yrittäjänä etsii aina keinoja erottautua kilpailijoista. Voi olla, että poikkeuksellinen palvelu, uskomattomia tuotteita, tai ehkä alhaiset hinnat, jotka antavat sinulle, että kilpailuetua. Aivan yhtä tärkeää kuin kaikki nämä asiat ovat menestystä yrityksesi, niin on luoda syvä luottamuksen asiakkaiden kanssa. Yksi hyvä tapa luoda tämä luottamus on tulla SOC 2: n mukaiseksi.
on olemassa viisi luottamuspalvelun periaatetta, jotka ovat:
- turvallisuus
- saatavuus
- käsittelyn eheys
- luottamuksellisuus
- Yksityisyys
SOC 2-vaatimustenmukaisuus
SOC 2-vaatimustenmukaisuus on yksilöllinen jokaiselle yritykselle; jotta voidaan parhaiten valmistautua ulkoiseen auditointiin CPA alkaen American Institute of Certified Public Accountants, tämä opas menee yksityiskohtaisesti selittää kunkin Soc 2 Trust Service periaate.
ainoa luottamuspalveluperiaate, joka vaaditaan SOC 2: n mukaiseksi, on arvopaperin luottamuspalveluperiaate. Katso lisätietoja artikkelistamme SOC 2 Compliance Requirements. Kuitenkin, riippuen liiketoiminnan pyörität, muut trust service periaatteet voivat luoda ammatillinen viranomainen mitä palvelua tarjoat.
Assess your SOC 2 compliance
What is SOC 2
Service Organizational Control (SOC) – raportit todistavat asiakkaillesi, että käsittelet asiakastietoja oikein; että tiedot siirretään, tallennetaan, ylläpidetään, käsitellään ja hävitetään American Institute for CPA: n (AICPA) laatimien SOC-ohjeiden mukaisesti. On olemassa kahdenlaisia raportteja, jotka on otettava huomioon, kun päätetään tulla SOC-yhteensopivaksi.
SOC 1
ensimmäisessä raportissa tarkastellaan yhden luottamuspalveluperiaatteen ylläpitämiseen käytettyjä menetelmiä ja valvontaa.
SOC 2
toisessa raportissa tarkastellaan näitä samoja menetelmiä ja tarkastuksia pitkän ajan kuluessa.
minkä raportin valitsen?
organisaatiosi tarpeista riippuen sinun on ehkä vain osoitettava auditoinnissa, että käytössä olevat kontrollit ovat riittäviä ja odotat ylläpitäväsi niitä. Jos yrityksesi on korkean profiilin yritys, käsittelee suuria tietomääriä tai arkaluonteisia tietoja, kannattaa harkita SOC 2-raporttia testataksesi kontrolliesi tehokkuutta pidemmän ajan kuluessa. Näin saat syvemmän käsityksen hallintalaitteidesi kehittyvästä luonteesta. Seuraamalla tietojen hallintaa voit säätää turvatoimia vastaavasti mahdollistaen paremman tietosuojan.
Lue myös: SOC 2 TYPE 1 vs. TYPE 2: What ’ s the Difference?
viisi Luottamuspalveluperiaatetta
toistaakseni, ainoa vaadittu SOC 2-luottamuspalveluperiaate, jota varten sinun on täytettävä tarvittavat pätevyysvaatimukset tullaksesi SOC 2-vaatimusten mukaiseksi, on security trust service-periaate. Jos päätät auditoida ja sertifioida muita luottamuspalveluperiaatteita, tee se oman harkintasi mukaan yrityksesi tarpeiden mukaan.
tietoturva
toukokuun 20. päivänä miljoonat Instagram-käyttäjät, mukaan lukien vaikuttajat, julkkikset ja brändikumppanit, joutuivat henkilötietojaan paljastaneen tietomurron uhriksi. TechCrunchin toimittajan Zach Whittakerin mukaan ” Amazon Web Servicesin ylläpitämä tietokanta jätettiin paljaaksi ja ilman salasanaa, jonka avulla kukaan voi katsoa sisään … sisälsi heidän yksityisiä yhteystietojaan, kuten Instagram-tilin omistajan sähköpostiosoitteen ja puhelinnumeron.”Instagram tietomurto
jo puolustuksessa, Facebook kohtaa nyt toisen Salvon raivostuneita asiakkaita, jotka ovat huolissaan tietojensa turvallisuudesta. Monet haluavat liittyä muihin sosiaalisen verkostoitumisen sovelluksia tai sivustoja välttää niiden tiedot altistuvat. On suuri etu taata, että asiakkaasi tiedot on suojattu perusteellisesti ottamalla tarvittavat turvaprotokollat käyttöön.
hyvä tietoturva on kaksijakoinen: asiakastietojen suojaamiseksi on otettava huomioon sekä etu-että takapään hallintalaitteet. Jos omistaisit talon, varmistaisit, että lukitset sekä etu-että takaoven.
