Ce este SOC 2: Un ghid pentru securitatea datelor și înțelegerea conformității cu SOC 2

Publicat: 2021-06-24

În societatea actuală bazată pe date, securitatea informațiilor este în fruntea minții majorității companiilor. Între preocupările interne și vulnerabilitățile externe, cum ar fi externalizarea funcțiilor de afaceri către un furnizor terță parte (de exemplu, un furnizor SaaS sau cloud-computing) există o serie de moduri în care datele pot deveni expuse sau riscante. Acest lucru poate lăsa o afacere de orice dimensiune vulnerabilă la furtul de date, ransomware, malware și scurgeri, dar organizațiile mai mari sunt cele mai expuse riscului.

Dacă afacerea dvs. este conștientă de securitate și dorește să lucreze cu o aplicație sau un furnizor nou sau pur și simplu să reevalueze stiva dvs. de tehnologie actuală, ar trebui să luați în considerare utilizarea conformității SOC 2 ca cerință minimă. Conformitatea SOC 2 este considerată a fi unul dintre cele mai stricte și acceptate standarde de audit stabilite de Institutul American al Contabililor Publici Autorizați (AICPA) pentru a ajuta furnizorii de servicii să gestioneze în siguranță datele în cloud. Devine rapid o cerință pentru companiile SaaS care doresc să rămână competitive sau pentru cei care lucrează cu clienți la nivel de întreprindere, dintre care mulți sunt supuși propriilor controale de securitate și conformitate.

Ce este SOC 2

Service Organization Control (SOC) 2 sau SOC 2, este un set de criterii create de AICPA pentru evaluarea sistemelor, proceselor și controalelor existente pentru raportarea non-financiară a unei companii și gestionarea datelor clienților. Această procedură de audit se bazează pe cinci criterii de servicii de încredere (TSC) și este un cadru liber unic pentru fiecare companie, practicile sale de afaceri și controalele corespunzătoare. Cele cinci TSC sunt securitatea, disponibilitatea, integritatea procesării, confidențialitatea și confidențialitatea.

O certificare SOC 2 este obținută atunci când un auditor extern a reușit să finalizeze o evaluare a modului în care un furnizor se conformează cu unul sau mai multe dintre aceste TSC. Odată ce acest audit este finalizat, vânzătorul va primi fie un raport SOC de tip I, fie de tip II, care subliniază modul în care controalele lor interne abordează riscurile legate de cele cinci criterii.

O certificare SOC 2 de tip I înseamnă că un auditor a evaluat domeniul de aplicare al organizației și proiectarea proceselor de control intern în raport cu TSC-urile relevante. Acest raport evaluează controalele la un moment dat, astfel încât performanța consecventă nu este evaluată și este un pas preliminar pentru obținerea unei certificări de tip II. Gândiți-vă la Tipul I ca la o bază teoretică, în care proiectarea controalelor unei companii este examinată și implementată, dar acestea nu au fost „testate pe drum”.

O certificare SOC 2 de tip II poate fi obținută după ce auditorul a fost capabil să examineze eficacitatea operațională a acestor controale pe o perioadă specificată de timp, de obicei de la șase până la 12 luni. Acesta este un pas deasupra raportului de tip I, deoarece confirmă că procesele de control nu sunt doar bine concepute, implementate, ci și realizate în mod consecvent. Gândiți-vă la Tipul II ca la lumea reală, unde sunt construite corect, la locul lor și s-a dovedit că funcționează, oferind și mai multă încredere clienților.

Ceea ce constituie o certificare SOC 2

După cum am spus mai devreme, o certificare SOC 2 este acordată atunci când un auditor extern a considerat un furnizor de servicii conform cu unul sau mai multe dintre TSC-urile relevante menționate mai sus. Să analizăm fiecare dintre aceste criterii și cum se pot raporta ele la o afacere:

  1. Securitate: Acest principiu se referă la resursele de sistem ale unei organizații și la modul în care acestea sunt protejate împotriva accesului neautorizat, fie fizic, fie logic. Controalele accesului previn eliminarea, modificarea sau dezvăluirea neautorizată a informațiilor, împreună cu furtul, abuzul sau utilizarea necorespunzătoare. Modalitățile prin care acest lucru poate fi gestionat sunt instrumente de securitate, cum ar fi autentificarea cu doi factori, firewall-urile de rețea și aplicații și detectarea intruziunilor pentru a preveni accesul neautorizat prin încălcări de securitate.
  2. Disponibilitate: Acest principiu se referă la sistemul, serviciul sau produsul disponibil pentru operare sau utilizare, așa cum este subliniat într-un contract sau acord de nivel de serviciu (SLA). Acest lucru este determinat atât de furnizor, cât și de client pentru un nivel minim acceptabil și nu se referă la utilizarea sau funcționalitatea unui sistem, ci la criteriile de securitate care pot afecta accesul. Modalitățile prin care acest lucru poate fi gestionat sunt monitorizarea performanței, recuperarea în caz de dezastru și gestionarea incidentelor de securitate.
  3. Integritatea procesării: Acest principiu se referă la un sistem care își atinge scopul propus, în ceea ce privește furnizarea datelor potrivite la momentul potrivit și la costul potrivit. Trebuie să fie exact, complet, în timp util, valid și autorizat. Acest lucru nu este neapărat egal cu integritatea datelor, deoarece dacă au existat erori înainte de a fi introduse în sistem, aceasta nu este responsabilitatea procesorului. Acest lucru poate fi gestionat prin proceduri de asigurare a calității (QA) și monitorizarea procesului.
  4. Confidențialitate: Acest principiu se bazează pe considerația că datele confidențiale sunt protejate. Acestea pot fi date al căror acces sau dezvăluire este restricționată în mod specific, cum ar fi structurile interne de prețuri, proprietatea intelectuală sau informațiile financiare sensibile. Aceasta înseamnă că transmisia ar trebui să includă criptare, iar stocarea ar trebui să aibă controale de acces, firewall-uri de rețea/aplicații pentru a proteja din nou utilizatorii neautorizați.
  5. Confidențialitate: Ultimul principiu se referă la colectarea, utilizarea, păstrarea, dezvăluirea și eliminarea informațiilor personale de către sistem în conformitate cu notificarea de confidențialitate a companiei, precum și criteriile din principiile de confidențialitate general acceptate (GAPP) ale AICPA. Acestea includ informații de identificare personală (PII), cum ar fi nume, adrese sau numere de securitate socială, care pot fi utilizate pentru a identifica o persoană sau alte date personale considerate a fi sensibile, cum ar fi dosarele de sănătate. Acest lucru se face folosind controale de acces, autentificare cu doi factori și criptare.

Cine are nevoie de SOC 2

După cum sa menționat anterior, conformitatea cu SOC 2 este unul dintre standardele de audit cele mai acceptate pentru securitatea și managementul datelor, ceea ce înseamnă că multe companii vor solicita un raport înainte de a putea aproba achiziționarea unui nou software sau serviciu.

Raportul SOC 2 va arăta potențialilor și clienților actuali că vă angajați să protejați propriile interese și clienții lor. Unele industrii care ar trebui să respecte SOC 2 sunt:

  • Contabilitate, cloud computing, CRM-uri, analiza datelor, gestionarea documentelor sau a înregistrărilor, servicii financiare, HR, managementul securității IT, reclamații medicale, furnizori SaaS (cum ar fi Justuno!) și multe altele.

De ce este important SOC 2

Conformitatea SOC 2 este necesară pentru ca furnizorii de servicii care lucrează în domenii foarte reglementate sau cu clienți care sunt companii cotate la bursă, pentru a fi văzuți ca un furnizor viabil pentru angajare. Acest raport oferă clienților potențiali încredere că datele lor sunt protejate și că nu aveți posibilitatea de a introduce vulnerabilități în sistemele lor prin integrări.

Pe măsură ce confidențialitatea datelor continuă să crească în importanță și sunt introduse mai multe reglementări, conformitatea cu SOC 2 va deveni mai importantă. Doar câteva motive pentru care este important:

  • Companiile pot pierde din afaceri fără aceasta sau invers pot câștiga un avantaj competitiv față de concurenții mai lenți în mișcare.
  • Este mai ieftin decât o breșă masivă de date
  • Îmbunătățește reputația și încrederea unei companii

Cu toate acestea, SOC 2 nu este singurul tip de raport SOC din jur, există alte două:

  • SOC 1: Rapoarte privind controalele interne ale raportării financiare pentru a asigura utilizatorilor că informațiile lor financiare sunt gestionate în siguranță și sunt generate pentru alți auditori. Acest lucru poate fi de fapt necesar pentru unele organizații să se conformeze, adică companiile cotate la bursă.
  • SOC 3: Rapoarte despre aceleași 5 TSC-uri ca SOC 2, dar sunt disponibile public pentru oricine are doar un nivel înalt de informații, deoarece SOC 2 conține schițe de infrastructură extrem de sensibile.

La sfârșitul zilei, tipul de raport SOC pe care ar trebui să îl căutați ca companie depinde de serviciile oferite și de clientela urmărită.

Gânduri de închidere

Conformitatea cu SOC 2 nu este o cerință pentru furnizorii SaaS, dar importanța sa nu poate fi exagerată. Indiferent dacă sunteți o companie care caută propriile rapoarte SOC sau o companie care dorește să compare furnizori externi, este important să înțelegeți ce este un audit SOC, ce să căutați în sistemele unei companii și cum afectează asta propria organizație.

Justuno este compatibil cu SOC 2 de tip II în TSC-urile: securitate, disponibilitate și integritate a procesării, așa cum a fost certificat de Dansa, D'Arata, Soucia LLP în 2021. Fiind o platformă SaaS care gestionează în mod constant date personale și informații adesea sensibile, este important pentru Justuno. că menținem și menținem cele mai stricte standarde de securitate, integritate și confidențialitate.