizzazione.

Justuno è conforme a SOC 2 di tipo II nelle TSC: sicurezza, disponibilità e integrità dell'elaborazione come certificato da Dansa, D'Arata, Soucia LLP nel 2021. In quanto piattaforma SaaS che gestisce costantemente dati personali e informazioni spesso sensibili, è importante per Justuno che sosteniamo e manteniamo i più severi standard di sicurezza, integrità e privacy.