jako vlastník firmy vždy hledáte způsoby, jak se odlišit od konkurence. To může být, že vaše výjimečné služby, neuvěřitelné produkty, nebo možná nízké ceny, které vám tuto konkurenční výhodu. Stejně důležité jako všechny tyto věci jsou k úspěchu vašeho podnikání, tak je stanovení hluboké úrovně důvěry se svými zákazníky. Jedním z dobrých způsobů, jak vytvořit tuto důvěru, je stát se kompatibilní s SOC 2.
existuje pět zásad důvěryhodných služeb, které zahrnují:
- Zabezpečení
- Dostupnost
- Zpracování integrity
- Důvěrnost
- Soukromí
SOC 2 Soulad
Stává SOC 2 Kompatibilní je jedinečné pro každého podnikání, s cílem být co nejlépe připraveni pro externí audit CPA, z Amerického Institutu Certifikovaných Veřejných Účetních, tato příručka vám jít do detailů vysvětlovat každý SOC 2 důvěryhodných služeb princip.
jediným principem důvěryhodných služeb, který musí být kompatibilní se systémem SOC 2, je princip zabezpečení důvěryhodných služeb. Další informace naleznete v našem článku o požadavcích na shodu SOC 2. Nicméně, v závislosti na typu podnikání, které provozujete, mohou ostatní principy důvěryhodných služeb vytvořit vaši profesionální autoritu s jakoukoli službou, kterou poskytujete.
Zhodnotit své SOC 2 soulad
Co je SOC 2
Služby Organizační Control (SOC) zprávy slouží ke dokázat svým klientům, že jste zpracovat data zákazníků správně, že data budou přenášena, skladovány, udržované, zpracován a zlikvidován podle SOC pokynů stanovených Americký Institut certifikovaných Účetních (AICPA). Existují dva typy zpráv, které je třeba zvážit při výběru kompatibility SOC.
SOC 1
první zpráva zkoumá metody a ovládací prvky používané pro zachování jednoho principu služby důvěryhodnosti.
SOC 2
druhá zpráva zkoumá tytéž metody a kontroly po delší dobu.
kterou zprávu si vyberu?
v Závislosti na potřebách vaší organizace, můžete jen muset ukázat v auditu, že kontroly v současné době jsou dostatečné a budete očekávat, že k udržení těchto kontrol. Pokud vaše podnikání je vysoce-profil společnosti, zpracovává velké množství dat, nebo citlivá data, možná budete chtít, aby zvážila SOC 2 zpráva k testování účinnosti kontrol po delší dobu. Pokud tak učiníte, získáte hlubší vhled do vyvíjející se povahy vašich ovládacích prvků. Sledováním správy dat můžete odpovídajícím způsobem upravit bezpečnostní opatření umožňující větší ochranu dat.
Přečtěte si také: SOC 2 typ 1 VS. typ 2: Jaký je rozdíl?
Pět důvěryhodných Služeb Principy
zopakovat, je nutné pouze SOC 2 důvěryhodných služeb, princip, pro který musíte splnit potřebnou kvalifikaci, aby se stal SOC 2 kompatibilní je bezpečnost důvěryhodných služeb, princip. Pokud se rozhodnete provést audit a certifikovat další zásady důvěryhodných služeb, udělejte to podle svého uvážení podle potřeb vaší společnosti.
Bezpečnostní
20. Května, miliony Instagram uživatelů, včetně vlivných, celebrity a značky dceřiných společností padli za oběť porušení dat odhalení osobních informací. Podle TechCrunch reportér Zach Whittaker, „databáze, hostitelem Amazon Web Services, byla ponechána a bez hesla, což umožňuje, aby někdo podívat dovnitř… obsažených své soukromé kontaktní informace, jako je Instagram účet majitele e-mailovou adresu a telefonní číslo.“Narušení dat Instagram
Facebook již na obraně čelí další salvě pobouřených zákazníků, kteří se obávají bezpečnosti svých dat. Mnozí se chtějí připojit k jiným aplikacím nebo webům sociálních sítí, aby se vyhnuli vystavení jejich dat. Je velkým přínosem zaručit, že data vašeho klienta jsou důkladně chráněna zavedením nezbytných bezpečnostních protokolů.
dobré zabezpečení je dvojí: musíte zvážit přední i zadní ovládací prvky, abyste ochránili data zákazníků. Pokud jste vlastnili dům, měli byste se ujistit, že jste zamkli přední i zadní dveře.
