som virksomhedsejer er du altid på udkig efter måder at adskille dig fra konkurrencen. Det kan være, at din ekstraordinære service, utrolige produkter eller måske lave priser, der giver dig den konkurrencemæssige fordel. Lige så vigtigt som alle disse ting er til succes for din virksomhed, så er etablering af en dyb grad af tillid med dine kunder. En god måde at etablere denne tillid på er at blive SOC 2-kompatibel.
der er fem trust service principper, som omfatter:
- sikkerhed
- tilgængelighed
- behandlingsintegritet
- fortrolighed
- privatliv
SOC 2-overholdelse
at blive SOC 2-Kompatibel er unik for hver virksomhed; for at være bedst forberedt på en ekstern revision af en virksomhed, der er ansvarlig for CPA fra American Institute of certified public accountants, denne vejledning vil gå i detaljer forklarer hver SOC 2 Trust Service princip.
det eneste tillidstjenesteprincip, der kræves for at være SOC 2-kompatibelt, er tillidstjenesteprincippet om sikkerhed. Se vores artikel om SOC 2-overholdelseskrav for at få flere oplysninger. Ikke desto mindre, afhængigt af den type virksomhed, du driver, kan de andre tillidstjenesteprincipper etablere din professionelle autoritet med den service, du leverer.
Vurder din SOC 2 compliance
hvad er SOC 2
service organisatorisk kontrol (SOC) rapporter tjener til at bevise for dine kunder, at du håndterer kundedata korrekt; at data vil blive transmitteret, opbevaret, vedligeholdt, behandlet og bortskaffet i henhold til SOC-retningslinjerne fastlagt af American Institute for CPAs (AICPA). Der er to typer rapporter, du skal overveje, når du vælger at blive SOC-kompatibel.
SOC 1
den første rapport undersøger de metoder og kontroller, der anvendes til at opretholde et tillidstjenesteprincip.
SOC 2
den anden rapport undersøger de samme metoder og kontroller over en længere periode.
hvilken rapport vælger jeg?
afhængigt af organisationens behov skal du muligvis bare vise i revisionen, at de kontroller, du i øjeblikket har på plads, er tilstrækkelige, og du forventer at opretholde disse kontroller. Hvis din virksomhed er en højt profileret virksomhed, håndterer store mængder data eller følsomme data, kan du overveje en SOC 2-rapport for at teste effektiviteten af dine kontroller over en længere periode. Dette giver dig dybere indsigt i den udviklende karakter af dine kontroller. Ved at overvåge din datastyring kan du justere sikkerhedsforanstaltninger i overensstemmelse hermed, hvilket giver større databeskyttelse.
Læs også : SOC 2 TYPE 1 VS. TYPE 2: Hvad er forskellen?
fem Tillidstjenesteprincipper
for at gentage er det eneste krævede SOC 2 trust service-princip, som du skal opfylde de nødvendige kvalifikationer for at blive SOC 2-kompatibel, sikkerhedstjenesteprincippet. Hvis du vælger at revidere og certificere andre tillidstjenesteprincipper, skal du gøre det efter eget skøn i henhold til din virksomheds behov.
sikkerhed
den 20.maj blev millioner af Instagram-brugere, herunder influencere, berømtheder og brand-tilknyttede virksomheder, offer for et databrud, der afslørede personlige oplysninger. Ifølge TechCrunch reporter, “databasen, hostet af
allerede på forsvaret står Facebook nu over for en anden salve af rasende kunder, der er bekymrede for sikkerheden i deres data. Mange søger at deltage i andre sociale netværk apps eller hjemmesider for at undgå at få deres data udsat. Det er en stor fordel at sikre, at din kundes data er grundigt beskyttet ved at have de nødvendige sikkerhedsprotokoller på plads.
god sikkerhed er dobbelt: du skal overveje både front-og bagendekontrol for at beskytte kundedata. Hvis du ejede et hus, ville du sørge for, at du låste både for-og bagdøren.
Front End
Front end security kan opdeles i to separate områder: at holde din klients data sikre og sørge for, at din klient kun kan få adgang til data, der er relevante for dem.
frontend sikkerhed er som forsiden af dit hjem. Mail luftfartsselskab kan udføre visse opgaver som at droppe ud mail eller pakker meget gerne en klient kan udføre Flygtige opgaver. Naboer kan beundre dit hjem pæn have, billede-perfekt malede skodder, og sjove græsplæne ornamenter ligesom besøgende kan se din hjemmeside design og layout. Måske går de længere og ringer på din dørklokke og spørger, hvordan du har det, og deler nogle af deres data med dig.
du som boligejer udvikler et stærkt forhold til nogle få af dem, og de kommer ind i dit hjem, men får kun adgang til nogle få områder. Du ønsker ikke bare nogen at se din rodet soveværelse eller kontor. Du sætter grænser for, hvor dine venner og besøgende kan gå for at sikre, at private oplysninger, der ikke vedrører dem, forbliver på den måde.
denne frontend beskriver, hvordan din kunde interagerer med applikationer som transaktioner, adgangskoder, indholdet på din hjemmeside, billeder eller links. Produkter, vogne, kasser og andre indlejrede applikationer skal være sikre på forenden.
naturligvis vil du sikre dig, at din kunde kun kan se eller interagere med, hvad der er i deres indkøbsvogn. Hvis du undlader at administrere frontend-udvikling korrekt, kan dette føre til, at klienten ved et uheld udsætter andre klienters data eller bruger dem til deres interesser.
selvom et hjem næppe er beskyttet, hvis du kun vælger at låse hoveddøren. Arbejde på stærk front-end sikkerhed uden at beskytte backend ville forlade din virksomhed helt udsat for hackere. Derfor er udvikling af stærk backend-sikkerhed også afgørende.
