什么是 SOC 2:数据安全和了解 SOC 2 合规性指南

已发表: 2021-06-24

在当今数据驱动的社会中,信息安全是大多数企业的首要考虑。 在内部问题和外部漏洞之间,例如将业务功能外包给第三方供应商(例如 SaaS 或云计算提供商),数据可能会以多种方式面临风险或暴露。 这可能使任何规模的企业都容易受到数据盗窃、勒索软件、恶意软件和泄漏的影响,但较大的企业组织面临的风险最大。

如果您的企业具有安全意识并希望与新的应用程序或供应商合作,或者只是重新评估您当前的技术堆栈,您应该考虑将 SOC 2 合规性作为最低要求。 SOC 2 合规性被认为是美国注册会计师协会 (AICPA) 制定的最严格和行业认可的审计标准之一,旨在帮助服务提供商安全地管理云中的数据。 对于希望保持竞争力的 SaaS 公司或与企业级客户合作的公司,这正迅速成为一项要求,其中许多公司都受制于自己的安全和合规控制。

什么是 SOC 2

服务组织控制 (SOC) 2 或 SOC 2 是 AICPA 创建的一组标准,用于评估公司非财务报告和客户数据管理的系统、流程和控制。 该审计程序基于五项信任服务标准 (TSC),是每个公司、其业务实践和相应控制措施所独有的松散框架。 五个 TSC 是安全性、可用性、处理完整性、机密性和隐私性。

当外部审核员能够完成有关供应商如何遵守这些 TSC 中的一个或多个的评估时,将获得 SOC 2 认证。 审计完成后,供应商最终将获得 I 类或 II 类 SOC 报告,概述其内部控制如何解决与五个标准相关的风险。

SOC 2 I 类认证意味着审核员已评估组织的范围和与相关 TSC 相关的内部控制流程的设计。 该报告是在某个时间点评估控制,因此不会评估一致的性能,并且是获得 II 类认证的初步步骤。 将类型 I 视为理论基线,公司的控制设计在其中进行检查和实施,但尚未经过“道路测试”。

在审核员能够在指定时间段内(通常为 6 到 12 个月)检查这些控制的运行有效性后,可以获得 SOC 2 Type II 认证。 这比 I 类报告高出一步,因为它证实了控制过程不仅设计良好、实施良好,而且始终如一地执行。 将 Type II 想象成真实世界,在那里它们被正确地、就地构建并且被证明可以为客户提供更多的信心。

SOC 2 认证的组成部分

正如我们之前所说,当外部审核员认为服务提供商符合上述一个或多个相关 TSC 时,将授予 SOC 2 认证。 让我们深入研究这些标准中的每一个,以及它们如何与业务相关联:

  1. 安全性:此原则涉及组织的系统资源以及如何保护它们免受未经授权的访问,无论是物理的还是逻辑的。 访问控制防止未经授权的删除、更改或披露信息以及盗窃、滥用或误用。 可以管理这种情况的方法是安全工具,例如双因素身份验证、网络和应用程序防火墙以及入侵检测,以防止通过安全漏洞进行未经授权的访问。
  2. 可用性:此原则是指合同或服务水平协议 (SLA) 中规定的可供操作或使用的系统、服务或产品。 这是由提供商和客户共同确定的可接受的最低级别,而不是参考系统的可用性或功能,而是可能影响访问的安全标准。 可以对其进行管理的方法是性能监控、灾难恢复和安全事件处理。
  3. 处理完整性:这个原则是指一个系统可以实现其预期目的,即在正确的时间以正确的成本交付正确的数据。 它必须准确、完整、及时、有效和授权。 这并不一定等于数据完整性,因为如果在输入系统之前出现错误,则不是处理器的责任。 这可以通过质量保证 (QA) 程序和过程监控来管理。
  4. 机密性:此原则基于机密数据受到保护的考虑。 这可以是访问或披露受到特别限制的数据,例如内部定价结构、知识产权或敏感的财务信息。 这意味着传输应包括加密,存储应具有访问控制、网络/应用程序防火墙以再次保护未经授权的用户。
  5. 隐私:最后一个原则涉及系统根据公司自己的隐私声明以及 AICPA 普遍接受的隐私原则 (GAPP) 中的标准收集、使用、保留、披露和处置个人信息。 这包括个人身份信息 (PII),例如姓名、地址或社会安全号码,可用于识别个人或其他被视为敏感的个人数据,例如健康记录。 这是使用访问控制、2 因素身份验证和加密来完成的。

谁需要 SOC 2

如前所述,SOC 2 合规性是最广泛接受的数据安全和管理审计标准之一,这意味着许多公司在批准购买新软件或服务之前需要一份报告。

SOC 2 报告将向潜在客户和现有客户展示您致力于保护其客户和自身利益的承诺。 一些应该符合 SOC 2 的行业包括:

  • 会计、云计算、CRM、数据分析、文档或记录管理、金融服务、人力资源、IT 安全管理、医疗索赔、SaaS 供应商(如 Justuno!)等等。

为什么 SOC 2 很重要

SOC 2 合规性对于在高度监管领域工作的服务提供商或与上市公司客户合作的服务提供商而言是必要的,这样才能被视为可行的雇佣供应商。 该报告使潜在客户确信他们的数据受到保护,并且您不可能通过集成将漏洞引入他们的系统。

随着数据隐私的重要性不断提高以及引入更多法规,SOC 2 合规性只会变得更加重要。 之所以重要,有几个原因:

  • 没有它,公司可能会失去业务,反之亦然,可以比行动缓慢的竞争对手获得竞争优势。
  • 它比大规模数据泄露更便宜
  • 它提高了公司的声誉和可信度

但是,SOC 2 并不是唯一的 SOC 报告,还有另外两种:

  • SOC 1:关于财务报告内部控制的报告,以确保用户的财务信息得到安全处理,并为其他审计师生成。 这实际上可能要求某些组织(即上市公司)遵守。
  • SOC 3:报告与 SOC 2 相同的 5 个 TSC,但由于 SOC 2 包含高度敏感的基础设施大纲,因此只有高度信息的任何人都可以公开获得。

归根结底,您作为公司应寻求的 SOC 报告类型取决于所提供的服务和所追求的客户。

结束的想法

SOC 2 合规性不是 SaaS 提供商的要求,但其重要性怎么强调都不为过。 无论您是寻求自己的 SOC 报告的企业,还是希望比较外部供应商的公司,了解什么是 SOC 审核、在公司系统中寻找什么以及它如何影响您自己的组织都非常重要。

Justuno 符合 TSC 中的 SOC 2 Type II:安全性、可用性和处理完整性,并于 2021 年获得 Dansa、D'Arata、Soucia LLP 的认证。作为一个不断处理个人数据和敏感信息的 SaaS 平台,对 Justuno 来说很重要我们坚持并维护最严格的安全、完整性和隐私标准。