什麼是 SOC 2:數據安全和了解 SOC 2 合規性指南

已發表: 2021-06-24

在當今數據驅動的社會中,信息安全是大多數企業的首要考慮。 在內部問題和外部漏洞之間,例如將業務功能外包給第三方供應商(例如 SaaS 或云計算提供商),數據可能會以多種方式面臨風險或暴露。 這可能使任何規模的企業都容易受到數據盜竊、勒索軟件、惡意軟件和洩漏的影響,但較大的企業組織面臨的風險最大。

如果您的企業具有安全意識並希望與新的應用程序或供應商合作,或者只是重新評估您當前的技術堆棧,您應該考慮將 SOC 2 合規性作為最低要求。 SOC 2 合規性被認為是美國註冊會計師協會 (AICPA) 制定的最嚴格和行業認可的審計標準之一,旨在幫助服務提供商安全地管理雲中的數據。 對於希望保持競爭力的 SaaS 公司或與企業級客戶合作的公司,這正迅速成為一項要求,其中許多公司都受制於自己的安全和合規控制。

什麼是 SOC 2

服務組織控制 (SOC) 2 或 SOC 2 是 AICPA 創建的一組標準,用於評估公司非財務報告和客戶數據管理的系統、流程和控制。 該審計程序基於五項信任服務標準 (TSC),是每個公司、其業務實踐和相應控制措施所獨有的鬆散框架。 五個 TSC 是安全性、可用性、處理完整性、機密性和隱私性。

當外部審核員能夠完成有關供應商如何遵守這些 TSC 中的一個或多個的評估時,將獲得 SOC 2 認證。 審計完成後,供應商最終將獲得 I 類或 II 類 SOC 報告,概述其內部控制如何解決與五個標準相關的風險。

SOC 2 I 類認證意味著審核員已評估組織的範圍和與相關 TSC 相關的內部控制流程的設計。 該報告是在某個時間點評估控制,因此不會評估一致的性能,並且是獲得 II 類認證的初步步驟。 將類型 I 視為理論基線,公司的控制設計在其中進行檢查和實施,但尚未經過“道路測試”。

在審核員能夠在指定時間段內(通常為 6 到 12 個月)檢查這些控制的運行有效性後,可以獲得 SOC 2 Type II 認證。 這比 I 類報告高出一步,因為它證實了控製過程不僅設計良好、實施良好,而且始終如一地執行。 將 Type II 想像成真實世界,在那裡它們被正確地、就地構建並且被證明可以為客戶提供更多的信心。

SOC 2 認證的組成部分

正如我們之前所說,當外部審核員認為服務提供商符合上述一個或多個相關 TSC 時,將授予 SOC 2 認證。 讓我們深入研究這些標準中的每一個,以及它們如何與業務相關聯:

  1. 安全性:此原則涉及組織的系統資源以及如何保護它們免受未經授權的訪問,無論是物理的還是邏輯的。 訪問控制防止未經授權的刪除、更改或披露信息以及盜竊、濫用或誤用。 可以管理這種情況的方法是安全工具,例如雙因素身份驗證、網絡和應用程序防火牆以及入侵檢測,以防止通過安全漏洞進行未經授權的訪問。
  2. 可用性:此原則是指合同或服務水平協議 (SLA) 中規定的可供操作或使用的系統、服務或產品。 這是由提供商和客戶共同確定的可接受的最低級別,而不是參考系統的可用性或功能,而是可能影響訪問的安全標準。 可以對其進行管理的方法是性能監控、災難恢復和安全事件處理。
  3. 處理完整性:這個原則是指一個系統可以實現其預期目的,即在正確的時間以正確的成本交付正確的數據。 它必須準確、完整、及時、有效和授權。 這並不一定等於數據完整性,因為如果在輸入系統之前出現錯誤,則不是處理器的責任。 這可以通過質量保證 (QA) 程序和過程監控來管理。
  4. 機密性:此原則基於機密數據受到保護的考慮。 這可以是訪問或披露受到特別限制的數據,例如內部定價結構、知識產權或敏感的財務信息。 這意味著傳輸應包括加密,存儲應具有訪問控制、網絡/應用程序防火牆以再次保護未經授權的用戶。
  5. 隱私:最後一個原則涉及系統根據公司自己的隱私聲明以及 AICPA 普遍接受的隱私原則 (GAPP) 中的標準收集、使用、保留、披露和處置個人信息。 這包括個人身份信息 (PII),例如姓名、地址或社會安全號碼,可用於識別個人或其他被視為敏感的個人數據,例如健康記錄。 這是使用訪問控制、2 因素身份驗證和加密來完成的。

誰需要 SOC 2

如前所述,SOC 2 合規性是最廣泛接受的數據安全和管理審計標準之一,這意味著許多公司在批准購買新軟件或服務之前需要一份報告。

SOC 2 報告將向潛在客戶和現有客戶展示您致力於保護其客戶和自身利益的承諾。 一些應該符合 SOC 2 的行業包括:

  • 會計、雲計算、CRM、數據分析、文檔或記錄管理、金融服務、人力資源、IT 安全管理、醫療索賠、SaaS 供應商(如 Justuno!)等等。

為什麼 SOC 2 很重要

SOC 2 合規性對於在高度監管領域工作的服務提供商或與上市公司客戶合作的服務提供商而言是必要的,這樣才能被視為可行的僱傭供應商。 該報告使潛在客戶確信他們的數據受到保護,並且您不可能通過集成將漏洞引入他們的系統。

隨著數據隱私的重要性不斷提高以及引入更多法規,SOC 2 合規性只會變得更加重要。 之所以重要,有幾個原因:

  • 沒有它,公司可能會失去業務,反之亦然,可以比行動緩慢的競爭對手獲得競爭優勢。
  • 它比大規模數據洩露更便宜
  • 它提高了公司的聲譽和可信度

但是,SOC 2 並不是唯一的 SOC 報告,還有另外兩種:

  • SOC 1:關於財務報告內部控制的報告,以確保用戶的財務信息得到安全處理,並為其他審計師生成。 這實際上可能要求某些組織(即上市公司)遵守。
  • SOC 3:報告與 SOC 2 相同的 5 個 TSC,但由於 SOC 2 包含高度敏感的基礎設施大綱,因此只有高度信息的任何人都可以公開獲得。

歸根結底,您作為公司應尋求的 SOC 報告類型取決於所提供的服務和所追求的客戶。

結束的想法

SOC 2 合規性不是 SaaS 提供商的要求,但其重要性怎麼強調都不為過。 無論您是尋求自己的 SOC 報告的企業,還是希望比較外部供應商的公司,了解什麼是 SOC 審核、在公司係統中尋找什麼以及它如何影響您自己的組織都非常重要。

Justuno 符合 TSC 中的 SOC 2 Type II:安全性、可用性和處理完整性,並於 2021 年獲得 Dansa、D'Arata、Soucia LLP 的認證。作為一個不斷處理個人數據和敏感信息的 SaaS 平台,對 Justuno 來說很重要我們堅持並維護最嚴格的安全、完整性和隱私標準。