SOC 2: A Guide to Data Security และทำความเข้าใจการปฏิบัติตาม SOC 2 คืออะไร

ในสังคมที่ขับเคลื่อนด้วยข้อมูลในปัจจุบัน การรักษาความปลอดภัยของข้อมูลเป็นสิ่งสำคัญอันดับต้นๆ ในใจของธุรกิจส่วนใหญ่ ระหว่างข้อกังวลภายในและช่องโหว่ภายนอก เช่น การเอาท์ซอร์สฟังก์ชันทางธุรกิจไปยังผู้ขายที่เป็นบุคคลที่สาม (เช่น SaaS หรือผู้ให้บริการคลาวด์คอมพิวติ้ง) มีหลายวิธีที่ข้อมูลอาจมีความเสี่ยงหรือถูกเปิดเผย การทำเช่นนี้อาจทำให้ธุรกิจทุกขนาดเสี่ยงต่อการขโมยข้อมูล แรนซัมแวร์ มัลแวร์ และการรั่วไหล แต่องค์กรขนาดใหญ่มีความเสี่ยงมากที่สุด

หากธุรกิจของคุณคำนึงถึงความปลอดภัยและต้องการทำงานร่วมกับแอปหรือผู้ขายรายใหม่ หรือเพียงแค่ประเมินสแต็กเทคโนโลยีปัจจุบันของคุณใหม่ คุณควรพิจารณาใช้การปฏิบัติตามข้อกำหนด SOC 2 เป็นข้อกำหนดขั้นต่ำ การปฏิบัติตาม SOC 2 ถือเป็นหนึ่งในมาตรฐานการตรวจสอบที่เข้มงวดและเป็นที่ยอมรับของอุตสาหกรรมมากที่สุด ซึ่งกำหนดโดย American Institute of Certified Public Accountants (AICPA) เพื่อช่วยให้ผู้ให้บริการจัดการข้อมูลในระบบคลาวด์ได้อย่างปลอดภัย มันกลายเป็นข้อกำหนดอย่างรวดเร็วสำหรับบริษัท SaaS ที่ต้องการคงความสามารถในการแข่งขันหรือทำงานกับลูกค้าระดับองค์กร ซึ่งหลายคนอยู่ภายใต้การควบคุมความปลอดภัยและการปฏิบัติตามข้อกำหนดของตนเอง

SOC 2 . คืออะไร

การควบคุมองค์กรบริการ (SOC) 2 หรือ SOC 2 เป็นชุดของเกณฑ์ที่สร้างขึ้นโดย AICPA สำหรับวิธีประเมินระบบ กระบวนการ และการควบคุมที่ใช้สำหรับการรายงานที่ไม่ใช่ด้านการเงินและการจัดการข้อมูลลูกค้าของบริษัท ขั้นตอนการตรวจสอบนี้ยึดตามเกณฑ์การบริการความน่าเชื่อถือ (TSC) 5 ประการ และเป็นกรอบการทำงานที่ไม่ซ้ำกับทุกบริษัท การดำเนินธุรกิจ และการควบคุมที่เกี่ยวข้อง TSC ห้าประการ ได้แก่ ความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ในการประมวลผล การรักษาความลับ และความเป็นส่วนตัว

ใบรับรอง SOC 2 จะได้รับเมื่อผู้ตรวจสอบภายนอกทำการประเมินว่าผู้ขายปฏิบัติตาม TSC เหล่านี้ได้อย่างไร เมื่อการตรวจสอบเสร็จสิ้น ผู้ขายจะลงเอยด้วยรายงาน SOC ประเภท I หรือ Type II โดยสรุปว่าการควบคุมภายในจัดการกับความเสี่ยงที่เกี่ยวข้องกับเกณฑ์ทั้งห้าอย่างไร