Front-End
Front-end zabezpečení lze rozdělit do dvou samostatných oblastí: udržet si klienta data v bezpečí a ujistěte se, že váš klient může přistupovat pouze data relevantní pro ně.
Front end zabezpečení je jako přední části vašeho domova. Poštovní dopravce může provádět určité úkoly, jako je vysazení pošty nebo balíčků, podobně jako klient může provádět zběžné úkoly. Sousedé mohou obdivovat úhlednou zahradu vašeho domova, dokonalé malované okenice, a zábavné ozdoby na trávník, stejně jako návštěvníci mohou vidět design a rozvržení vašeho webu. Možná jdou dál a zazvoní na váš zvonek a ptají se, jak se máte, a sdílejí s vámi některá jejich data.
vy jako majitel domu rozvíjí silný vztah s několika z nich a vstupují do vašeho domova, ale mají přístup pouze do několika oblastí. Nechtěli byste, aby někdo viděl vaši chaotickou ložnici nebo kancelář. Můžete nastavit hranice, kde vaši přátelé a návštěvníci, může jít, aby se ujistil, že všechny soukromé informace, které se jich netýká zůstává tímto způsobem.
tento front-end popisuje, jak váš zákazník interaguje s aplikacemi, jako jsou transakce, hesla, obsah vašeho webu, obrázky nebo odkazy. Výrobky, vozíky, pokladny a další vestavěné aplikace musí být na předním konci bezpečné.
přirozeně se chcete ujistit, že váš zákazník může vidět nebo komunikovat pouze s tím, co je v jeho košíku. Pokud se vám nepodaří správně řídit front-end vývoj to může vést ke klientovi omylem odhalení dalších dat klienta nebo ji využívají pro své zájmy.
přestože je dům stěží chráněn, pokud se rozhodnete zamknout pouze přední dveře. Práce na silném zabezpečení front-end bez ochrany backendu by vaši společnost zcela vystavila hackerům. Proto je také zásadní rozvíjet silné zabezpečení backendu.
Back End
samotná data jsou uložena na serveru a nakonec přístupná prostřednictvím backendu. Data agregovaná centrem pro bezpečnost informací zjistila, že téměř 60% hackerů hledá ekonomický zisk prodejem soukromých dat. Statistiky kybernetických útoků primární metoda útoků se vyskytuje v backendu ukládání dat; stejná zpráva o datech naznačuje, že 72% hackerů se v tomto okamžiku pokouší o přístup k datům.
backend je místo, kde dochází ke komunikaci důležitých dat, která nejsou relevantní pro vašeho zákazníka. Tato oblast musí být bezpečná a správně spuštěna, aby se zajistilo, že přední konec běží správně pro všechny vaše klienty. Proto je narušení dat v backendu katastrofální.
zloděj, který nechce vzbudit podezření od sousedů, se plíží kolem zadní části vašeho krásného domu za předpokladu, že tam může získat přístup. Ale jste chytrý majitel domu, který ví, jak zamknout a zabezpečit všechny vstupní body. Rozvoj silného zabezpečení backendu je zásadní pro ochranu důležitých dat obsažených ve zdech vašeho domova.
vzhledem k všudypřítomné povaze internetu se bezpečnostní útoky musí stát. Nejdůležitější je, že můžete ukázat auditorům, že útoky byly zmírněny rychlou reakcí a zpřísněním bezpečnosti.
náš článek o tom, jak zlepšit vaši kybernetickou bezpečnost, vám poskytne podrobný přístup k nejlepším postupům kybernetické bezpečnosti.
