Come imprenditore, sei sempre alla ricerca di modi per distinguerti dalla concorrenza. Può essere che il vostro servizio eccezionale, prodotti incredibili, o forse prezzi bassi che ti danno quel vantaggio competitivo. Altrettanto importante come tutte queste cose sono per il successo del vostro business, così è stabilire un profondo livello di fiducia con i vostri clienti. Un buon modo per stabilire questa fiducia è diventare SOC 2 Compliant.
Esistono cinque principi del servizio di fiducia che includono:
- Sicurezza
- Disponibilità
- Elaborazione integrità
- Riservatezza
- Privacy
SOC 2 di Conformità
Diventando SOC 2 Compliant è unico per ogni attività; al fine di essere preparati al meglio per affrontare un audit esterno da un CPA dall’American Institute of Certified Public Accountants, questa guida andiamo spiegare in dettaglio ogni SOC 2 fiducia del principio di servizio.
L’unico principio di servizio di fiducia richiesto per essere conforme a SOC 2 è il principio di sicurezza del servizio di fiducia. Fare riferimento al nostro articolo sui requisiti di conformità SOC 2 per ulteriori informazioni. Tuttavia, a seconda del tipo di attività che si esegue, gli altri principi di servizio di fiducia in grado di stabilire la vostra autorità professionale con qualsiasi servizio fornito.
Valutare la conformità del SOC 2
Cos’è il SOC 2
I rapporti sul controllo organizzativo dei servizi (SOC) servono a dimostrare ai clienti che si gestiscono correttamente i dati dei clienti; che i dati saranno trasmessi, archiviati, mantenuti, elaborati e smaltiti secondo le linee guida SOC stabilite dall’American Institute for CPAs (AICPA). Ci sono due tipi di report da considerare quando si sceglie di diventare SOC compliant.
SOC 1
Il primo rapporto esamina i metodi e i controlli utilizzati per mantenere un principio di servizio fiduciario.
SOC 2
La seconda relazione esamina questi stessi metodi e controlli per un periodo di tempo prolungato.
Quale rapporto scegliere?
A seconda delle esigenze dell’organizzazione, potrebbe essere necessario mostrare nell’audit che i controlli attualmente in vigore sono sufficienti e che si prevede di mantenere tali controlli. Se la tua azienda è un’azienda di alto profilo, gestisce grandi quantità di dati o dati sensibili, potresti prendere in considerazione un rapporto SOC 2 per testare l’efficacia dei tuoi controlli per un periodo di tempo più lungo. In questo modo si dà una visione più profonda della natura in evoluzione dei controlli. Monitorando la gestione dei dati è possibile regolare le misure di sicurezza di conseguenza consentendo una maggiore protezione dei dati.
Leggi anche : SOC 2 TIPO 1 VS. TIPO 2: qual è la differenza?
Cinque principi del servizio fiduciario
Per ribadire, l’unico principio del servizio fiduciario SOC 2 richiesto per il quale è necessario soddisfare le qualifiche necessarie per diventare conforme a SOC 2 è il principio del servizio fiduciario di sicurezza. Se si sceglie di verificare e certificare altri principi di servizio fiduciario, farlo a propria discrezione in base alle esigenze della vostra azienda.
Sicurezza
Il 20 maggio, milioni di utenti di Instagram, inclusi influencer, celebrità e affiliati di marchi, sono stati vittime di una violazione dei dati che esponeva le informazioni personali. Secondo il reporter di TechCrunch Zach Whittaker, ” Il database, ospitato da Amazon Web Services, è stato lasciato esposto e senza una password che consentisse a chiunque di guardare dentro contained conteneva le loro informazioni di contatto private, come l’indirizzo e-mail e il numero di telefono del proprietario dell’account Instagram.”Instagram Data Breach
Già in difesa, Facebook ora deve affrontare un’altra salva di clienti indignati che sono preoccupati per la sicurezza dei loro dati. Molti stanno cercando di unirsi ad altre applicazioni di social networking o siti web per evitare di avere i loro dati esposti. È un grande vantaggio garantire che i dati del cliente siano completamente protetti disponendo dei protocolli di sicurezza necessari.