การรับรอง SOC 2 Type I หมายความว่าผู้ตรวจสอบได้ประเมินขอบเขตขององค์กรและการออกแบบกระบวนการควบคุมภายในที่เกี่ยวข้องกับ TSC ที่เกี่ยวข้อง รายงานนี้กำลังประเมินการควบคุมในช่วงเวลาหนึ่ง ดังนั้นจึงไม่มีการประเมินประสิทธิภาพที่สอดคล้องกัน และเป็นขั้นตอนเบื้องต้นในการบรรลุการรับรองประเภท II คิดว่า Type I เป็นพื้นฐานทางทฤษฎี ซึ่งมีการตรวจสอบและใช้งานการออกแบบการควบคุมของบริษัท แต่ยังไม่ได้รับ "การทดสอบบนท้องถนน"

การรับรอง SOC 2 Type II สามารถทำได้หลังจากที่ผู้ตรวจสอบสามารถตรวจสอบประสิทธิภาพการดำเนินงานของการควบคุมเหล่านี้ในช่วงระยะเวลาที่กำหนด โดยทั่วไปแล้วจะใช้เวลาประมาณ 6 ถึง 12 เดือน นี่เป็นขั้นตอนเหนือรายงาน Type I เนื่องจากเป็นการยืนยันว่ากระบวนการควบคุมไม่เพียงออกแบบมาอย่างดี นำไปปฏิบัติ แต่ยังดำเนินการอย่างสม่ำเสมอด้วย คิดว่า Type II เป็นโลกแห่งความจริง ซึ่งสร้างขึ้นอย่างถูกต้อง ในสถานที่ และได้รับการพิสูจน์แล้วว่าให้ความมั่นใจแก่ลูกค้ามากยิ่งขึ้น

การรับรอง SOC 2 คืออะไร

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ การรับรอง SOC 2 จะมอบให้เมื่อผู้ตรวจสอบภายนอกถือว่าผู้ให้บริการปฏิบัติตาม TSC ที่เกี่ยวข้องตั้งแต่หนึ่งรายการขึ้นไปที่กล่าวถึงข้างต้น มาดูหลักเกณฑ์แต่ละข้อและวิธีเชื่อมโยงกับธุรกิจกัน:

1. ความปลอดภัย: หลักการนี้อ้างอิงถึงทรัพยากรระบบขององค์กรและวิธีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ทั้งทางกายภาพและทางตรรกะ การควบคุมการเข้าถึงป้องกันการนำออก การเปลี่ยนแปลง หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตพร้อมกับการโจรกรรม การละเมิด หรือการใช้ในทางที่ผิด วิธีที่สามารถจัดการสิ่งนี้ได้คือเครื่องมือรักษาความปลอดภัย เช่น การตรวจสอบสิทธิ์สองปัจจัย ไฟร์วอลล์เครือข่ายและแอป และการตรวจจับการบุกรุก เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตผ่านการละเมิดความปลอดภัย
2. ความพร้อมใช้งาน: หลักการนี้อ้างอิงถึงระบบ บริการ หรือผลิตภัณฑ์ที่พร้อมใช้งานสำหรับการดำเนินงานหรือใช้งานตามที่ระบุไว้ในสัญญาหรือข้อตกลงระดับบริการ (SLA) สิ่งนี้ถูกกำหนดโดยทั้งผู้ให้บริการและลูกค้าสำหรับระดับขั้นต่ำที่ยอมรับได้ และไม่ได้อ้างอิงถึงความสามารถในการใช้งานหรือการทำงานของระบบ แต่เป็นเกณฑ์การรักษาความปลอดภัยที่อาจส่งผลต่อการเข้าถึง วิธีที่สามารถจัดการได้คือการตรวจสอบประสิทธิภาพ การกู้คืนจากภัยพิบัติ และการจัดการเหตุการณ์ด้านความปลอดภัย
3. ความสมบูรณ์ในการประมวลผล: หลักการนี้อ้างอิงถึงระบบที่บรรลุวัตถุประสงค์ที่ตั้งใจไว้ ในแง่ของการส่งข้อมูลที่ถูกต้องในเวลาที่เหมาะสม และในราคาที่เหมาะสม ต้องถูกต้อง ครบถ้วน ทันเวลา ถูกต้อง และได้รับอนุญาต ซึ่งไม่จำเป็นต้องเท่ากับความสมบูรณ์ของข้อมูล เนื่องจากหากมีข้อผิดพลาดก่อนที่จะป้อนข้อมูลเข้าสู่ระบบซึ่งไม่ใช่ความรับผิดชอบของโปรเซสเซอร์ สามารถจัดการได้ผ่านกระบวนการประกันคุณภาพ (QA) และการตรวจสอบกระบวนการ
4. การ รักษาความลับ: หลักการนี้ขึ้นอยู่กับการพิจารณาว่าข้อมูลที่เป็นความลับได้รับการคุ้มครอง ซึ่งอาจเป็นข้อมูลที่จำกัดการเข้าถึงหรือเปิดเผยโดยเฉพาะ เช่น โครงสร้างราคาภายใน ทรัพย์สินทางปัญญา หรือข้อมูลทางการเงินที่ละเอียดอ่อน ซึ่งหมายความว่าการส่งควรรวมถึงการเข้ารหัสและพื้นที่จัดเก็บควรมีการควบคุมการเข้าถึง ไฟร์วอลล์เครือข่าย/แอปเพื่อปกป้องผู้ใช้ที่ไม่ได้รับอนุญาตอีกครั้ง
5. ความเป็นส่วนตัว: หลักการสุดท้ายเกี่ยวข้องกับการรวบรวม การใช้ การเก็บรักษา การเปิดเผย และการกำจัดข้อมูลส่วนบุคคลของระบบตามประกาศความเป็นส่วนตัวของบริษัท ตลอดจนเกณฑ์ในหลักการความเป็นส่วนตัวที่ยอมรับโดยทั่วไปของ AICPA (GAPP) ซึ่งรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) เช่น ชื่อ ที่อยู่ หรือหมายเลขประกันสังคม ที่สามารถใช้เพื่อระบุตัวบุคคลหรือข้อมูลส่วนบุคคลอื่นๆ ที่ถือว่ามีความละเอียดอ่อน เช่น บันทึกด้านสุขภาพ ซึ่งทำได้โดยใช้การควบคุมการเข้าถึง การตรวจสอบสิทธิ์แบบ 2 ปัจจัย และการเข้ารหัส

ใครต้องการ SOC 2

ตามที่ระบุไว้ก่อนหน้านี้ การปฏิบัติตาม SOC 2 เป็นหนึ่งในมาตรฐานการตรวจสอบที่ได้รับการยอมรับอย่างกว้างขวางที่สุดสำหรับการรักษาความปลอดภัยและการจัดการข้อมูล ซึ่งหมายความว่าหลายบริษัทจะต้องได้รับรายงานก่อนที่จะสามารถอนุมัติการซื้อซอฟต์แวร์หรือบริการใหม่ได้

รายงาน SOC 2 จะแสดงผู้ที่มีแนวโน้มจะเป็นลูกค้าและลูกค้าปัจจุบันที่คุณมุ่งมั่นที่จะปกป้องลูกค้าและผลประโยชน์ของตัวเอง อุตสาหกรรมบางประเภทที่ควรสอดคล้องกับ SOC 2 ได้แก่:

• การบัญชี, คลาวด์คอมพิวติ้ง, CRMs, การวิเคราะห์ข้อมูล, การจัดการเอกสารหรือบันทึก, บริการทางการเงิน, HR, การจัดการความปลอดภัยด้านไอที, การเรียกร้องทางการแพทย์, ผู้ขาย SaaS (เช่น Justuno!) และอีกมากมาย