nejlepší praxe znamená, že pokud dojde k porušení, musíte být schopni ukázat, jak jste situaci zvládli a jaké kontroly jste zavedli, abyste zabránili budoucím porušením.
pokud se rozhodnete, aby se stal SOC 2 certifikován, ujistěte se, že zaměřit se na to SOC 2 důvěryhodných služeb, princip a poznámka: následující kritéria jako podrobné AICPA v AICPA důvěryhodných Služeb Kritérií Zpráva:
- Logické a fyzické kontroly přístupu. Kritéria relevantní pro to, jak entita omezuje logický a fyzický přístup, poskytuje a odstraňuje tento přístup a zabraňuje neoprávněnému přístupu
- systémové operace. Kritéria relevantní k tomu, jak účetní jednotka řídí provoz systému nebo systémů a detekuje a zmírňuje zpracování odchylek, včetně logické a fyzické bezpečnosti odchylky
- řízení Změn. Kritéria relevantní pro to, jak účetní jednotka identifikuje potřebu změn, provádí změny pomocí řízeného procesu řízení změn a zabraňuje neoprávněným změnám
- zmírnění rizika. Kritéria relevantní k tomu, jak účetní jednotka identifikuje, vybírá a rozvíjí ke zmírnění rizika činností, které vyplývají z potenciální podnikání a využívání dodavatelé a obchodní partneři
Dostupnost
Jako vlastník firmy, můžete určit typy služeb vám poskytne ke každému klientovi a potřebné úrovně výkonnosti potřebné k uspokojení potřeb klienta. Podle K. T. Kearney, „Zvláštní aspekty služby – kvalita, dostupnost, odpovědnost – jsou dohodnuty mezi poskytovatelem služby a uživatel služby“ Service Level Agreement pro Cloud Computing
Záruku, že váš klient chápe, přesně to, co jsou stále pomocí vaší služby, na jaké úrovni vaše služba funguje, a že to splňuje vaše cíle jako poskytovatel služeb.
integrita zpracování
dalším důležitým principem důvěry SOC 2 je integrita zpracování, což je interní zajištění kvality vašich obchodních cílů. To může například zahrnovat záruky pro transakce nebo údržbu kontrolních údajů.
AICPA říká, že integrita zpracování odkazuje na to, kdy „zpracování systému je úplné, platné, přesné, včasné a oprávněné ke splnění cílů účetní jednotky.“Důvěřujte službám a integritě informací
Řekněme, že na svém webu prodáváte produkt, jako jsou vlastní kukačkové hodiny. Zdroj nejlepší hodiny od Švýcarské hodinky, takže váš produkt má tendenci být dražší a má delší přepravní časy. Od doby, kdy zákazník klikne, „objednat“ na čas to přijde na jejich dveře, zpracování integrity ukáže klientovi, že jejich transakce je kompletní, aktuální, přesné a podrobné aktualizace času.
neschopnost přesně zpracovat objednávky by mohla vést k dalším potenciálním problémům, jako je zpoždění zásilek nebo množství vašeho produktu. Udržování vlastního podnikání s Kukačkovými hodinami vyžaduje komplexní integritu zpracování.
důvěryhodných služeb, zásady bezpečnosti a zpracování integrity jít ruku v ruce s tím, že prováděcí postupy k prevenci, odhalování, nebo opravit chyby systému je klíčovým aspektem zpracování integrity, což by znamenalo méně bezpečnostní anomálie či útoky.
důvěrnost
do svého domu byste nikoho nepustili. Jako ochránce vašeho domu a podnikání zachováváte přísnou úroveň důvěrnosti, pokud jde o to, kdo má přístup k datům. A samozřejmě, když vám váš soused, Bob, řekne, že jeho žena ho podvádí, očekává, že budou informovány pouze správné strany.
důvěrnost je jak to, jak jsou data sdílena s ostatními, tak kdo má přístup k těmto údajům. Postupy, jako je šifrované zasílání zpráv, jasné hranice systému nebo brány firewall, mohou zachovat důvěrnost dat.
