SOC 2란 무엇입니까: 데이터 보안 가이드 및 SOC 2 규정 준수 이해

오늘날의 데이터 중심 사회에서 정보 보안은 대부분의 기업의 최우선 과제입니다. 비즈니스 기능을 제3자 공급업체(예: SaaS 또는 클라우드 컴퓨팅 공급자)에 아웃소싱하는 것과 같은 내부 문제와 외부 취약성 사이에는 데이터가 위험에 처하거나 노출될 수 있는 여러 가지 방법이 있습니다. 이로 인해 모든 규모의 비즈니스가 데이터 도난, 랜섬웨어, 맬웨어 및 유출에 취약해질 수 있지만 대기업 조직이 가장 위험합니다.

비즈니스가 보안을 중시하고 새로운 앱 또는 공급업체와 협력하거나 단순히 현재 기술 스택을 재평가하려는 경우 SOC 2 규정 준수를 최소 요구 사항으로 사용하는 것을 고려해야 합니다. SOC 2 규정 준수는 서비스 제공업체가 클라우드에서 데이터를 안전하게 관리할 수 있도록 지원하기 위해 AICPA(American Institute of Certified Public Accountants)에서 제정한 가장 엄격하고 업계에서 인정하는 감사 표준 중 하나로 간주됩니다. 이는 경쟁력을 유지하려는 SaaS 회사 또는 자체 보안 및 규정 준수 제어의 대상이 되는 엔터프라이즈 수준 클라이언트와 작업하는 SaaS 회사의 요구 사항이 빠르게 되고 있습니다.

SOC 2 란 무엇입니까?

SOC(서비스 조직 통제) 2 또는 SOC 2는 회사의 비재무 보고 및 고객 데이터 관리를 위해 마련된 시스템, 프로세스 및 통제를 평가하는 방법에 대해 AICPA에서 만든 일련의 기준입니다. 이 감사 절차는 5가지 TSC(신뢰 서비스 기준)를 기반으로 하며 모든 회사, 해당 비즈니스 관행 및 해당 통제에 고유한 느슨한 프레임워크입니다. 5가지 TSC는 보안, 가용성, 처리 무결성, 기밀성 및 개인정보 보호입니다.

SOC 2 인증은 외부 감사자가 공급업체가 이러한 TSC 중 하나 이상을 준수하는 방법에 대한 평가를 완료할 수 있을 때 획득됩니다. 이 감사가 완료되면 공급업체는 내부 통제가 5가지 기준과 관련된 위험을 해결하는 방법을 설명하는 유형 I 또는 유형 II SOC 보고서를 받게 됩니다.

SOC 2 유형 I 인증은 감사인이 관련 TSC와 관련된 내부 통제 프로세스의 조직 범위 및 설계를 평가했음을 의미합니다. 이 보고서는 특정 시점에서 통제를 평가하고 있으므로 일관된 성능은 평가되지 않으며 Type II 인증을 획득하기 위한 예비 단계입니다. 유형 I을 회사의 제어 설계가 검사 및 구현되지만 "도로 테스트"되지 않은 이론적 기준선으로 생각하십시오.

SOC 2 Type II 인증은 감사자가 지정된 기간(일반적으로 6개월에서 12개월) 동안 이러한 통제의 운영 효율성을 조사할 수 있게 된 후에 취득할 수 있습니다. 이는 제어 프로세스가 잘 설계되고 구현되었을 뿐만 아니라 일관되게 수행되었음을 확인하기 때문에 유형 I 보고서보다 한 단계 높은 것입니다. Type II는 제대로 구축되고 작동이 입증되어 고객에게 훨씬 더 큰 확신을 제공하는 실제 세계라고 생각하십시오.

SOC 2 인증을 구성하는 요소

앞서 말했듯이 SOC 2 인증은 외부 감사자가 위에서 언급한 관련 TSC 중 하나 이상을 준수하는 서비스 제공업체로 간주할 때 수여됩니다. 이러한 각 기준에 대해 자세히 알아보고 비즈니스와 어떻게 관련될 수 있는지 살펴보겠습니다.