เหตุใด SOC 2 จึงมีความสำคัญ

การปฏิบัติตาม SOC 2 เป็นสิ่งจำเป็นสำหรับผู้ให้บริการที่ทำงานในสาขาที่มีการควบคุมอย่างเข้มงวดหรือกับลูกค้าที่เป็นบริษัทที่ซื้อขายในตลาดหลักทรัพย์ เพื่อให้ถูกมองว่าเป็นผู้ขายที่สามารถจ้างได้ รายงานนี้ช่วยให้ผู้มีแนวโน้มจะเป็นลูกค้ามั่นใจได้ว่าข้อมูลของพวกเขาได้รับการปกป้อง และคุณจะไม่มีโอกาสแนะนำช่องโหว่ในระบบของพวกเขาผ่านการบูรณาการ

เนื่องจากความเป็นส่วนตัวของข้อมูลมีความสำคัญมากขึ้นเรื่อยๆ และมีการแนะนำกฎระเบียบมากขึ้น การปฏิบัติตาม SOC 2 จึงมีความสำคัญมากขึ้นเท่านั้น เหตุผลเพียงไม่กี่ข้อที่มีความสำคัญ:

• บริษัทต่างๆ อาจสูญเสียธุรกิจไปโดยไม่ได้สิ่งนั้น หรือในทางกลับกัน ก็สามารถได้เปรียบในการแข่งขันเหนือคู่แข่งที่เคลื่อนไหวช้ากว่า
• ราคาถูกกว่าการละเมิดข้อมูลครั้งใหญ่
• ช่วยเพิ่มชื่อเสียงและความน่าเชื่อถือของบริษัท

อย่างไรก็ตาม SOC 2 ไม่ใช่รายงาน SOC ประเภทเดียว แต่มีอีกสองรายงาน:

• SOC 1: รายงานเกี่ยวกับการควบคุมภายในของการรายงานทางการเงินเพื่อให้มั่นใจว่าข้อมูลทางการเงินของผู้ใช้จะได้รับการจัดการอย่างปลอดภัย และสร้างขึ้นสำหรับผู้ตรวจสอบรายอื่น สิ่งนี้จำเป็นสำหรับบางองค์กรในการปฏิบัติตาม กล่าวคือ บริษัทที่ซื้อขายในตลาดหลักทรัพย์
• SOC 3: รายงานเกี่ยวกับ TSC 5 รายการเดียวกันกับ SOC 2 แต่เปิดเผยต่อสาธารณะสำหรับทุกคนที่มีข้อมูลระดับสูงเท่านั้น เนื่องจาก SOC 2 มีโครงร่างโครงสร้างพื้นฐานที่มีความละเอียดอ่อนสูง

ในตอนท้าย ประเภทของ SOC ที่รายงานคุณในฐานะบริษัทควรค้นหานั้นขึ้นอยู่กับบริการที่จัดให้และลูกค้าที่ติดตาม

ปิดความคิด

การปฏิบัติตาม SOC 2 นั้นไม่ใช่ข้อกำหนดสำหรับผู้ให้บริการ SaaS แต่ความสำคัญของมันไม่สามารถพูดเกินจริงได้ ไม่ว่าคุณจะเป็นธุรกิจที่กำลังมองหารายงาน SOC ของตัวเองหรือบริษัทที่ต้องการเปรียบเทียบผู้ขายภายนอก สิ่งสำคัญคือต้องเข้าใจว่าการตรวจสอบ SOC คืออะไร สิ่งที่ควรมองหาในระบบของบริษัท และผลกระทบที่มีต่อองค์กรของคุณเอง

Justuno เป็นไปตามข้อกำหนด SOC 2 Type II ใน TSCs: ความปลอดภัย ความพร้อมใช้งาน และความสมบูรณ์ในการประมวลผล ซึ่งได้รับการรับรองโดย Dansa, D'Arata, Soucia LLP ในปี 2564 เนื่องจากเป็นแพลตฟอร์ม SaaS ที่จัดการข้อมูลส่วนบุคคลอย่างต่อเนื่องและมักเป็นข้อมูลที่ละเอียดอ่อน Justuno จึงมีความสำคัญ ที่เรารักษาและรักษามาตรฐานการรักษาความปลอดภัย ความสมบูรณ์ และความเป็นส่วนตัวที่เข้มงวดที่สุด