Front End
Front end security voidaan jakaa kahteen erilliseen alueeseen: pitää asiakkaan tiedot turvassa ja varmistaa, että asiakas pääsee käsiksi vain niihin liittyviin tietoihin.
etupään turva on kuin kodin julkisivu. Postinkantaja voi suorittaa tiettyjä tehtäviä, kuten jättämällä postin tai paketteja paljon kuin asiakas voi suorittaa pintapuolisia tehtäviä. Naapurit voivat ihailla kodin siisti puutarha, kuva-Täydellinen maalattu ikkunaluukut, ja hauskaa nurmikon koristeet aivan kuten kävijät voivat nähdä sivuston suunnittelu ja layout. Ehkä he menevät pidemmälle ja soittavat ovikelloasi kysellen vointiasi ja jakaen joitakin heidän tietojaan kanssasi.
Sinä asunnonomistajana kehität vahvan suhteen muutamiin heistä ja he tulevat kotiisi, mutta pääsevät vain muutamille alueille. Et halua kenen tahansa näkevän sotkuista makuuhuonettasi tai toimistoasi. Asetat rajat sille, missä ystäväsi ja vierailijasi voivat mennä varmistamaan, että kaikki yksityinen tieto, joka ei koske heitä, pysyy sellaisena.
tässä etupäässä kuvataan, miten asiakas on vuorovaikutuksessa sovellusten kanssa, kuten tapahtumien, salasanojen, verkkosivustosi sisällön, kuvien tai linkkien kanssa. Tuotteet, kärryt, kassat ja muut sulautetut sovellukset on suojattava etupäässä.
luonnollisesti haluat varmistaa, että asiakas voi nähdä tai olla vuorovaikutuksessa vain sen kanssa, mitä hänen ostoskorissaan on. Jos et hallitse front-end-kehitystä oikein, tämä voi johtaa siihen, että asiakas vahingossa paljastaa toisen asiakkaan tiedot tai käyttää niitä heidän etuihinsa.
vaikka koti tuskin on suojassa, jos vain päättää lukita ulko-oven. Työskentely vahva front-end turvallisuus suojaamatta backend jättäisi yrityksesi täysin alttiina hakkereille. Siksi vahvan taustavarmuuden kehittäminen on myös ratkaisevan tärkeää.
loppupää
itse tiedot tallennetaan palvelimelle ja lopulta niihin pääsee käsiksi backendin kautta. Tietoturvakeskuksen kokoamien tietojen mukaan lähes 60 prosenttia hakkereista hakee taloudellista hyötyä myymällä yksityisiä tietoja. Kyberhyökkäykset tilastot ensisijainen tapa hyökkäykset tapahtuvat backend tietojen tallennuksen; tämä sama data raportti osoittaa, että 72% hakkerit yrittävät käyttää tietoja tässä vaiheessa.
backend on paikka, jossa kaikki asiakkaan kannalta merkityksettömien tärkeiden tietojen välittäminen tapahtuu. Tämän alueen on oltava turvallinen ja toimiva oikein, jotta etupää toimii kunnolla kaikille asiakkaillesi. Siksi tietomurto taustajärjestelmään on tuhoisa.
varas, joka ei halua herättää naapureiden epäilyksiä, hiippailee ihanan kotisi takana olettaen pääsevänsä sinne. Mutta olet älykäs asunnonomistaja, joka osaa lukita kaikki sisäänkäynnit. Vahvan backend Securityn kehittäminen on ratkaisevan tärkeää kodin seinien sisällä olevien tärkeiden tietojen suojaamiseksi.
koska internet on kaikkialla läsnä, tietoturvahyökkäyksiä tapahtuu väistämättä. Tärkeintä on se, että tarkastajille voi näyttää, että iskuja lievennettiin nopealla reagoinnilla ja turvatoimien kiristämisellä.
artikkelimme kyberturvallisuuden parantamisesta antaa yksityiskohtaisen lähestymistavan parhaisiin kyberturvallisuuskäytäntöihin.
parhaaseen käytäntöön kuuluu, että jos rikkomus tapahtuu, sinun on pystyttävä osoittamaan, miten käsittelit tilannetta ja mitä valvontatoimia olet ottanut käyttöön ehkäistäksesi tulevat rikkomukset.
