Como propietario de un negocio, siempre está buscando formas de diferenciarse de la competencia. Puede ser que su servicio excepcional, productos increíbles o tal vez precios bajos le den esa ventaja competitiva. Tan importante como todas estas cosas son para el éxito de su negocio, también lo es establecer un profundo nivel de confianza con sus clientes. Una buena manera de establecer esta confianza es cumplir con SOC 2.
Hay cinco principios de servicio de confianza que incluyen:
- Seguridad
- Disponibilidad
- Integridad de procesamiento
- Confidencialidad
- Privacidad
Cumplimiento de SOC 2
El cumplimiento de SOC 2 es único para cada empresa; con el fin de estar mejor preparado para una auditoría externa por parte de CPA del Instituto Americano de Contadores Públicos Certificados, esta guía explicará en detalle cada principio de servicio de fideicomiso SOC 2.
El único principio de servicio de confianza requerido para ser compatible con SOC 2 es el principio de servicio de confianza de seguridad. Consulte nuestro artículo sobre Requisitos de cumplimiento de SOC 2 para obtener más información. Sin embargo, dependiendo del tipo de negocio que dirija, los otros principios de servicio de confianza pueden establecer su autoridad profesional con cualquier servicio que proporcione.
Evaluar el cumplimiento de SOC 2
Qué es SOC 2
Los informes de Control de Organización de Servicios (SOC) sirven para demostrar a sus clientes que maneja los datos de los clientes correctamente; esos datos se transmitirán, almacenarán, mantendrán, procesarán y eliminarán de acuerdo con las pautas de SOC establecidas por el Instituto Americano de CPA (AICPA). Hay dos tipos de informes a tener en cuenta al elegir cumplir con SOC.
SOC 1
El primer informe examina los métodos y controles utilizados para mantener un principio de servicio de confianza.
SOC 2
El segundo informe examina estos mismos métodos y controles durante un período prolongado de tiempo.
¿Qué Informe elijo?
Dependiendo de las necesidades de su organización, es posible que solo necesite mostrar en la auditoría que los controles que actualmente tiene implementados son suficientes y espera mantener estos controles. Si su negocio es una empresa de alto perfil, maneja grandes cantidades de datos o datos confidenciales, es posible que desee considerar un informe SOC 2 para probar la efectividad de sus controles durante un período de tiempo más largo. Hacerlo le da una visión más profunda de la naturaleza evolutiva de sus controles. Al monitorear la gestión de datos, puede ajustar las medidas de seguridad en consecuencia, lo que permite una mayor protección de datos.
Lea también: SOC 2 TIPO 1 VS. TIPO 2: ¿Cuál es la diferencia?
Cinco Principios de Servicio de Confianza
Para reiterar, el único principio de servicio de confianza SOC 2 requerido para el que debe cumplir con las calificaciones necesarias para cumplir con SOC 2 es el principio de servicio de confianza de seguridad. Si decide auditar y certificar otros principios de servicios de confianza, hágalo a su discreción de acuerdo con las necesidades de su empresa.
Seguridad
El 20 de mayo, millones de usuarios de Instagram, incluidos influencers, celebridades y afiliados de marcas, fueron víctimas de una filtración de datos que expuso información personal. Según el reportero de TechCrunch, Zach Whittaker, » La base de datos, alojada por Amazon Web Services, quedó expuesta y sin una contraseña que permitiera a nadie mirar dentro contained contenía su información de contacto privada, como la dirección de correo electrónico y el número de teléfono del propietario de la cuenta de Instagram. Facebook Instagram Data Breach
Ya en la defensa, ahora se enfrenta a otra salva de clientes indignados que están preocupados por la seguridad de sus datos. Muchos buscan unirse a otras aplicaciones de redes sociales o sitios web para evitar que sus datos se expongan. Es un gran beneficio garantizar que los datos de su cliente estén completamente protegidos al contar con los protocolos de seguridad necesarios.
La buena seguridad es doble: debe tener en cuenta los controles frontal y trasero para proteger los datos de los clientes. Si tuviera una casa, se aseguraría de cerrar con llave tanto la puerta delantera como la trasera.
Front End
La seguridad del front end se puede dividir en dos áreas separadas: mantener seguros los datos de su cliente y asegurarse de que su cliente solo pueda acceder a los datos pertinentes para ellos.
La seguridad de la parte frontal es como la parte delantera de su hogar. El cartero puede realizar ciertas tareas, como dejar el correo o los paquetes, al igual que un cliente puede realizar tareas superficiales. Los vecinos pueden admirar el jardín limpio de su casa, las persianas pintadas perfectas para la imagen y los divertidos adornos para el césped, al igual que los visitantes pueden ver el diseño y el diseño de su sitio web. Tal vez vayan más allá y toquen su timbre preguntando cómo está y compartiendo algunos de sus datos con usted.
