Co je soulad se SOC 2?
SOC 2 je rámec používaný k hodnocení toho, jak organizace ukládá, zpracovává a spravuje zákaznická data. V tomto kontextu SOC znamená System and Organization Controls. Byl vytvořen americkým institutem certifikovaných veřejných účetních (AICPA), aby pomohl organizacím standardizovat důvěru a podporovat vztahy mezi dodavatelem a klientem tím, že ukazuje, že na dodavatele, kteří splňují kritéria, se lze spolehnout při ochraně zákaznických dat.
Společnost splňující požadavky SOC 2 splnila náročné požadavky na ochranu dat.
Když organizace vyhovuje SOC 2, znamená to, že prokázala svou schopnost chránit zákaznická data v souladu s kritérii důvěryhodných služeb (TSC), což je soubor principů a kontrolních požadavků, na kterých jsou založeny audity SOC 2. To umožňuje zákazníkům a dalším organizacím vědět, že když komunikují s firmou vyhovující SOC 2, její zabezpečení dat bylo nezávisle ověřeno a zajištěno.
Možná je matoucí, že zkratka SOC může také odkazovat na bezpečnostní operační centrum. V tomto kontextu odkazuje na tým, který pomáhá organizaci monitorovat a reagovat na kybernetické hrozby v reálném čase.
Typy zpráv SOC 2
Existují dva typy zpráv SOC 2, oba vydávané nezávislými firmami akreditovanými AICPA. Tyto zprávy jsou přizpůsobeny různým potřebám organizací a liší se podle jedinečných požadavků a úrovní jistoty, které mohou zákazníci každé organizace požadovat.
SOC 2 Typ Ije navržen tak, aby demonstroval, že organizace má v určitém okamžiku nastaveny správné bezpečnostní kontroly, jako je snímek její bezpečnostní pozice. To může být užitečné pro malé startupy, které tu dlouho nejsou a potřebují rychle prokázat své pověření klientům a zákazníkům.
SOC 2 typ IIje obsáhlejší a ukazuje, že existují bezpečnostní kontroly a fungují konzistentně po definované období auditu (přibližně 3–12 měsíců).
Pokud by došlo k incidentu, jako je únik dat, typ I by mohl prokázat, že jste měli připravený plán reakce na incident, zatímco typ II jde dále a ukazuje, že jste plán testovali v průběhu času, vycvičili jste personál, zaznamenali incidenty a správně na incident reagovali.
SOC 1, SOC 2 vs. SOC 3?
Zprávy SOC 1 demonstrují kontroly organizace pro ochranu účetní závěrky zákazníka. Zprávy SOC 2 se zaměřují na správu zákaznických dat. Podobně zprávy SOC 3 pokrývají stejná kritéria jako SOC 2, ale jsou navrženy pro zveřejnění.
SOC 2 jsme se již zabývali podrobněji, takže zde je přehled SOC 1 a SOC 3:
SOC 1dodržování předpisů prokazuje, že organizace má zavedeny správné kontroly, které pomáhají předcházet chybám, nesprávným údajům nebo podvodům, které by mohly ovlivnit účetní výkaznictví zákazníka. Například externí zpracovatel mezd může usilovat o dodržování SOC 1, aby potenciálním klientům dokázal, že dokáže správně vypočítat a vykazovat mzdy, a neohrozit finanční výkazy klienta.
SOC 3je zpráva určená pro obecnou distribuci a pokrývá stejný soubor kritérií jako SOC 2, je však zjednodušená a neobsahuje stejnou úroveň podrobností, výsledků testů ani důkazů. Organizace získávají zprávy SOC 3 jako způsob, jak veřejně prokázat svou shodu, aniž by poskytovaly citlivé podrobnosti, a často tyto zprávy veřejně sdílejí na svých webových stránkách.
Mnoho organizací získá zprávu SOC 2, kterou mohou obvykle sdílet v rámci smlouvy NDA s partnery a potenciálními zákazníky, a zprávu SOC 3, kterou mohou zpřístupnit veřejnosti, aby si vybudovaly důvěru.