Back End
selve dataene gemmes på serveren og til sidst åbnes via backend. Data aggregeret af et informationssikkerhedscenter fandt, at næsten 60% af hackere søger økonomisk gevinst ved at sælge private data. Cyberangreb statistik den primære metode til angreb forekommer i backend af datalagring; denne samme data rapport viser, at 72% af hackere forsøger at få adgang til data på dette tidspunkt.
backend er hvor al kommunikation af vigtige data, der ikke er relevante for din kunde, sker. Dette område skal være sikkert og kører korrekt for at sikre, at frontenden kører korrekt for alle dine kunder. Derfor er et databrud i backend katastrofalt.
tyven, der ikke ønsker at rejse mistanke fra naboerne, sniger sig rundt på bagsiden af dit dejlige hjem, forudsat at han kan få adgang der. Men du er en smart boligejer, der ved at låse og sikre alle indgangspunkter. Udvikling af stærk backend sikkerhed er afgørende for at beskytte de vigtige data, der er indeholdt i væggene i dit hjem.
på grund af den allestedsnærværende karakter af internettet, sikkerhedsangreb er bundet til at ske. Det, der betyder mest, er, at du kan vise revisorer, at angrebene blev mildnet gennem hurtig reaktion og en stramning af sikkerheden.
vores artikel om, hvordan du forbedrer din cybersikkerhed, giver dig en detaljeret tilgang til bedste cybersikkerhedspraksis.
bedste praksis indebærer, at hvis et brud sker, skal du være i stand til at vise, hvordan du håndterede situationen, og hvilke kontroller du har indført for at forhindre fremtidige overtrædelser.
hvis du beslutter dig for at blive SOC 2-certificeret, skal du sørge for at fokusere på dette SOC 2 trust service-princip og notere følgende kriterier som beskrevet af AICPA i AICPA Trust Services-Kriterierapporten:
- logiske og fysiske adgangskontroller. De kriterier, der er relevante for, hvordan en enhed begrænser logisk og fysisk adgang, giver og fjerner denne adgang og forhindrer uautoriseret adgang
- systemoperationer. De kriterier, der er relevante for, hvordan en virksomhed forvalter driften af systemet eller systemerne og registrerer og afbøder behandlingsafvigelser, herunder logiske og fysiske sikkerhedsafvigelser
- Ændringsstyring. De kriterier, der er relevante for, hvordan en virksomhed identificerer behovet for ændringer, foretager ændringerne ved hjælp af en kontrolleret ændringshåndteringsproces og forhindrer uautoriserede ændringer i at blive foretaget
- risikoreduktion. De kriterier, der er relevante for, hvordan virksomheden identificerer, udvælger og udvikler risikoreduktionsaktiviteter som følge af potentielle forretningsforstyrrelser og brugen af leverandører og forretningspartnere
tilgængelighed
som virksomhedsejer bestemmer du, hvilke typer tjenester du vil levere til hver klient og det nødvendige præstationsniveau, der er nødvendigt for at imødekomme kundens behov. Ifølge K. T. Kearney,” særlige aspekter af tjenesten – kvalitet, tilgængelighed, ansvar – aftales mellem tjenesteudbyderen og servicebrugeren ” serviceniveauaftale for Cloud Computing
garanterer, at din klient forstår nøjagtigt, hvad de får ved at bruge din service, på hvilket niveau din service fungerer, og at den opfylder dine mål som tjenesteudbyder.
Processing Integrity
et andet vigtigt SOC 2-tillidsprincip er processing integrity, som er en intern kvalitetssikring af dine forretningsmål. Dette kan f.eks. omfatte sikkerhedsforanstaltninger for transaktioner eller vedligeholdelse af datakontrol.