1. 보안: 이 원칙은 조직의 시스템 리소스와 물리적 또는 논리적인 무단 액세스로부터 리소스를 보호하는 방법과 관련이 있습니다. 액세스 제어는 도난, 남용 또는 오용과 함께 정보의 무단 제거, 변경 또는 공개를 방지합니다. 이를 관리할 수 있는 방법은 이중 인증, 네트워크 및 앱 방화벽, 보안 위반을 통한 무단 액세스를 방지하기 위한 침입 감지와 같은 보안 도구입니다.
2. 가용성: 이 원칙은 계약 또는 SLA(서비스 수준 계약)에 설명된 대로 작동하거나 사용할 수 있는 시스템, 서비스 또는 제품을 나타냅니다. 이것은 허용 가능한 최소 수준에 대해 공급자와 고객 모두에 의해 결정되며 시스템의 사용성 또는 기능을 참조하는 것이 아니라 액세스에 영향을 줄 수 있는 보안 기준을 참조합니다. 이를 관리할 수 있는 방법은 성능 모니터링, 재해 복구 및 보안 사고 처리입니다.
3. 처리 무결성: 이 원칙은 적시에 적절한 비용으로 올바른 데이터를 제공한다는 점에서 의도한 목적을 달성하는 시스템을 나타냅니다. 정확하고 완전하며 시의적절하고 유효하고 승인된 것이어야 합니다. 이것은 프로세서의 책임이 아닌 시스템에 입력되기 전에 오류가 있었다면 데이터 무결성과 반드시 ​​같지는 않습니다. 이는 품질 보증(QA) 절차 및 프로세스 모니터링을 통해 관리할 수 있습니다.
4. 기밀성: 이 원칙은 기밀 데이터가 보호된다는 고려를 기반으로 합니다. 이는 내부 가격 구조, 지적 재산 또는 민감한 금융 정보와 같이 액세스 또는 공개가 특별히 제한된 데이터일 수 있습니다. 즉, 전송에는 암호화가 포함되어야 하고 저장소에는 권한 없는 사용자를 다시 보호하기 위해 액세스 제어, 네트워크/앱 방화벽이 있어야 합니다.
5. 개인 정보: 마지막 원칙은 AICPA의 일반적으로 허용되는 개인 정보 보호 원칙(GAPP)의 기준뿐만 아니라 회사 자체 개인 정보 보호 고지에 따라 시스템의 개인 정보 수집, 사용, 보유, 공개 및 폐기에 관한 것입니다. 여기에는 개인을 식별하는 데 사용할 수 있는 이름, 주소 또는 사회 보장 번호와 같은 개인 식별 정보(PII) 또는 건강 기록과 같이 민감한 것으로 간주되는 기타 개인 데이터가 포함됩니다. 이는 액세스 제어, 2단계 인증 및 암호화를 사용하여 수행됩니다.

SOC 2가 필요한 사람

앞서 언급했듯이 SOC 2 규정 준수는 데이터 보안 및 관리에 대해 가장 널리 인정되는 감사 표준 중 하나입니다. 즉, 많은 회사에서 새 소프트웨어 또는 서비스 구매를 승인하기 전에 보고서가 필요합니다.

SOC 2 보고서는 잠재 고객과 현재 고객에게 고객과 자신의 이익을 보호하기 위해 최선을 다하는 고객을 보여줍니다. SOC 2를 준수해야 하는 일부 산업은 다음과 같습니다.

• 회계, 클라우드 컴퓨팅, CRM, 데이터 분석, 문서 또는 기록 관리, 금융 서비스, HR, IT 보안 관리, 의료 청구, SaaS 공급업체(예: Justuno!) 등.

SOC 2가 중요한 이유

SOC 2 준수는 고도로 규제된 분야에서 일하는 서비스 제공업체 또는 상장 기업인 클라이언트가 고용 가능한 벤더로 간주되기 위해 필요합니다. 이 보고서는 잠재 고객에게 데이터가 보호되고 있으며 통합을 통해 시스템에 취약점을 도입할 가능성이 없다는 확신을 줍니다.

데이터 개인 정보 보호의 중요성이 계속 커지고 더 많은 규정이 도입됨에 따라 SOC 2 규정 준수는 더욱 중요해질 것입니다. 이것이 중요한 몇 가지 이유:

• 기업은 그것 없이는 사업을 잃을 수 있고, 그 반대의 경우도 느리게 움직이는 경쟁자보다 경쟁 우위를 얻을 수 있습니다.
• 대규모 데이터 유출보다 저렴합니다.
• 회사의 명성과 신뢰를 높여줍니다.

그러나 SOC 2는 SOC 보고서의 유일한 종류가 아니며 두 가지가 더 있습니다.

• SOC 1: 재무 정보가 안전하게 처리되고 다른 감사자를 위해 생성되었음을 사용자에게 확인하기 위한 재무 보고의 내부 통제에 대한 보고서입니다. 이는 실제로 일부 조직, 즉 상장 기업이 준수해야 하는 경우에 필요할 수 있습니다.
• SOC 3: SOC 2와 동일한 5개의 TSC에 대해 보고하지만 SOC 2에는 매우 민감한 인프라 개요가 포함되어 있으므로 높은 수준의 정보만 있으면 누구나 공개적으로 사용할 수 있습니다.

결국 기업이 찾아야 하는 SOC 보고서 유형은 제공되는 서비스와 추구하는 고객에 따라 다릅니다.

마무리 생각

SOC 2 규정 준수는 SaaS 제공업체의 요구 사항은 아니지만 그 중요성은 아무리 강조해도 지나치지 않습니다. 자체 SOC 보고서를 찾는 기업이든 외부 공급업체를 비교하려는 기업이든 SOC 감사가 무엇인지, 회사 시스템에서 무엇을 찾아야 하는지, 그리고 그것이 조직에 어떤 영향을 미치는지 이해하는 것이 중요합니다.

Justuno는 2021년 Dansa, D'Arata, Soucia LLP의 인증을 받은 TSC: Security, Availability, Processing Integrity에서 SOC 2 Type II를 준수합니다. 개인 데이터와 종종 민감한 정보를 지속적으로 처리하는 SaaS 플랫폼으로서 Justuno에게 중요합니다. 가장 엄격한 보안, 무결성 및 개인 정보 보호 표준을 유지하고 유지합니다.