Zde je tabulka poskytující souhrn rozdílů mezi SOC 1, SOC 2 a SOC 3:
| Oblast zaostření | Typičtí kandidáti | |
|---|---|---|
| SOC 1 | Kontroly v servisní organizaci, které by mohly ovlivnit účetní závěrku zákazníka. | Jakákoli organizace zabývající se informacemi, které by mohly ovlivnit finanční výkazy, jako jsou zpracovatelé mezd, poskytovatelé úvěrů, zpracovatelé plateb a účetní služby. |
| SOC 2 | Zabezpečení dat, spolehlivost systému a postupy ochrany osobních údajů. | Jakákoli organizace, která ukládá, zpracovává nebo spravuje zákaznická data. Obvykle služba třetí strany, jako je poskytovatel cloudového úložiště. |
| SOC 3 | Stejné oblasti jako SOC 2. | Stejné organizace, které jsou v souladu se SOC 2, ale také chtějí veřejně sdílet zprávu, kterou mohou použít k vyjádření důvěry širokému publiku. |
Principy SOC 2
Kritéria důvěryhodných služeb (TSC) jsme zmínili dříve v článku a jsou základním kamenem auditu SOC 2. AICPA vytvořila tato kritéria, aby vyhodnotila, jak dobře organizace spravují data svých zákazníků.
Zde je rozpis pěti kategorií v kritériích důvěryhodných služeb (TSC):
Zabezpečení:Bezpečnost si můžete představit jako základ zprávy SOC 2. Zabezpečení pokrývá požadavky na autentizaci, jako jsou zásady 2FA a hesla, logické kontroly přístupu, jako jsou brány firewall nebo IDS, a zabezpečení koncových bodů, jako je antivirový software. Zahrnuje také fyzickou bezpečnost, jako jsou zamčené dveře a přístupové odznaky, stejně jako interní zásady a školení zaměstnanců o povědomí o bezpečnosti.
Dostupnost:Tato kategorie se týká toho, zda jsou systémy funkční a přístupné, když je to potřeba. Spolehlivost, výkon a kontinuita jsou všechny aspekty dostupnosti.
Integrita zpracování:To se týká schopnosti systému zpracovávat data přesně, efektivně, platně, úplně a se správnou autorizací. Integrita zpracování je něco, co zákazníci očekávají při interakci s firmou.
Důvěrnost:Odkazuje na ochranu citlivých informací, jako je duševní vlastnictví, smluvní podmínky a obchodní plány. Toto kritérium se zabývá tím, kdo má k těmto důvěrným informacím přístup, jak jsou zašifrovány při přenosu a v klidu a zda jsou bezpečně likvidovány, když již nejsou potřeba.
Soukromí:To vše se týká citlivých osobních údajů (PII). Údaje, jako jsou jména, adresy a lékařské záznamy, jsou klasifikovány jako PII. Tato kategorie posuzuje, zda jsou citlivé osobní údaje chráněny před neoprávněnými uživateli.
Poznámka:
Zprávy SOC 2 vyžadují pouze bezpečnostní kritéria, ale mohou zahrnovat hodnocení jedné nebo více dalších kategorií v závislosti na službách, které organizace nabízí.
Audity SOC 2
Shoda SOC 2 musí být auditována licencovanou firmou CPA kvalifikovanou k provádění auditů podle standardů AICPA. Tyto firmy jsou oprávněny poskytovat odborné osvědčení, podepisovat a vydávat zprávu SOC 2 po dokončení auditu – za předpokladu, že organizace splnila alespoň bezpečnostní kritérium spolu s dalšími kategoriemi TSC zahrnutými do rozsahu auditu.
Další rámce zabezpečení informací a dodržování předpisů, včetně PCI DSS a ISO 27001, mají pevné požadavky, které přesně specifikují, jaké bezpečnostní kontroly musí organizace zavést a jak. Na druhé straně SOC 2 je založen na principech – definuje TSC a je na každé organizaci, aby určila, jak splnit příslušná kritéria pomocí vlastních zásad, postupů a technologií.