La buona sicurezza è duplice: è necessario considerare sia i controlli front-end che quelli back-end per proteggere i dati dei clienti. Se si possedeva una casa, si dovrebbe fare in modo che si bloccato sia la porta anteriore e posteriore.
Front-end
La sicurezza front-end può essere suddivisa in due aree separate: mantenere sicuri i dati del cliente e assicurarsi che il cliente possa accedere solo ai dati pertinenti.
Front end di sicurezza è come la parte anteriore della vostra casa. Il gestore di posta può eseguire alcune attività come la consegna di posta o pacchetti molto simile a un client in grado di eseguire compiti superficiali. I vicini possono ammirare il giardino pulito della tua casa, le persiane dipinte perfette e gli ornamenti divertenti del prato proprio come i visitatori possono vedere il design e il layout del tuo sito web. Forse vanno oltre e suonano il campanello chiedendo come sei e condividendo alcuni dei loro dati con te.
Voi come il proprietario della casa sviluppa un forte rapporto con alcuni di loro e entrano nella vostra casa, ma sono solo dato accesso ad alcune aree. Non si vorrebbe solo chiunque vedere la vostra camera da letto disordinato o in ufficio. È possibile impostare i confini di dove i tuoi amici e visitatori, può andare per assicurarsi che tutte le informazioni private che non li riguardano rimane in questo modo.
Questo front-end descrive come il cliente interagisce con applicazioni come transazioni, password, contenuti del sito web, immagini o link. Prodotti, carrelli, casse e altre applicazioni incorporate devono essere sicuri sul front-end.
Naturalmente, si vuole fare in modo che il cliente può solo vedere o interagire con ciò che è nel loro carrello. Se non si riesce a gestire correttamente lo sviluppo front-end, ciò potrebbe portare al cliente a esporre accidentalmente i dati di altri clienti o a utilizzarli per i loro interessi.
Anche se, una casa è difficilmente protetto se si sceglie solo di chiudere a chiave la porta d’ingresso. Lavorare su una forte sicurezza front-end senza proteggere il back-end lascerebbe la tua azienda completamente esposta agli hacker. Questo è il motivo per cui lo sviluppo di una forte sicurezza di back-end è anche cruciale.
Back-end
I dati stessi vengono memorizzati sul server e, infine, accessibili tramite il back-end. I dati aggregati da un centro di sicurezza delle informazioni ha rilevato che quasi il 60% degli hacker sono alla ricerca di guadagno economico con la vendita di dati privati. Attacchi informatici Statistiche Il metodo principale di attacchi si verificano nel back-end di archiviazione dei dati; questo stesso rapporto di dati indica che il 72% degli hacker stanno tentando di accedere ai dati a questo punto.
Il backend è dove avviene tutta la comunicazione di dati importanti non rilevanti per il cliente. Questa zona deve essere sicura e funzionante correttamente per garantire che il front-end funzioni correttamente per tutti i tuoi clienti. Pertanto, una violazione dei dati nel backend è disastrosa.
Il ladro, non volendo sollevare sospetti dai vicini, si intrufola sul retro della tua bella casa supponendo che possa accedervi. Ma sei un proprietario di casa intelligente che sa di bloccare e proteggere tutti i punti di ingresso. Lo sviluppo di una forte sicurezza di back-end è fondamentale per proteggere i dati importanti contenuti all’interno delle mura della vostra casa.
A causa della natura onnipresente di Internet, gli attacchi alla sicurezza sono destinati ad accadere. Ciò che conta di più è che puoi mostrare agli auditor che gli attacchi sono stati mitigati attraverso una pronta risposta e un inasprimento della sicurezza.
Il nostro articolo su Come migliorare la vostra sicurezza informatica vi darà un approccio dettagliato alle migliori pratiche di sicurezza informatica.
