SOC Nedir: Veri Güvenliği ve SOC 2 Uyumluluğunu Anlama Kılavuzu

Yayınlanan: 2021-06-24

Günümüzün veri odaklı toplumunda, bilgi güvenliği çoğu işletmenin zihninde ön plandadır. İş işlevlerini üçüncü taraf bir satıcıya (örneğin bir SaaS veya bulut bilgi işlem sağlayıcısı) dış kaynak sağlamak gibi dahili endişeler ve harici güvenlik açıkları arasında, verilerin risk altında veya açıkta kalmasının çeşitli yolları vardır. Bu, her büyüklükteki işletmeyi veri hırsızlığına, fidye yazılımlarına, kötü amaçlı yazılımlara ve sızıntılara karşı savunmasız bırakabilir, ancak daha büyük kurumsal kuruluşlar en büyük risk altındadır.

İşletmeniz güvenlik bilincine sahipse ve yeni bir uygulama veya satıcıyla çalışmak veya mevcut teknoloji yığınınızı yeniden değerlendirmek istiyorsa, minimum gereksinim olarak SOC 2 uyumluluğunu kullanmayı düşünmelisiniz. SOC 2 uyumluluğu, hizmet sağlayıcıların buluttaki verileri güvenli bir şekilde yönetmesine yardımcı olmak için Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından belirlenen en katı ve endüstri tarafından kabul edilen denetim standartlarından biri olarak kabul edilir. Rekabetçi kalmak isteyen SaaS şirketleri veya çoğu kendi güvenlik ve uyumluluk kontrollerine tabi olan kurumsal düzeydeki müşterilerle çalışanlar için hızla bir gereklilik haline geliyor.

SOC 2 nedir

Hizmet Organizasyonu Kontrolü (SOC) 2 veya SOC 2, bir şirketin finansal olmayan raporlama ve müşteri veri yönetimi için sistemlerin, süreçlerin ve kontrollerin nasıl değerlendirileceği konusunda AICPA tarafından oluşturulan bir dizi kriterdir. Bu denetim prosedürü, beş güven hizmeti kriterine (TSC) dayanmaktadır ve her şirkete, iş uygulamalarına ve ilgili kontrollere özgü gevşek bir çerçevedir. Beş TSC, güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyettir.

Bir SOC 2 sertifikası, bir dış denetçi, bir satıcının bu TSC'lerden bir veya daha fazlasına nasıl uyduğuna ilişkin bir değerlendirmeyi tamamlayabildiğinde kazanılır. Bu denetim tamamlandıktan sonra, satıcı, iç kontrollerinin beş kriterle ilgili riskleri nasıl ele aldığını özetleyen bir Tip I veya Tip II SOC raporu ile sonuçlanacaktır.

SOC 2 Tip I sertifikası, bir denetçinin, ilgili TSC'lerle ilgili olarak kuruluşun kapsamını ve iç kontrol süreçlerinin tasarımını değerlendirdiği anlamına gelir. Bu rapor, belirli bir zamanda kontrolleri değerlendirmektedir, bu nedenle tutarlı performans değerlendirilmemektedir ve bir Tip II sertifikası elde etmek için bir ön adımdır. Tip I'i, bir şirketin kontrol tasarımının incelendiği ve uygulandığı, ancak bunların "yol testinden geçirilmediği" teorik bir temel olarak düşünün.

SOC 2 Tip II sertifikası, denetçi bu kontrollerin belirli bir süre boyunca, tipik olarak altı ila 12 ay boyunca işleyiş etkinliğini inceleyebildikten sonra alınabilir. Bu, Tip I raporunun üzerinde bir adımdır, çünkü kontrol süreçlerinin sadece iyi tasarlandığını, uygulandığını değil, aynı zamanda tutarlı bir şekilde gerçekleştirildiğini teyit eder. Tip II'yi, doğru, yerinde inşa edildikleri ve müşterilere daha da fazla güven sağlamak için çalıştıkları kanıtlanmış gerçek dünya olarak düşünün.

