Что такое SOC 2: Руководство по безопасности данных и понимание соответствия SOC 2

Опубликовано: 2021-06-24

В современном обществе, управляемом данными, информационная безопасность находится в центре внимания большинства компаний. Между внутренними проблемами и внешними уязвимостями, такими как передача бизнес-функций стороннему поставщику (например, поставщику SaaS или облачных вычислений), существует ряд способов, которыми данные могут подвергаться риску или подвергаться риску. Это может сделать бизнес любого размера уязвимым для кражи данных, программ-вымогателей, вредоносных программ и утечек, но более крупные корпоративные организации подвергаются наибольшему риску.

Если ваш бизнес заботится о безопасности и хочет работать с новым приложением или поставщиком или просто переоценивает свой текущий технологический стек, вам следует рассмотреть возможность использования соответствия SOC 2 в качестве минимального требования. Соответствие SOC 2 считается одним из самых строгих и принятых в отрасли стандартов аудита, установленных Американским институтом сертифицированных бухгалтеров (AICPA) для помощи поставщикам услуг в безопасном управлении данными в облаке. Это быстро становится требованием для SaaS-компаний, которые хотят оставаться конкурентоспособными, или для тех, кто работает с клиентами корпоративного уровня, многие из которых подлежат собственному контролю безопасности и соответствия требованиям.

Что такое СО2

Контроль обслуживающей организации (SOC) 2 или SOC 2 представляет собой набор критериев, созданных AICPA для того, как оценивать системы, процессы и средства контроля для нефинансовой отчетности компании и управления данными о клиентах. Эта процедура аудита основана на пяти критериях службы доверия (TSC) и представляет собой свободную структуру, уникальную для каждой компании, ее методов ведения бизнеса и соответствующих средств контроля. Пять TSC — это безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность.

Сертификация SOC 2 выдается, когда сторонний аудитор смог провести оценку того, как поставщик соблюдает один или несколько из этих TSC. После завершения этого аудита поставщик получит отчет SOC типа I или типа II, в котором описывается, как его внутренний контроль устраняет риски, связанные с пятью критериями.

Сертификация SOC 2 Типа I означает, что аудитор оценил объем организации и структуру процессов внутреннего контроля в отношении соответствующих TSC. Этот отчет оценивает элементы управления в определенный момент времени, поэтому стабильная производительность не оценивается и является предварительным шагом к получению сертификата типа II. Думайте о Типе I как о теоретической базе, в которой дизайн средств контроля компании изучается и внедряется, но они не прошли «дорожные испытания».

Сертификация SOC 2 типа II может быть получена после того, как аудитор сможет изучить операционную эффективность этих средств контроля в течение определенного периода времени, обычно от шести до 12 месяцев. Это на шаг выше отчета Типа I, поскольку подтверждает, что процессы контроля не только хорошо разработаны, реализованы, но и последовательно выполняются. Думайте о Типе II как о реальном мире, где они построены правильно, на месте и доказали свою работу, обеспечивая еще большую уверенность для клиентов.

Из чего состоит сертификация SOC 2

Как мы уже говорили ранее, сертификация SOC 2 присуждается, когда внешний аудитор считает, что поставщик услуг соответствует одному или нескольким из соответствующих TSC, упомянутых выше. Давайте углубимся в каждый из этих критериев и в то, как они могут относиться к бизнесу:

  1. Безопасность: этот принцип относится к системным ресурсам организации и к тому, как они защищены от несанкционированного доступа, физического или логического. Контроль доступа предотвращает несанкционированное удаление, изменение или раскрытие информации, а также кражу, злоупотребление или неправомерное использование. Способы, с помощью которых этим можно управлять, — это инструменты безопасности, такие как двухфакторная аутентификация, брандмауэры сети и приложений, а также обнаружение вторжений для предотвращения несанкционированного доступа через нарушения безопасности.
  2. Доступность: этот принцип относится к системе, услуге или продукту, доступным для работы или использования, как указано в контракте или соглашении об уровне обслуживания (SLA). Это определяется как поставщиком, так и клиентом для приемлемого минимального уровня и относится не к удобству использования или функциональности системы, а к критериям безопасности, которые могут повлиять на доступ. Способы, с помощью которых этим можно управлять, включают мониторинг производительности, аварийное восстановление и обработку инцидентов безопасности.
  3. Целостность обработки: этот принцип относится к системе, которая достигает своей цели с точки зрения доставки нужных данных в нужное время и по правильной цене. Он должен быть точным, полным, своевременным, действительным и санкционированным. Это не обязательно означает целостность данных, поскольку, если перед вводом в систему были ошибки, за это не отвечает процессор. Этим можно управлять с помощью процедур обеспечения качества (ОК) и мониторинга процессов.
  4. Конфиденциальность: этот принцип основан на соображении, что конфиденциальные данные защищены. Это могут быть данные, доступ или раскрытие которых специально ограничены, например, внутренняя структура ценообразования, интеллектуальная собственность или конфиденциальная финансовая информация. Это означает, что передача должна включать шифрование, а хранилище должно иметь контроль доступа, брандмауэры сети/приложений для защиты от повторных неавторизованных пользователей.
  5. Конфиденциальность: последний принцип касается сбора, использования, хранения, раскрытия и уничтожения личной информации системой в соответствии с собственным уведомлением о конфиденциальности компании, а также критериями общепринятых принципов конфиденциальности AICPA (GAPP). Это включает личную информацию (PII), такую ​​как имена, адреса или номера социального страхования, которые могут использоваться для идентификации человека или других личных данных, считающихся конфиденциальными, таких как медицинские записи. Это делается с помощью контроля доступа, двухфакторной аутентификации и шифрования.

Кому нужен SOC 2

Как указывалось ранее, соответствие SOC 2 является одним из наиболее широко распространенных стандартов аудита безопасности и управления данными, а это означает, что многим компаниям потребуется отчет, прежде чем они смогут одобрить покупку нового программного обеспечения или услуги.

Отчет SOC 2 покажет потенциальным и текущим клиентам, что вы привержены защите интересов их клиентов и собственных интересов. Некоторые отрасли, которые должны соответствовать SOC 2:

  • Бухгалтерский учет, облачные вычисления, CRM, анализ данных, управление документами или записями, финансовые услуги, управление персоналом, управление ИТ-безопасностью, медицинские заявления, поставщики SaaS (например, Justuno!) и многое другое.

Почему SOC 2 важен

Соответствие SOC 2 необходимо для поставщиков услуг, работающих в строго регулируемых областях или с клиентами, которые являются публичными компаниями, чтобы рассматриваться как жизнеспособный поставщик по найму. Этот отчет дает потенциальным клиентам уверенность в том, что их данные защищены, и вы не можете внести уязвимости в их системы с помощью интеграций.

По мере того, как важность конфиденциальности данных продолжает расти, и вводятся новые правила, соответствие SOC 2 будет становиться все более важным. Всего несколько причин, почему это важно:

  • Компании могут потерять бизнес без него или, наоборот, получить конкурентное преимущество перед более медленными конкурентами.
  • Это дешевле, чем массовая утечка данных
  • Повышает репутацию и надежность компании

Однако SOC 2 — не единственный тип отчета SOC, есть еще два:

  • SOC 1: отчеты о внутреннем контроле финансовой отчетности, чтобы гарантировать пользователям, что их финансовая информация обрабатывается безопасно, и создаются для других аудиторов. На самом деле это может потребоваться некоторым организациям, например, публичным компаниям.
  • SOC 3: отчеты о тех же 5 TSC, что и SOC 2, но общедоступны для всех, у кого есть только информация высокого уровня, поскольку SOC 2 содержит очень конфиденциальные контуры инфраструктуры.

В конце концов, тип отчета SOC, который вы, как компания, должны искать, зависит от предоставляемых услуг и преследуемой клиентуры.

Заключительные мысли

Соответствие SOC 2 не является требованием для поставщиков SaaS, но его важность невозможно переоценить. Независимо от того, являетесь ли вы бизнесом, ищущим свои собственные отчеты SOC, или компанией, желающей сравнить внешних поставщиков, важно понимать, что такое аудит SOC, что искать в системах компании и как это влияет на вашу собственную организацию.

Justuno соответствует стандарту SOC 2 Type II в TSC: безопасность, доступность и целостность обработки, сертифицированным Dansa, D'Arata, Soucia LLP в 2021 году. Как платформа SaaS, которая постоянно обрабатывает личные данные и часто конфиденциальную информацию, это важно для Justuno. что мы поддерживаем и поддерживаем самые строгие стандарты безопасности, целостности и конфиденциальности.