Usted, como propietario, desarrolla una relación sólida con algunos de ellos y entran a su casa, pero solo se les da acceso a unas pocas áreas. No querrías que cualquiera viera tu desordenado dormitorio u oficina. Usted establece límites de dónde pueden ir sus amigos y visitantes para asegurarse de que cualquier información privada que no les concierne permanezca de esa manera.
Este front end describe cómo interactúa su cliente con aplicaciones como transacciones, contraseñas, el contenido de su sitio web, imágenes o enlaces. Los productos, carros, cajas y otras aplicaciones integradas deben estar seguros en la parte frontal.
Naturalmente, desea asegurarse de que su cliente solo pueda ver o interactuar con lo que está en su carrito. Si no puede administrar correctamente el desarrollo del front-end, esto puede llevar al cliente a exponer accidentalmente los datos de otros clientes o a usarlos para sus intereses.
Aunque, una casa apenas está protegida si solo elige cerrar con llave la puerta principal. Trabajar en una sólida seguridad de front-end sin proteger el back-end dejaría a su empresa completamente expuesta a los hackers. Esta es la razón por la que el desarrollo de una seguridad de backend sólida también es crucial.
Back-End
Los datos en sí se almacenan en el servidor y, en última instancia, se accede a ellos a través del back-end. Los datos agregados por un centro de seguridad de la información encontraron que casi el 60% de los hackers buscan ganancias económicas mediante la venta de datos privados. Estadísticas de ataques cibernéticos El método principal de ataques se produce en el backend del almacenamiento de datos; este mismo informe de datos indica que el 72% de los hackers están intentando acceder a los datos en este punto.
El backend es donde se produce toda la comunicación de datos importantes que no son relevantes para su cliente. Esta área debe estar segura y funcionando correctamente para garantizar que el front-end funcione correctamente para todos sus clientes. Por lo tanto, una filtración de datos en el backend es desastrosa.
El ladrón, sin querer levantar sospechas de los vecinos, se cuela por la parte trasera de su encantadora casa asumiendo que puede acceder allí. Pero usted es un propietario inteligente que sabe bloquear y asegurar todos los puntos de entrada. Desarrollar una seguridad de backend sólida es crucial para proteger los datos importantes contenidos dentro de las paredes de su hogar.
Debido a la ubicuidad de Internet, los ataques de seguridad están destinados a ocurrir. Lo que más importa es que pueda mostrar a los auditores que los ataques se mitigaron mediante una respuesta rápida y un refuerzo de la seguridad.
Nuestro artículo sobre Cómo Mejorar su Ciberseguridad le dará un enfoque detallado de las mejores prácticas de ciberseguridad.
Las mejores prácticas implican que, si se produce una violación, debe poder mostrar cómo manejó la situación y qué controles implementó para evitar futuras violaciones.
Si decide obtener la certificación SOC 2, asegúrese de centrarse en este principio de servicio de confianza SOC 2 y tenga en cuenta los siguientes criterios detallados por la AICPA en el Informe de Criterios de Servicios de Confianza de la AICPA:
- Controles de acceso lógicos y físicos. Los criterios relevantes para la forma en que una entidad restringe el acceso lógico y físico, proporciona y elimina ese acceso, y evita el acceso no autorizado
- Operaciones del sistema. Los criterios relevantes para la forma en que una entidad gestiona el funcionamiento del sistema o sistemas y detecta y mitiga las desviaciones de procesamiento, incluidas las desviaciones de seguridad lógica y física
- Gestión de cambios. Los criterios relevantes para la forma en que una entidad identifica la necesidad de cambios, realiza los cambios utilizando un proceso de gestión de cambios controlado y evita que se realicen cambios no autorizados
- Mitigación de riesgos. Los criterios relevantes para la forma en que la entidad identifica, selecciona y desarrolla actividades de mitigación de riesgos derivadas de posibles interrupciones del negocio y el uso de proveedores y socios comerciales
Disponibilidad
Como propietario de un negocio, usted determina los tipos de servicio que proporcionará a cada cliente y el nivel de rendimiento necesario para satisfacer las necesidades del cliente. Según K. T. Kearney,» Aspectos particulares del servicio – calidad, disponibilidad, responsabilidades – se acuerdan entre el proveedor de servicios y el usuario del servicio » Acuerdo de nivel de servicio para Computación en la nube
Garantiza que su cliente entiende exactamente lo que está obteniendo al usar su servicio, en qué nivel opera su servicio y que cumple con sus objetivos como proveedor de servicios.
Integridad de procesamiento
Otro principio de confianza importante de SOC 2 es la integridad de procesamiento, que es una garantía de calidad interna de sus objetivos comerciales. Por ejemplo, esto puede incluir salvaguardias para las transacciones o el mantenimiento de controles de datos.
La AICPA dice que la integridad del procesamiento se refiere a cuando «el procesamiento del sistema es completo, válido, preciso, oportuno y autorizado para cumplir con los objetivos de la entidad.»Servicios de confianza e Integridad de la información
Supongamos que vende un producto en su sitio web, como relojes de cuco personalizados. Usted obtiene los mejores relojes de los relojeros suizos, por lo que su producto tiende a ser más caro y tiene tiempos de envío más largos. Desde el momento en que el cliente hace clic, «realiza el pedido» hasta el momento en que llega a su puerta, la integridad del procesamiento demuestra al cliente que su transacción es completa, válida, precisa y con actualizaciones de tiempo detalladas.