SOC 2 Sertifikasyonunu oluşturan unsurlar

Daha önce de belirttiğimiz gibi, bir dış denetçi, bir hizmet sağlayıcının yukarıda belirtilen ilgili TSC'lerden bir veya daha fazlası ile uyumlu olduğuna karar verdiğinde bir SOC 2 sertifikası verilir. Şimdi bu kriterlerin her birine ve bir işletmeyle nasıl ilişkilendirilebileceklerine bakalım:

  1. Güvenlik: Bu ilke, bir kuruluşun sistem kaynaklarına ve bunların fiziksel veya mantıksal olarak yetkisiz erişime karşı nasıl korunduğuna atıfta bulunur. Erişim kontrolleri, bilgilerin yetkisiz olarak kaldırılmasını, değiştirilmesini veya ifşa edilmesini, ayrıca hırsızlık, kötüye kullanım veya kötüye kullanımı önler. Bunun yönetilebileceği yollar, iki faktörlü kimlik doğrulama, ağ ve uygulama güvenlik duvarları ve güvenlik ihlalleri yoluyla yetkisiz erişimi önlemek için izinsiz giriş tespiti gibi güvenlik araçlarıdır.
  2. Kullanılabilirlik: Bu ilke, bir sözleşmede veya hizmet düzeyi sözleşmesinde (SLA) ana hatlarıyla belirtildiği gibi çalıştırma veya kullanım için mevcut olan sistem, hizmet veya ürüne atıfta bulunur. Bu, hem sağlayıcı hem de müşteri tarafından kabul edilebilir bir minimum seviye için belirlenir ve bir sistemin kullanılabilirliği veya işlevselliğine değil, erişimi etkileyebilecek güvenlik kriterlerine atıfta bulunur. Bunun yönetilebileceği yollar performans izleme, olağanüstü durum kurtarma ve güvenlik olaylarının ele alınmasıdır.
  3. İşleme Bütünlüğü: Bu ilke, doğru verinin doğru zamanda ve doğru maliyetle iletilmesi açısından amacına ulaşan bir sisteme atıfta bulunmaktır. Doğru, eksiksiz, zamanında, geçerli ve yetkili olmalıdır. Bu, mutlaka veri bütünlüğüne eşit değildir, çünkü sisteme giriş yapılmadan önce işlemcinin sorumluluğunda olmayan hatalar olmuşsa. Bu, kalite güvence (QA) prosedürleri ve süreç izleme yoluyla yönetilebilir.
  4. Gizlilik: Bu ilke, gizli verilerin korunduğu düşüncesine dayanmaktadır. Bu, dahili fiyatlandırma yapıları, fikri mülkiyet veya hassas finansal bilgiler gibi erişimi veya ifşası özellikle kısıtlanmış veriler olabilir. Bu, iletimin şifreleme içermesi gerektiği ve depolamanın, yetkisiz kullanıcıları tekrar korumak için erişim kontrollerine, ağ/uygulama güvenlik duvarlarına sahip olması gerektiği anlamına gelir.
  5. Gizlilik: Son ilke, sistemin kişisel bilgilerin şirketin kendi gizlilik bildirimine ve ayrıca AICPA'nın genel kabul görmüş gizlilik ilkelerindeki (GAPP) kriterlere uygun olarak toplanması, kullanılması, saklanması, ifşa edilmesi ve elden çıkarılmasına değinir. Bu, bir bireyi veya sağlık kayıtları gibi hassas olduğu düşünülen diğer kişisel verileri tanımlamak için kullanılabilecek adlar, adresler veya sosyal güvenlik numaraları gibi kişisel olarak tanımlanabilir bilgileri (PII) içerir. Bu, erişim kontrolleri, 2 faktörlü kimlik doğrulama ve şifreleme kullanılarak yapılır.