AICPA siger, at behandlingsintegritet henviser til, hvornår “systembehandling er afsluttet, gyldig, nøjagtig, rettidig og autoriseret til at opfylde enhedens mål.”Tillidstjenester og Informationsintegritet
lad os sige, at du sælger et produkt på din hjemmeside, såsom brugerdefinerede gøgure. Du køber de bedste ure fra svenske urmagere, så dit produkt har tendens til at være dyrere og har længere forsendelsestider. Fra det tidspunkt, hvor din kunde klikker, “Placer ordre” til det tidspunkt, hvor den ankommer til deres dør, beviser behandlingsintegriteten for kunden, at deres transaktion er komplet, gyldig, nøjagtig og med detaljerede tidsopdateringer.
manglende evne til nøjagtigt at behandle ordrer kan føre til andre potentielle problemer såsom forsinkelser i forsendelser eller mængder af dit produkt. Holde din brugerdefinerede Gøg ure business kører kræver omfattende behandling integritet.
tillidstjenesteprincipperne for sikkerhed og behandlingsintegritet går hånd i hånd, idet implementering af procedurer for at forhindre, opdage eller rette systemfejl er et afgørende aspekt af behandlingsintegritet, hvilket igen ville betyde færre sikkerhedsanomalier eller angreb.
fortrolighed
du ville ikke lade bare nogen ind i dit hjem. Som beskytter af dit hus og din virksomhed opretholder du et strengt fortrolighedsniveau med hensyn til, hvem der kan få adgang til data. Og selvfølgelig, når din nabo, Bob, fortæller dig, at hans kone snyder ham, forventer han, at kun de rigtige parter vil blive informeret.
fortrolighed er både, hvordan data deles med andre, og hvem der har adgang til disse data. Procedurer som krypteret besked, klare systemgrænser eller brandvægge kan alle holde data fortrolige.
AICPA i deres rapport om tillidstjenesteprincipper siger, “fortrolighed adresserer enhedens evne til at beskytte oplysninger, der er udpeget som fortrolige, fra dens indsamling eller oprettelse gennem dens endelige disposition og fjernelse fra enhedens kontrol i overensstemmelse med ledelsens mål.”AICPA Trust Services Criteria Report
du bør regelmæssigt kontrollere, at klientens data holdes fortroligt. Overvågning af adfærd omkring følsomme data kan forhindre, at disse data frigives til forkerte parter—både internt og eksternt.
privatliv
i den samme AICPA-rapport om tillidstjenesteprincipper beskriver de privatlivets fred som “personlige oplysninger indsamles, bruges, bevares, afsløres og bortskaffes for at opfylde enhedens mål. Selvom fortrolighed gælder for forskellige typer følsomme oplysninger, gælder privatlivets fred kun for personlige oplysninger.
privatliv har længe været en vigtig komponent i etablering af tillid med klienter. Det markerer ikke kun en grænse for regeringens rækkevidde i personlige forhold, men også for dig, virksomhedsejeren og tjenesteudbyderen. Privatliv giver kunderne mulighed for med succes at drive deres egen virksomhed eller vedligeholde oplysninger ved at vide, at din service opfylder de nødvendige kriterier.
AICPA fastlægger de nødvendige kriterier for at opretholde privatlivets fred, som inkluderer:
- meddelelse og kommunikation af mål: du informerer dine kunder om opdateringer til privatlivets fred, herunder hvordan deres data gemmes og bortskaffes.
- valg og samtykke: dine kunder får valget om, hvordan deres data indsamles, hvor længe de opbevares, og hvornår og hvordan disse data ødelægges. Åben kommunikation med dine kunder er vigtig for at give valgfrihed.
- Indsamling: du indsamler kun de data, der er nødvendige for at opfylde virksomhedens mål.
- brug, opbevaring og bortskaffelse: du sikrer, at du begrænser, hvem der må bruge og opbevare private data. Hvis dataene nogensinde skal ødelægges, er du også klar over, hvem der gør det, og at det er ødelagt.
- Adgang: du giver en måde, hvorpå din klient kan få adgang til og ændre deres private data, når der opstår rettelser eller opdateringer.
- offentliggørelse og anmeldelse: Skulle der opstå brud på private data, skal du underrette din klient og informere dem om efterfølgende procedurer for at håndtere databruddet.
- Kvalitet: du holder din klients data opdaterede og komplette.
- overvågning og håndhævelse: du sørger for, at du adresserer eventuelle bekymringer omkring private data, der er rejst af enten retssager eller klienter. Du overvåger også disse data for at forhindre farlige sikkerhedsangreb.
Bliv SOC 2-kompatibel
Overhold disse SOC 2-tillidsprincipper for at forberede din virksomhed til en revision. Husk, at du kun skal opfylde kravene som beskrevet i afsnittet Sikkerhed i denne artikel. Eventuelle yderligere tillidstjenesteprincipper er supplerende fordele for din virksomhed, der kan forbedre tillidsniveauet mellem dig og klienter. Visse større kunder forventer, at du vil have de nødvendige certificeringer på plads, før du handler med dig.
Læs Også: En detaljeret SOC 2 Compliance checkliste
yderligere Information
For mere information om tillidstjenesteprincipper og de nødvendige kriterier, der skal følges, henvises til den fulde, ekstremt detaljerede (en kæmpe 342 sider med kriterier og terminologi) rapport udgivet af AICPA, som du kan finde på AICPA Trust Service Criteria Report.
den bedre løsning er at ringe til RSI Security eller sende os en e-mail med dine spørgsmål, og en af vores kvalificerede eksperter hjælper dig med at implementere den bedste sikkerhedspraksis.