La incapacidad de procesar con precisión los pedidos podría dar lugar a otros problemas potenciales, como retrasos en los envíos o cantidades de su producto. Mantener su negocio de Relojes de cuco personalizados en funcionamiento requiere una integridad de procesamiento integral.
Los principios de servicio de confianza de seguridad e integridad de procesamiento van de la mano en que la implementación de procedimientos para prevenir, detectar o corregir errores del sistema es un aspecto crucial de la integridad de procesamiento que a su vez significaría menos anomalías o ataques de seguridad.
Confidencialidad
no deje que cualquiera en su casa. Como protector de su casa y negocio, mantiene un estricto nivel de confidencialidad en términos de quién puede acceder a los datos. Y, por supuesto, cuando su vecino, Bob, le dice que su esposa lo está engañando, espera que solo se informe a las partes correctas.
La confidencialidad es la forma en que se comparten los datos con otros y quién tiene acceso a estos datos. Procedimientos como mensajes cifrados, límites claros del sistema o cortafuegos pueden mantener la confidencialidad de los datos.
La AICPA en su informe sobre los principios de servicio de confianza afirma: «la confidencialidad se refiere a la capacidad de la entidad para proteger la información designada como confidencial de su recopilación o creación a través de su disposición final y eliminación del control de la entidad de acuerdo con los objetivos de la administración.»Informe de Criterios de Servicios de Confianza de AICPA
Debe verificar periódicamente que los datos del cliente se mantengan confidenciales. El monitoreo del comportamiento en torno a datos confidenciales puede evitar que estos datos se divulguen a partes incorrectas, tanto internas como externas.
Privacidad
En el mismo informe de AICPA sobre los principios del servicio de confianza, describen la privacidad como: «la información personal se recopila ,utiliza, retiene, divulga y se dispone para cumplir con los objetivos de la entidad. Aunque la confidencialidad se aplica a varios tipos de información confidencial, la privacidad se aplica solo a la información personal.
La privacidad ha sido durante mucho tiempo un componente importante para establecer la confianza con los clientes. No solo marca un límite del alcance del gobierno en asuntos personales, sino también el de usted, el propietario del negocio y proveedor de servicios. La privacidad permite a los clientes llevar a cabo con éxito su propio negocio o mantener la información sabiendo que su servicio cumple con los criterios necesarios.
La AICPA establece los criterios necesarios para mantener la privacidad que incluyen:
- Aviso y comunicación de objetivos: Informa a sus clientes sobre las actualizaciones de la privacidad, incluida la forma en que se almacenan y eliminan sus datos.
- Elección y consentimiento: A sus clientes se les da la opción de elegir cómo se recopilan sus datos, cuánto tiempo se almacenan y cuándo y cómo se destruyen esos datos. La comunicación abierta con sus clientes es importante para proporcionar libertad de elección.
- Recopilación: Solo recopila los datos necesarios para realizar los objetivos de su empresa.
- Uso, retención y eliminación: Usted se asegura de limitar quién puede usar y retener datos privados. Si los datos alguna vez necesitan ser destruidos, también tienes claro quién lo hace y que es destruido.
- Acceso: Proporciona una forma en la que su cliente puede acceder y cambiar sus datos privados a medida que surgen correcciones o actualizaciones.
- Divulgación y notificación: En caso de que se produzca una violación de datos privados, debe notificar a su cliente e informarle de los procedimientos posteriores para gestionar la violación de datos.
- Calidad: Mantiene los datos de sus clientes actualizados y completos.
- Monitoreo y cumplimiento: Usted se asegura de abordar cualquier inquietud relacionada con los datos privados planteados por los litigantes o los clientes. También puede supervisar estos datos para evitar ataques de seguridad peligrosos.
Cumplir con SOC 2
Cumplir con estos principios de confianza de SOC 2 para preparar su negocio para una auditoría. Recuerde que solo necesita cumplir con los requisitos descritos en la sección de seguridad de este artículo. Cualquier principio de servicio de confianza adicional es un beneficio adicional para su empresa que puede mejorar el nivel de confianza entre usted y los clientes. Algunos clientes más grandes esperan que tenga las certificaciones necesarias antes de realizar negocios con usted.
Lea también: Una Lista de verificación de Cumplimiento Detallada de SOC 2
Más información
Para obtener más información sobre los principios del servicio de confianza y los criterios necesarios a seguir, consulte el informe completo y extremadamente detallado (342 páginas de criterios y terminología) publicado por la AICPA, que puede encontrar en el Informe de Criterios del Servicio de Confianza de la AICPA.
La mejor solución es llamar a RSI Security o enviarnos un correo electrónico con sus preguntas y uno de nuestros expertos calificados lo ayudará a implementar las mejores prácticas de seguridad.