K přípravě na audit organizace často používají kontrolní seznam shody SOC 2 – soubor pokynů nebo kroků, které je třeba dodržovat a které pomáhají zajistit, aby před provedením auditu nebylo přehlédnuto nic kritického. To nenahrazuje práci auditora, ale slouží jako plán pro sladění postupů organizace s požadavky SOC 2 a zefektivnění procesu auditu.
Jaké kroky musí organizace podniknout, aby byly v souladu?
Soulad se SOC 2 není jen o zaškrtnutí seznamu těch, kteří mají nebo nemají, jde o prokázání, že organizace navrhla a implementovala bezpečné postupy, které splňují TSC. Kroky k dosažení tohoto cíle se u každé organizace liší, ale zde jsou některé klíčové oblasti, na které se auditoři zaměřují:
Ovládání přístupu:Jakékoli zásady, postupy nebo technické zabezpečení, které zajistí, že přístup k citlivým datům a systémům budou mít pouze oprávnění uživatelé. To spadá do bezpečnostní kategorie TSC.
Řízení změn:Procesy pro vyžádání, kontrolu, schválení a implementaci změn IT systémů, aplikací a konfigurací. Solidní řízení změn zabraňuje rizikovým nebo neoprávněným změnám a spadá do kategorie integrity zpracování TSC.
Operace systému:Průběžné činnosti, které udržují IT systémy stabilní, bezpečné a dostupné v případě potřeby. Operace systému se týkají kategorií dostupnosti a integrity zpracování TSC.
Zmírnění rizika:Procesy k identifikaci, hodnocení a snižování rizik pro informační systémy a data. To zahrnuje všechny oblasti TSC, ale zejména důvěrnost a bezpečnost, a je nezbytné pro zprávu SOC 2.
Certifikace SOC 2
Jakmile auditor dokončí svou zprávu, výsledek se nevrátí jako jednoduché úspěšné nebo neúspěšné. Místo toho mohou být výsledky prezentovány v několika různých formách v závislosti na typu auditu SOC 2 a odborném názoru auditora.
Další čtení:CompTIA Security+ pro začátečníky: Proč je to ideální certifikace pro nováčky v oblasti IT
Zde jsou některé z různých úsudků, které lze vynést po auditu SOC 2:
Nekvalifikovaný názor:To je ideální výsledek a znamená, že auditor zjistil, že kontroly organizace jsou vhodně navrženy (typ I) a/nebo fungují efektivně (typ II), aby splňovaly TSC.
kvalifikovaný názor:Označuje, že auditor zjistil, že požadavky SOC 2 byly obecně splněny, ale s jednou nebo dvěma výjimkami, které vyžadují pozornost.
Nepříznivý názor:Toto zjištění znamená, že auditor zjistil, že kontroly organizace nebyly adekvátně navrženy nebo nefungují efektivně, aby splnily TSC. To je negativní výsledek a může ovlivnit důvěryhodnost organizace.
Zřeknutí se odpovědnosti názor:To znamená, že auditor nemohl shromáždit dostatečné důkazy k vytvoření spravedlivého závěru. K tomu může dojít, pokud existují významná omezení informací, které má auditor k dispozici, rozsah auditu nebo jiná omezení, která se objeví.
Posilte své zabezpečení s Avastem
Ať už se zaměřujete na to, abyste dosáhli souladu se SOC 2, nebo chcete posílit bezpečnostní pozici vaší organizace, jednotná bezpečnostní platforma může mít zásadní význam. Avast Business Hub může pomoci chránit vaše firemní data, chránit informace o zákaznících a udržovat vaši síť v bezpečí. Vyzkoušejte Avast Business Hub na 30 dní zdarma a ušetřete čas a zdroje, které můžete vrátit do svého podnikání.