Best practice comporta che se si verifica una violazione, è necessario essere in grado di mostrare come avete gestito la situazione e quali controlli si mette in atto per prevenire contro future violazioni.
Se decidi di diventare certificato SOC 2, assicurati di concentrarti su questo principio del servizio fiduciario SOC 2 e prendi nota dei seguenti criteri come dettagliato dall’AICPA nel rapporto sui criteri dei servizi fiduciari AICPA:
- Controlli di accesso logici e fisici. I criteri relativi al modo in cui un’entità limita l’accesso logico e fisico, fornisce e rimuove tale accesso e impedisce l’accesso non autorizzato
- Operazioni di sistema. I criteri rilevanti per il modo in cui un’entità gestisce il funzionamento del sistema o dei sistemi e rileva e mitiga le deviazioni di elaborazione, comprese le deviazioni di sicurezza logiche e fisiche
- Gestione delle modifiche. I criteri rilevanti per il modo in cui un’entità identifica la necessità di modifiche, apporta le modifiche utilizzando un processo di gestione delle modifiche controllato e impedisce che vengano apportate modifiche non autorizzate
- Mitigazione del rischio. I criteri rilevanti per il modo in cui l’entità identifica, seleziona e sviluppa attività di mitigazione del rischio derivanti da potenziali interruzioni del business e dall’uso di fornitori e partner commerciali
Disponibilità
In qualità di imprenditore, l’utente determina i tipi di servizio che fornirà a ciascun cliente e il livello di prestazioni necessario per soddisfare le esigenze del cliente. Secondo K. T. Kearney,” Aspetti particolari del servizio – qualità, disponibilità, responsabilità – sono concordati tra il fornitore di servizi e l’utente del servizio ” Service Level Agreement for Cloud Computing
Garantisce che il cliente comprenda esattamente ciò che sta ottenendo utilizzando il servizio, a quale livello opera il servizio e che soddisfi i tuoi obiettivi come fornitore di servizi.
Integrità dell’elaborazione
Un altro importante principio di fiducia SOC 2 è l’integrità dell’elaborazione che è una garanzia di qualità interna dei tuoi obiettivi aziendali. Ad esempio, ciò può includere garanzie per le transazioni o il mantenimento dei controlli dei dati.
L’AICPA afferma che l’integrità dell’elaborazione si riferisce a quando ” l’elaborazione del sistema è completa, valida, accurata, tempestiva e autorizzata a soddisfare gli obiettivi dell’entità.”Trust Services and Information Integrity
Diciamo che vendi un prodotto sul tuo sito web come orologi a cucù personalizzati. Si fonte i migliori orologi da orologiai svizzeri, così il prodotto tende ad essere più costoso e ha tempi di spedizione più lunghi. Dal momento in cui il cliente fa clic, “effettua l’ordine” al momento in cui arriva alla loro porta, l’integrità dell’elaborazione dimostra al cliente che la transazione è completa, valida, accurata e con aggiornamenti temporali dettagliati.
L’incapacità di elaborare con precisione gli ordini potrebbe portare ad altri potenziali problemi come ritardi nelle spedizioni o quantità del prodotto. Mantenere il vostro business orologi a cucù personalizzati in esecuzione richiede integrità di elaborazione completa.
I principi di sicurezza e integrità del trattamento del trust service vanno di pari passo in quanto l’implementazione di procedure per prevenire, rilevare o correggere errori di sistema è un aspetto cruciale dell’integrità del trattamento che a sua volta significherebbe meno anomalie o attacchi di sicurezza.
Riservatezza
Non faresti entrare nessuno nella tua casa. Come protettore della tua casa e delle tue attività, mantieni un rigoroso livello di riservatezza in termini di chi può accedere ai dati. E, naturalmente, quando il tuo vicino di casa, Bob, ti dice che sua moglie lo sta tradendo, si aspetta che solo le parti corrette saranno informate.
La riservatezza è sia come i dati vengono condivisi con gli altri e chi ha accesso a questi dati. Procedure come messaggistica crittografata, confini chiari del sistema o firewall possono mantenere i dati riservati.