jos päätät tulla SOC 2-sertifioiduksi, muista keskittyä tähän SOC 2 trust service-periaatteeseen ja huomioi seuraavat AICPA: n esittämät kriteerit AICPA Trust Services Criteria Report-raportissa:
- loogiset ja fyysiset kulunvalvonnat. Kriteerit, joilla on merkitystä sille, miten yhteisö rajoittaa loogista ja fyysistä pääsyä, tarjoaa ja poistaa kyseisen pääsyn sekä estää luvaton pääsy
- järjestelmän toimintaan. Kriteerit, joilla on merkitystä sille, miten yhteisö hallinnoi järjestelmän tai järjestelmien toimintaa ja havaitsee ja vähentää käsittelypoikkeamia, mukaan lukien loogiset ja fyysiset turvallisuuspoikkeamat
- muutosten hallinta. Kriteerit, joilla on merkitystä sille, miten yhteisö tunnistaa muutostarpeen, tekee muutokset hallitun muutoksenhallintaprosessin avulla ja estää luvattomien muutosten tekemisen
- riskien vähentäminen. Kriteerit, joilla yhteisö tunnistaa, valitsee ja kehittää mahdollisista liiketoiminnan häiriöistä johtuvia riskinhallintatoimia sekä myyjien ja liikekumppaneiden käyttöä
saatavuus
yrityksen omistajana, määrittelevät, millaisia palveluja tarjoat kullekin asiakkaalle ja mikä on asiakkaan tarpeiden edellyttämä suoritustaso. Kt: n mukaan Kearneyn mukaan” palvelun Erityisnäkökohdista – laadusta, saatavuudesta, vastuusta – sovitaan palveluntarjoajan ja palvelun käyttäjän kesken ” pilvipalvelun palvelutasosopimus
takaa, että asiakkaasi ymmärtää tarkalleen, mitä hän saa käyttämällä palveluasi, millä tasolla palvelusi toimii ja että se täyttää tavoitteesi palveluntarjoajana.
Processing Integrity
toinen tärkeä SOC 2 trust-periaate on processing integrity, joka on yrityksen tavoitteiden sisäinen laadunvarmistus. Tämä voi sisältää esimerkiksi suojatoimia transaktioita varten tai tietojen valvonnan ylläpitämistä varten.
AICPA: n mukaan prosessoinnin eheydellä tarkoitetaan sitä, Kun ”järjestelmän käsittely on täydellistä, Validia, tarkkaa, oikea-aikaista ja valtuutettua yhteisön tavoitteiden saavuttamiseksi.”Luottamuspalvelut ja tiedon eheys
sanotaan, että myyt nettisivuillasi tuotetta, kuten kustomoituja käkikelloja. Hankit parhaat kellot sveitsiläisiltä kellosepiltä, joten tuotteesi on yleensä kalliimpaa ja sillä on pidemmät toimitusajat. Siitä hetkestä, kun asiakas napsauttaa, ”tee tilaus” siihen aikaan, kun se saapuu heidän ovelleen, käsittely eheys osoittaa asiakkaalle, että heidän liiketoimensa on täydellinen, Pätevä, tarkka, ja yksityiskohtaiset aikapäivitykset.
kyvyttömyys käsitellä tilauksia tarkasti voi aiheuttaa muita mahdollisia ongelmia, kuten viiveitä lähetyksissä tai tuotteen määrissä. Custom Käkikellot liiketoiminnan käynnissä pitäminen vaatii kattavan käsittelyn eheyden.
tietoturvan ja käsittelyn eheyden luottamuspalveluperiaatteet kulkevat käsi kädessä siinä, että järjestelmävirheiden estämiseen, havaitsemiseen tai korjaamiseen tähtäävillä menettelyillä on keskeinen merkitys käsittelyn eheydessä, mikä puolestaan merkitsisi vähemmän tietoturvapoikkeamia tai-hyökkäyksiä.
luottamuksellisuus
et päästäisi ketä tahansa kotiisi. Talosi ja liiketoimintasi suojelijana säilytät tiukan luottamuksellisuuden sen suhteen, kuka voi käyttää tietoja. Ja tietenkin, kun naapurisi Bob kertoo, että hänen vaimonsa pettää häntä, hän odottaa, että vain oikeat osapuolet saavat tietää.
luottamuksellisuus tarkoittaa sekä sitä, miten tietoja jaetaan muille, että sitä, kenellä on pääsy näihin tietoihin. Salatut viestit, selkeät järjestelmän rajat tai palomuurit voivat kaikki pitää tiedot luottamuksellisina.