SOC 2'ye kimin ihtiyacı var?

Daha önce belirtildiği gibi, SOC 2 uyumluluğu, veri güvenliği ve yönetimi için en yaygın olarak kabul edilen denetim standartlarından biridir; bu, birçok şirketin yeni bir yazılım veya hizmet satın almayı onaylamadan önce bir rapora ihtiyaç duyacağı anlamına gelir.

SOC 2 raporu, potansiyel müşterilerinizi ve mevcut müşterilerinizi, müşterilerinin ve kendi çıkarlarını korumaya adadığınızı gösterecektir. SOC 2 uyumlu olması gereken bazı sektörler şunlardır:

  • Muhasebe, bulut bilişim, CRM'ler, veri analizi, belge veya kayıt yönetimi, finansal hizmetler, İK, BT güvenlik yönetimi, tıbbi talepler, SaaS satıcıları (Justuno gibi!) ve daha fazlası.

SOC 2 neden önemlidir?

SOC 2 uyumluluğu, yüksek düzeyde düzenlemeye tabi alanlarda çalışan hizmet sağlayıcılar veya halka açık şirketler olan müşterilerle, işe alınabilir bir satıcı olarak görülmeleri için gereklidir. Bu rapor, potansiyel müşterilere verilerinin korunduğuna dair güven verir ve entegrasyonlar aracılığıyla sistemlerine güvenlik açıkları ekleme olasılığınız yoktur.

Veri gizliliğinin önemi artmaya devam ettikçe ve daha fazla düzenleme getirildikçe, SOC 2 uyumluluğu yalnızca daha önemli hale gelecektir. Önemli olmasının birkaç nedeni:

  • Şirketler onsuz işlerini kaybedebilir veya tam tersi, daha yavaş hareket eden rakiplere göre rekabet avantajı elde edebilir.
  • Büyük bir veri ihlalinden daha ucuzdur
  • Bir şirketin itibarını ve güvenilirliğini artırır

Ancak, SOC 2, etraftaki tek SOC raporu türü değil, iki tane daha var:

  • SOC 1: Kullanıcılara mali bilgilerinin güvenli bir şekilde işlendiğinden ve diğer denetçiler için oluşturulduğundan emin olmak için mali raporlamanın iç kontrollerine ilişkin raporlar. Bu aslında bazı kuruluşların, yani halka açık şirketlere uyması için gerekli olabilir.
  • SOC 3: SOC 2 ile aynı 5 TSC hakkında raporlar, ancak SOC 2 son derece hassas altyapı anahatları içerdiğinden, yalnızca yüksek düzeyde bilgiye sahip herkes tarafından kamuya açıktır.

Günün sonunda, bir şirket olarak aramanız gereken SOC raporunun türü, sağlanan hizmetlere ve takip edilen müşteri kitlesine bağlıdır.

Kapanış düşünceleri

SOC 2 uyumluluğu, SaaS sağlayıcıları için bir gereklilik değildir, ancak önemi göz ardı edilemez. İster kendi SOC raporlarını arayan bir işletme olun, ister dış satıcıları karşılaştırmak isteyen bir şirket olun, SOC denetiminin ne olduğunu, bir şirketin sistemlerinde nelere dikkat edilmesi gerektiğini ve bunun kendi kuruluşunuzu nasıl etkilediğini anlamak önemlidir.

Justuno, 2021 yılında Dansa, D'Arata, Soucia LLP tarafından onaylandığı üzere TSC'lerde SOC 2 Tip II uyumludur: Güvenlik, Kullanılabilirlik ve İşleme Bütünlüğü. Kişisel verileri ve genellikle hassas bilgileri sürekli olarak işleyen bir SaaS platformu olarak Justuno için önemlidir en katı güvenlik, bütünlük ve gizlilik standartlarını desteklediğimizi ve koruduğumuzu.