Co to jest SOC 2: Przewodnik po bezpieczeństwie danych i zrozumieniu zgodności z SOC 2?

Opublikowany: 2021-06-24

W dzisiejszym, opartym na danych społeczeństwie, bezpieczeństwo informacji jest priorytetem dla większości firm. Pomiędzy wewnętrznymi problemami a zewnętrznymi słabościami, takimi jak zlecanie funkcji biznesowych zewnętrznemu dostawcy (np. dostawcy SaaS lub chmury obliczeniowej), istnieje wiele sposobów, w jakie dane mogą być zagrożone lub ujawnione. Może to narazić firmę dowolnej wielkości na kradzież danych, oprogramowanie ransomware, złośliwe oprogramowanie i wycieki, ale najbardziej zagrożone są większe organizacje korporacyjne.

Jeśli Twoja firma dba o bezpieczeństwo i chce współpracować z nową aplikacją lub dostawcą albo po prostu ponownie ocenić swój obecny stos technologiczny, powinieneś rozważyć stosowanie zgodności z SOC 2 jako minimalne wymaganie. Zgodność z SOC 2 jest uważana za jeden z najbardziej rygorystycznych i akceptowanych w branży standardów audytu określonych przez Amerykański Instytut Biegłych Rewidentów (AICPA), aby pomóc dostawcom usług w bezpiecznym zarządzaniu danymi w chmurze. Szybko staje się to wymogiem dla firm SaaS, które chcą zachować konkurencyjność, lub tych pracujących z klientami na poziomie korporacyjnym, z których wielu podlega własnym kontrolom bezpieczeństwa i zgodności.

Co to jest SOC 2?

Service Organization Control (SOC) 2 lub SOC 2 to zestaw kryteriów stworzonych przez AICPA w celu oceny systemów, procesów i mechanizmów kontrolnych stosowanych w sprawozdawczości niefinansowej firmy i zarządzaniu danymi klientów. Ta procedura audytu opiera się na pięciu kryteriach usług zaufania (TSC) i stanowi luźną strukturę unikalną dla każdej firmy, jej praktyk biznesowych i odpowiednich mechanizmów kontrolnych. Pięć TSC to bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność.

Certyfikat SOC 2 uzyskuje się, gdy audytor zewnętrzny był w stanie przeprowadzić ocenę zgodności dostawcy z jednym lub więcej z tych TSC. Po zakończeniu tego audytu dostawca otrzyma raport SOC typu I lub typu II, określający, w jaki sposób ich kontrole wewnętrzne odnoszą się do ryzyka związanego z pięcioma kryteriami.

Certyfikacja SOC 2 Typu I oznacza, że ​​audytor ocenił zakres organizacji i projekt procesów kontroli wewnętrznej w odniesieniu do odpowiednich TSC. Ten raport ocenia kontrole w określonym czasie, więc spójna wydajność nie jest oceniana i jest wstępnym krokiem do uzyskania certyfikacji typu II. Pomyśl o Typie I jako o teoretycznym punkcie odniesienia, w którym projekt kontroli firmy jest sprawdzany i wdrażany, ale nie został „sprawdzony w warunkach drogowych”.

Certyfikacja SOC 2 Typu II może zostać uzyskana po tym, jak audytor będzie w stanie zbadać skuteczność działania tych kontroli przez określony czas, zwykle od sześciu do 12 miesięcy. Jest to krok wyżej od raportu Typu I, ponieważ potwierdza, że ​​procesy kontrolne są nie tylko dobrze zaprojektowane, wdrożone, ale także konsekwentnie realizowane. Pomyśl o typie II jak o prawdziwym świecie, w którym są właściwie zbudowane, na swoim miejscu i sprawdzone, aby zapewnić klientom jeszcze większe zaufanie.

Co składa się na certyfikat SOC 2

Jak powiedzieliśmy wcześniej, certyfikacja SOC 2 jest przyznawana, gdy audytor zewnętrzny uzna dostawcę usług za spełniającego wymogi co najmniej jednego z odpowiednich TSC wymienionych powyżej. Zanurzmy się w każdym z tych kryteriów i ich związku z biznesem:

  1. Bezpieczeństwo: ta zasada odnosi się do zasobów systemowych organizacji i sposobu ich ochrony przed nieautoryzowanym dostępem, fizycznym lub logicznym. Kontrola dostępu zapobiega nieautoryzowanemu usunięciu, zmianie lub ujawnieniu informacji, a także kradzieży, nadużyciom lub nadużyciom. Sposobami na zarządzanie tym są narzędzia bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe, zapory sieciowe i aplikacji oraz wykrywanie włamań, aby zapobiec nieautoryzowanemu dostępowi poprzez naruszenia bezpieczeństwa.
  2. Dostępność: ta zasada odnosi się do systemu, usługi lub produktu dostępnego do działania lub użytkowania zgodnie z umową lub umową dotyczącą poziomu usług (SLA). Jest to określane zarówno przez dostawcę, jak i klienta jako akceptowalny poziom minimalny i nie odnosi się do użyteczności lub funkcjonalności systemu, ale do kryteriów bezpieczeństwa, które mogą wpływać na dostęp. Sposoby, którymi można tym zarządzać, to monitorowanie wydajności, odzyskiwanie po awarii i obsługa incydentów związanych z bezpieczeństwem.
  3. Integralność przetwarzania: ta zasada odnosi się do systemu, który osiąga zamierzony cel, pod względem dostarczania właściwych danych we właściwym czasie i po odpowiednich kosztach. Musi być dokładne, kompletne, aktualne, ważne i autoryzowane. Niekoniecznie oznacza to integralność danych, ponieważ jeśli przed wprowadzeniem danych do systemu wystąpiły błędy, nie jest to obowiązkiem procesora. Można tym zarządzać za pomocą procedur zapewniania jakości (QA) i monitorowania procesów.
  4. Poufność: Ta zasada opiera się na założeniu, że poufne dane są chronione. Mogą to być dane, do których dostęp lub ujawnianie jest szczególnie ograniczone, takie jak wewnętrzne struktury cenowe, własność intelektualna lub wrażliwe informacje finansowe. Oznacza to, że transmisja powinna obejmować szyfrowanie, a przechowywanie powinno mieć kontrolę dostępu, zapory sieciowe/aplikacyjne w celu ochrony przed nieautoryzowanymi użytkownikami.
  5. Prywatność: Ostatnia zasada dotyczy gromadzenia, wykorzystywania, przechowywania, ujawniania i usuwania danych osobowych przez system zgodnie z własną informacją o prywatności firmy, a także kryteriami w ogólnie przyjętych zasadach prywatności AICPA (GAPP). Obejmuje to informacje umożliwiające identyfikację osoby (PII), takie jak nazwiska, adresy lub numery ubezpieczenia społecznego, które można wykorzystać do identyfikacji osoby lub innych danych osobowych uznanych za wrażliwe, takich jak dokumentacja zdrowotna. Odbywa się to za pomocą kontroli dostępu, uwierzytelniania dwuskładnikowego i szyfrowania.

Kto potrzebuje SOC 2?

Jak wspomniano wcześniej, zgodność z SOC 2 jest jednym z najszerzej akceptowanych standardów audytu w zakresie bezpieczeństwa i zarządzania danymi, co oznacza, że ​​wiele firm będzie wymagać raportu przed zatwierdzeniem zakupu nowego oprogramowania lub usługi.

Raport SOC 2 pokaże potencjalnym i obecnym klientom, że jesteś zaangażowany w ochronę ich interesów i własnych interesów. Niektóre branże, które powinny być zgodne z SOC 2, to:

  • Księgowość, przetwarzanie w chmurze, CRM, analiza danych, zarządzanie dokumentami lub aktami, usługi finansowe, HR, zarządzanie bezpieczeństwem IT, roszczenia medyczne, dostawcy SaaS (jak Justuno!) i nie tylko.

Dlaczego SOC 2 jest ważny

Zgodność z SOC 2 jest niezbędna, aby usługodawcy pracujący w ściśle regulowanych dziedzinach lub z klientami będącymi spółkami giełdowymi byli postrzegani jako rentowny sprzedawca do wynajęcia. Ten raport daje potencjalnym klientom pewność, że ich dane są chronione i nie ma możliwości wprowadzenia luk w ich systemach poprzez integracje.

Ponieważ prywatność danych wciąż zyskuje na znaczeniu i wprowadzanych jest coraz więcej przepisów, zgodność z SOC 2 stanie się jeszcze ważniejsza. Oto kilka powodów, dla których jest to ważne:

  • Bez tego firmy mogą stracić na biznesie lub odwrotnie, mogą zyskać przewagę konkurencyjną nad wolniej poruszającymi się konkurentami.
  • To tańsze niż masowe wycieki danych
  • Poprawia reputację i wiarygodność firmy

Jednak SOC 2 nie jest jedynym rodzajem raportu SOC, istnieją dwa inne:

  • SOC 1: Raporty dotyczące wewnętrznych kontroli sprawozdawczości finansowej w celu zapewnienia użytkownikom, że ich informacje finansowe są bezpiecznie przetwarzane i generowane dla innych audytorów. Może to być faktycznie wymagane przez niektóre organizacje, np. spółki notowane na giełdzie.
  • SOC 3: Raporty na temat tych samych 5 TSC co SOC 2, ale są publicznie dostępne dla każdego, kto dysponuje jedynie wysokim poziomem informacji, ponieważ SOC 2 zawiera bardzo wrażliwe zarysy infrastruktury.

Ostatecznie rodzaj raportu SOC, którego jako firma powinna szukać, zależy od świadczonych usług i klientów.

Końcowe myśli

Zgodność z SOC 2 nie jest wymogiem dla dostawców SaaS, ale jej znaczenia nie można przecenić. Niezależnie od tego, czy jesteś firmą poszukującą własnych raportów SOC, czy firmą, która chce porównać dostawców zewnętrznych, ważne jest, aby zrozumieć, czym jest audyt SOC, czego szukać w systemach firmy i jaki ma to wpływ na Twoją organizację.

Justuno jest zgodne z SOC 2 Type II w TSC: Security, Availability, and Processing Integrity, zgodnie z certyfikatem Dansa, D'Arata, Soucia LLP w 2021 roku. Jako platforma SaaS, która stale przetwarza dane osobowe i często poufne informacje, jest to ważne dla Justuno że przestrzegamy i utrzymujemy najbardziej rygorystyczne standardy bezpieczeństwa, integralności i prywatności.