L’AICPA nella sua relazione sui principi del servizio fiduciario afferma: “la riservatezza riguarda la capacità dell’entità di proteggere le informazioni designate come riservate dalla sua raccolta o creazione attraverso la sua disposizione finale e la rimozione dal controllo dell’entità in conformità con gli obiettivi della direzione.”AICPA Trust Services Criteria Report
Si dovrebbe verificare periodicamente che i dati del cliente sono tenuti in confidenza. Il monitoraggio del comportamento in relazione ai dati sensibili può impedire che questi dati vengano rilasciati a parti sbagliate, sia interne che esterne.
Privacy
Nella stessa relazione AICPA sui principi del servizio fiduciario, descrivono la privacy come: “le informazioni personali sono raccolte, utilizzate, conservate, divulgate e disposte a soddisfare gli obiettivi dell’entità. Sebbene la riservatezza si applichi a vari tipi di informazioni sensibili, la privacy si applica solo alle informazioni personali.
La privacy è stata a lungo una componente importante per stabilire la fiducia con i clienti. Esso segna non solo un limite della portata del governo in questioni personali, ma anche quella di voi, il proprietario di affari e fornitore di servizi. La privacy consente ai clienti di condurre con successo la propria attività o di mantenere le informazioni sapendo che il servizio soddisfa i criteri necessari.
L’AICPA stabilisce i criteri necessari per mantenere la privacy che includono:
- Avviso e comunicazione degli obiettivi: informi i tuoi clienti sugli aggiornamenti alla privacy, incluso il modo in cui i loro dati vengono archiviati e smaltiti.
- Scelta e consenso: i tuoi clienti hanno la possibilità di scegliere come vengono raccolti i loro dati, per quanto tempo vengono conservati e quando e come tali dati vengono distrutti. La comunicazione aperta con i vostri clienti è importante nel fornire la libertà di scelta.
- Raccolta: Si raccolgono solo i dati necessari per realizzare gli obiettivi della vostra azienda.
- Uso, conservazione e smaltimento: ti assicuri di limitare chi può utilizzare e conservare i dati privati. Se i dati dovessero mai essere distrutti, sei anche chiaro su chi lo fa e che è distrutto.
- Accesso: fornisci un modo in cui il tuo cliente può accedere e modificare i propri dati privati man mano che si verificano correzioni o aggiornamenti.
- Comunicazione e notifica: Se si verifica una violazione dei dati privati, è necessario informare il cliente e informarlo delle procedure successive per gestire la violazione dei dati.
- Qualità: mantieni aggiornati e completi i dati del tuo cliente.
- Monitoraggio e applicazione: ti assicuri di risolvere qualsiasi problema relativo ai dati privati sollevati da litiganti o clienti. È inoltre possibile monitorare questi dati per prevenire pericolosi attacchi alla sicurezza.
Diventare SOC 2 Compliant
Rispettare questi principi SOC 2 fiducia per preparare il vostro business per un audit. Ricorda, devi solo soddisfare i requisiti descritti nella sezione sicurezza di questo articolo. Eventuali principi di servizio di fiducia aggiuntivi sono benefici supplementari per la vostra azienda che possono migliorare il livello di fiducia tra voi e clienti. Alcuni clienti più grandi si aspettano che tu abbia le certificazioni necessarie prima di condurre affari con te.
Leggi anche: Una dettagliata lista di controllo di conformità SOC 2
Ulteriori informazioni
Per ulteriori informazioni sui principi del servizio fiduciario e sui criteri necessari da seguire, si prega di fare riferimento al rapporto completo, estremamente dettagliato (un enorme 342 pagine di criteri e terminologia) pubblicato dall’AICPA che si può trovare al Rapporto sui criteri del servizio fiduciario AICPA.
La soluzione migliore è quella di dare RSI Security una chiamata o inviare una e-mail con le vostre domande e uno dei nostri esperti qualificati vi aiuterà a implementare le migliori pratiche di sicurezza.