AICPA ve své zprávě na důvěryhodnosti služby zásady státy, „důvěrnost adresy subjektu je schopnost chránit informace označené jako důvěrné, z jeho sbírky nebo stvoření prostřednictvím jeho konečné dispozice a odstranění z kontrola subjektu v souladu s řízením cílů.“AICPA Trust Services Criteria Report
měli byste pravidelně kontrolovat, zda jsou data klienta uchovávána v důvěře. Sledování chování kolem citlivých dat může zabránit tomu, aby byla tato data uvolněna nesprávným stranám—interním i externím.
Soukromí
Ve stejném AICPA zpráva o důvěryhodných služeb a zásad, které popisují zásady ochrany jako „osobní údaje jsou shromažďovány, používány, uchovávány, zveřejněny, a zlikvidovány, aby vyhovovaly subjekt cílů. Ačkoli se důvěrnost vztahuje na různé typy citlivých informací, soukromí se vztahuje pouze na osobní údaje.
soukromí je již dlouho důležitou součástí při vytváření důvěry s klienty. Znamená to nejen limit dosahu vlády do osobních záležitostí, ale také to, že vás, vlastníka firmy a poskytovatele služeb. Ochrana osobních údajů umožňuje klientům úspěšně podnikat nebo udržovat informace s vědomím, že vaše služba splňuje nezbytná kritéria.
AICPA předkládá potřebné kritéria pro udržení soukromí, které zahrnují:
- Oznámení a komunikace cíle: informovat své klienty o změnách na soukromí, včetně toho, jak jsou jejich údaje uloženy a likvidovány.
- volba a souhlas: vaši klienti mají na výběr, jak jsou jejich data shromažďována, jak dlouho jsou uložena a kdy a jak jsou tato data zničena. Otevřená komunikace s vašimi klienty je důležitá pro zajištění svobody volby.
- kolekce: shromažďujete pouze údaje potřebné k plnění cílů vaší společnosti.
- použití, uchovávání a likvidace: zajistíte, že omezíte, kdo bude používat a uchovávat soukromé údaje. Pokud by data někdy potřebují být zničeny, máte také jasno o tom, kdo tak činí a že je zničen.
- přístup: poskytujete způsob, jakým může váš klient přistupovat a měnit svá soukromá data, jakmile dojde k opravám nebo aktualizacím.
- zveřejnění a oznámení: Pokud dojde k porušení soukromých údajů, musíte informovat svého klienta a informovat ho o následných postupech pro správu porušení údajů.
- kvalita: udržujete data svého klienta aktuální a úplná.
- Sledování a vymáhání: ujistěte se, že budete řešit nějaké obavy okolních soukromá data zvýšen buď advokátů nebo klienty. Tato data také sledujete, abyste zabránili nebezpečným bezpečnostním útokům.
stát se kompatibilní SOC 2
dodržujte tyto zásady důvěry SOC 2 a připravte svou firmu na audit. Nezapomeňte, že stačí splnit požadavky popsané v části Zabezpečení tohoto článku. Jakékoli další zásady důvěryhodných služeb jsou pro vaši společnost doplňkovými výhodami, které mohou zlepšit úroveň důvěry mezi vámi a klienty. Někteří větší klienti očekávají, že budete mít potřebné certifikace na místě před zahájením podnikání s vámi.
Přečtěte Si Také: Podrobný SOC 2 Kontrolní seznam pro Shodu
Další Informace
Pro více informací o důvěryhodných služeb, zásady a nezbytná kritéria dodržovat, viz plná, velmi podrobné (neuvěřitelných 342 stran kritéria a terminologii) zprávy vydané AICPA, které můžete najít na AICPA důvěryhodných Služeb Kritéria Zprávy.
lepším řešením je zavolat RSI Security nebo nám poslat e-mail s vašimi dotazy a jeden z našich kvalifikovaných odborníků vám pomůže implementovat nejlepší bezpečnostní postupy.