AICPA toteaa raportissaan trust service principles: ”luottamuksellisuus koskee yhteisön kykyä suojata luottamuksellisiksi luokiteltuja tietoja keräämiseltä tai luomiselta siten, että ne luovutetaan lopullisesti ja poistetaan yhteisön määräysvallasta johdon tavoitteiden mukaisesti.”AICPA Trust Services Criteria Report
sinun tulee säännöllisesti tarkistaa, että asiakkaan tiedot pidetään luottamuksellisina. Arkaluonteisten tietojen ympärillä tapahtuvan käyttäytymisen seuranta voi estää näiden tietojen luovuttamisen väärille tahoille-sekä sisäisille että ulkoisille.
Yksityisyys
samassa AICPA: n Trust service principles-raportissa he kuvailevat yksityisyyttä seuraavasti: ”henkilötietoja kerätään, käytetään, säilytetään, luovutetaan ja luovutetaan yhteisön tavoitteiden saavuttamiseksi. Vaikka luottamuksellisuus koskee erilaisia arkaluonteisia tietoja, Yksityisyys koskee vain henkilötietoja.
yksityisyys on jo pitkään ollut tärkeä osa luottamuksen luomista asiakkaisiin. Se ei merkitse vain hallituksen ulottuvuutta henkilökohtaisiin asioihin, vaan myös sinun, yrittäjän ja palveluntarjoajan, ulottuvuutta. Yksityisyydensuojan avulla asiakkaat voivat menestyksekkäästi harjoittaa omaa liiketoimintaansa tai ylläpitää tietoja tietäen, että palvelusi täyttää tarvittavat kriteerit.
AICPA: ssa määritellään yksityisyyden säilyttämiseksi tarvittavat kriteerit, joihin kuuluvat:
- tavoitteiden Ilmoittaminen ja viestintä: tiedotat asiakkaillesi tietosuojapäivityksistä, kuten siitä, miten heidän tietonsa tallennetaan ja hävitetään.
- valinta ja suostumus: asiakkaasi saavat valita, miten heidän tietonsa kerätään, kuinka kauan niitä säilytetään ja milloin ja miten tiedot tuhotaan. Avoin kommunikointi asiakkaiden kanssa on tärkeää valinnanvapauden kannalta.
- keräys: keräät vain tiedot, joita yrityksesi tavoitteiden saavuttaminen edellyttää.
- käyttö, säilyttäminen ja hävittäminen: varmistat, että rajoitat sitä, kuka saa käyttää ja säilyttää yksityisiä tietoja. Jos tietoja on joskus tuhottava, on myös selvää, kuka ne tekee ja että ne tuhotaan.
- Access: tarjoat tavan, jolla asiakkaasi voi käyttää ja muuttaa yksityisiä tietojaan korjausten tai päivitysten ilmetessä.
- tietojen antaminen ja ilmoittaminen: Jos yksityishenkilöiden tietoja rikotaan, sinun on ilmoitettava siitä asiakkaallesi ja ilmoitettava heille myöhemmistä menettelyistä tietomurron hallitsemiseksi.
- laatu: pidät asiakkaasi tiedot ajan tasalla ja täydellisinä.
- seuranta ja täytäntöönpano: varmistat, että käsittelet ongelmat, jotka liittyvät joko asianajajien tai asiakkaiden esittämiin yksityisiin tietoihin. Valvot myös näitä tietoja ehkäistäksesi vaarallisia tietoturvahyökkäyksiä.
Soc 2-vaatimustenmukaisuus
noudata näitä SOC 2 trust-periaatteita valmistellaksesi liiketoimintasi tilintarkastusta varten. Muista, että sinun tarvitsee vain täyttää tämän artikkelin turvallisuusosiossa kuvatut vaatimukset. Mahdolliset muut luottamuspalveluperiaatteet ovat yrityksellesi koituvia lisäetuja, jotka voivat parantaa luottamustasoa sinun ja asiakkaiden välillä. Tietyt suuremmat asiakkaat odottavat, että sinulla on tarvittavat sertifikaatit ennen liiketoiminnan kanssasi.
Luetaan Myös: Yksityiskohtainen SOC 2 Compliance Checklist
lisätietoja
lisätietoja luottamuspalvelun periaatteista ja tarvittavista kriteereistä on AICPA: n julkaisemassa täydellisessä, erittäin yksityiskohtaisessa (huimat 342 sivua kriteerejä ja terminologiaa) raportissa, joka löytyy AICPA Trust Service Criteria Report-sivustolta.
parempi ratkaisu on soittaa RSI Securitylle tai lähettää meille sähköpostia kysymyksinesi, ja yksi pätevistä asiantuntijoistamme auttaa sinua parhaiden tietoturvakäytäntöjen toteuttamisessa.