Apa itu SOC 2: Panduan Keamanan Data dan Memahami Kepatuhan SOC 2

Dalam masyarakat yang didorong oleh data saat ini, keamanan informasi berada di garis depan sebagian besar bisnis. Antara masalah internal dan kerentanan eksternal, seperti mengalihdayakan fungsi bisnis ke vendor pihak ketiga (misalnya penyedia SaaS atau cloud-computing), ada beberapa cara data dapat menjadi berisiko atau terpapar. Hal ini dapat membuat bisnis dengan ukuran berapa pun rentan terhadap pencurian data, ransomware, malware, dan kebocoran, tetapi organisasi perusahaan yang lebih besar adalah yang paling berisiko.

Jika bisnis Anda sadar akan keamanan dan ingin bekerja dengan aplikasi atau vendor baru, atau hanya mengevaluasi kembali tumpukan teknologi Anda saat ini, Anda harus mempertimbangkan untuk menggunakan kepatuhan SOC 2 sebagai persyaratan minimum. Kepatuhan SOC 2 dianggap sebagai salah satu standar audit yang paling ketat dan diterima industri yang ditetapkan oleh American Institute of Certified Public Accountants (AICPA) untuk membantu penyedia layanan mengelola data di cloud dengan aman. Ini dengan cepat menjadi persyaratan bagi perusahaan SaaS yang ingin tetap kompetitif atau mereka yang bekerja dengan klien tingkat perusahaan, banyak di antaranya tunduk pada kontrol keamanan dan kepatuhan mereka sendiri.

Apa itu SOC2?

Service Organization Control (SOC) 2 atau SOC 2, adalah seperangkat kriteria yang dibuat oleh AICPA tentang cara menilai sistem, proses, dan kontrol yang ada untuk pelaporan non-keuangan perusahaan dan manajemen data pelanggan. Prosedur audit ini didasarkan pada lima kriteria layanan kepercayaan (TSC) dan merupakan kerangka kerja longgar yang unik untuk setiap perusahaan, praktik bisnisnya, dan kontrol terkait. Lima TSC adalah keamanan, ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi.

Sertifikasi SOC 2 diperoleh ketika auditor luar telah dapat menyelesaikan penilaian tentang bagaimana vendor mematuhi satu atau lebih TSC ini. Setelah audit ini selesai, vendor akan mendapatkan laporan SOC Tipe I atau Tipe II yang menguraikan bagaimana pengendalian internal mereka menangani risiko yang terkait dengan lima kriteria.

Sertifikasi SOC 2 Tipe I berarti bahwa auditor telah menilai ruang lingkup organisasi dan desain proses pengendalian internal yang terkait dengan TSC yang relevan. Laporan ini mengevaluasi kontrol pada satu titik waktu, sehingga kinerja yang konsisten tidak dievaluasi dan merupakan langkah awal untuk mencapai sertifikasi Tipe II. Pikirkan Tipe I sebagai dasar teoretis, di mana desain kontrol perusahaan diperiksa dan diimplementasikan, tetapi belum "diuji di jalan".

Sertifikasi SOC 2 Tipe II dapat dicapai setelah auditor dapat memeriksa efektivitas operasi pengendalian ini selama periode waktu tertentu, biasanya enam hingga 12 bulan. Ini adalah langkah di atas laporan Tipe I karena menegaskan proses kontrol tidak hanya dirancang dengan baik, diimplementasikan, tetapi juga dilakukan secara konsisten. Pikirkan Tipe II sebagai dunia nyata, di mana mereka dibangun dengan benar, di tempat, dan terbukti bekerja memberikan kepercayaan lebih bagi pelanggan.

Apa yang membentuk Sertifikasi SOC 2?

Seperti yang kami katakan sebelumnya, sertifikasi SOC 2 diberikan ketika auditor luar menganggap penyedia layanan mematuhi satu atau lebih TSC terkait yang disebutkan di atas. Mari selami masing-masing kriteria ini dan bagaimana mereka dapat berhubungan dengan bisnis:

1. Keamanan: Prinsip ini mengacu pada sumber daya sistem organisasi dan bagaimana mereka dilindungi dari akses yang tidak sah, baik fisik maupun logis. Kontrol akses mencegah penghapusan, pengubahan, atau pengungkapan informasi yang tidak sah bersama dengan pencurian, penyalahgunaan, atau penyalahgunaan. Cara di mana ini dapat dikelola adalah alat keamanan seperti otentikasi dua faktor, firewall jaringan dan aplikasi, dan deteksi intrusi untuk mencegah akses tidak sah melalui pelanggaran keamanan.
2. Ketersediaan: Prinsip ini mengacu pada sistem, layanan, atau produk yang tersedia untuk operasi atau penggunaan sebagaimana diuraikan dalam kontrak atau perjanjian tingkat layanan (SLA). Ini ditentukan oleh penyedia dan pelanggan untuk tingkat minimum yang dapat diterima dan tidak mengacu pada kegunaan atau fungsionalitas sistem, tetapi kriteria keamanan yang dapat memengaruhi akses. Cara-cara di mana hal ini dapat dikelola adalah pemantauan kinerja, pemulihan bencana, dan penanganan insiden keamanan.
3. Integritas Pemrosesan: Prinsip ini mengacu pada sistem yang mencapai tujuan yang dimaksudkan, dalam hal memberikan data yang tepat pada waktu yang tepat, dan dengan biaya yang tepat. Itu harus akurat, lengkap, tepat waktu, valid, dan resmi. Ini belum tentu sama dengan integritas data, karena jika ada kesalahan sebelum dimasukkan ke sistem, itu bukan tanggung jawab prosesor. Ini dapat dikelola melalui prosedur jaminan kualitas (QA) dan pemantauan proses.
4. Kerahasiaan: Prinsip ini didasarkan pada pertimbangan bahwa data rahasia dilindungi. Ini dapat berupa data yang akses atau pengungkapannya dibatasi secara khusus seperti, struktur penetapan harga internal, kekayaan intelektual, atau informasi keuangan yang sensitif. Ini berarti transmisi harus mencakup enkripsi dan penyimpanan harus memiliki kontrol akses, firewall jaringan/aplikasi untuk melindungi kembali pengguna yang tidak sah.
5. Privasi: Prinsip terakhir menyentuh sistem pengumpulan, penggunaan, penyimpanan, pengungkapan, dan pembuangan informasi pribadi sesuai dengan pemberitahuan privasi perusahaan sendiri, serta kriteria dalam prinsip privasi yang diterima secara umum (GAPP) AICPA. Ini termasuk informasi pengenal pribadi (PII) seperti nama, alamat, atau nomor jaminan sosial yang dapat digunakan untuk mengidentifikasi individu atau data pribadi lainnya yang dianggap sensitif seperti catatan kesehatan. Ini dilakukan dengan menggunakan kontrol akses, otentikasi 2 faktor, dan enkripsi.

Siapa yang butuh SOC 2

Seperti yang dinyatakan sebelumnya, kepatuhan SOC 2 adalah salah satu standar audit yang paling diterima secara luas untuk keamanan dan manajemen data, yang berarti bahwa banyak perusahaan akan memerlukan laporan sebelum mereka dapat menyetujui pembelian perangkat lunak atau layanan baru.

Laporan SOC 2 akan menunjukkan kepada prospek dan pelanggan saat ini bahwa Anda berkomitmen untuk melindungi kepentingan klien dan mereka sendiri. Beberapa industri yang harus mematuhi SOC 2 adalah:

• Akuntansi, komputasi awan, CRM, analisis data, manajemen dokumen atau catatan, layanan keuangan, SDM, manajemen keamanan TI, klaim medis, vendor SaaS (seperti Justuno!), dan banyak lagi.

Mengapa SOC 2 itu penting

Kepatuhan SOC 2 diperlukan untuk penyedia layanan yang bekerja di bidang yang sangat diatur atau dengan klien yang merupakan perusahaan publik, untuk dilihat sebagai vendor yang layak untuk disewa. Laporan ini memberi prospek keyakinan bahwa data mereka dilindungi dan Anda tidak mungkin memasukkan kerentanan ke dalam sistem mereka melalui integrasi.

Karena privasi data semakin penting dan lebih banyak peraturan diperkenalkan, kepatuhan SOC 2 hanya akan menjadi lebih penting. Hanya beberapa alasan mengapa ini penting:

• Perusahaan dapat kehilangan bisnis tanpanya, atau sebaliknya dapat memperoleh keunggulan kompetitif atas pesaing yang lebih lambat bergerak.
• Ini lebih murah daripada pelanggaran data besar-besaran
• Ini meningkatkan reputasi dan kepercayaan perusahaan

Namun, SOC 2 bukan satu-satunya jenis laporan SOC, ada dua lainnya:

• SOC 1: Laporan pengendalian internal pelaporan keuangan untuk memastikan pengguna informasi keuangan mereka ditangani dengan aman, dan dihasilkan untuk auditor lain. Ini sebenarnya dapat diwajibkan untuk dipatuhi oleh beberapa organisasi, yaitu perusahaan publik.
• SOC 3: Laporan tentang 5 TSC yang sama dengan SOC 2 tetapi tersedia untuk umum bagi siapa saja yang hanya memiliki informasi tingkat tinggi karena SOC 2 berisi garis besar infrastruktur yang sangat sensitif.

Pada akhirnya, jenis laporan SOC yang harus Anda cari sebagai perusahaan bergantung pada layanan yang diberikan dan klien yang dicari.

Menutup pikiran

Kepatuhan SOC 2 bukanlah persyaratan bagi penyedia SaaS, tetapi kepentingannya tidak dapat dilebih-lebihkan. Baik Anda bisnis yang mencari laporan SOC sendiri atau perusahaan yang ingin membandingkan vendor luar, penting untuk memahami apa itu audit SOC, apa yang harus dicari dalam sistem perusahaan, dan bagaimana hal itu memengaruhi organisasi Anda sendiri.

Justuno mematuhi SOC 2 Tipe II di TSC: Keamanan, Ketersediaan, dan Integritas Pemrosesan sebagaimana disertifikasi oleh Dansa, D'Arata, Soucia LLP pada tahun 2021. Sebagai platform SaaS yang terus-menerus menangani data pribadi dan seringkali informasi sensitif, penting bagi Justuno bahwa kita menjunjung tinggi dan mempertahankan standar keamanan, integritas, dan privasi yang paling ketat.