En tant que propriétaire d’entreprise, vous cherchez toujours des moyens de vous démarquer de la concurrence. Il se peut que votre service exceptionnel, vos produits incroyables ou peut-être vos prix bas vous donnent cet avantage concurrentiel. Tout aussi important que toutes ces choses soient pour le succès de votre entreprise, l’établissement d’un niveau de confiance profond avec vos clients l’est également. Une bonne façon d’établir cette confiance est de devenir conforme au SOC 2.
Il existe cinq principes de service de confiance qui comprennent:
- Sécurité
- Disponibilité
- Intégrité du traitement
- Confidentialité
- Confidentialité
Conformité SOC 2
Devenir conforme à SOC 2 est unique à chaque entreprise ; afin d’être le mieux préparé pour un audit externe par un CPA de l’American Institute of Certified Public Accountants, ce guide expliquera en détail chaque principe de service de confiance SOC 2.
Le seul principe de service de confiance requis pour être conforme au SOC 2 est le principe de sécurité du service de confiance. Reportez-vous à notre article sur les exigences de conformité SOC 2 pour plus d’informations. Néanmoins, selon le type d’entreprise que vous dirigez, les autres principes de service de confiance peuvent établir votre autorité professionnelle avec le service que vous fournissez.
Évaluez votre conformité au SOC 2
Qu’est-ce que le SOC 2
Les rapports de contrôle organisationnel des services (SOC) servent à prouver à vos clients que vous gérez correctement les données des clients; ces données seront transmises, stockées, maintenues, traitées et éliminées conformément aux directives du SOC établies par l’American Institute for CPAs (AICPA). Il existe deux types de rapports à prendre en compte lors du choix de devenir conforme au SOC.
SOC 1
Le premier rapport examine les méthodes et les contrôles utilisés pour maintenir un principe de service de confiance.
SOC 2
Le deuxième rapport examine ces mêmes méthodes et contrôles sur une longue période de temps.
Quel Rapport choisir ?
Selon les besoins de votre organisation, vous devrez peut-être simplement démontrer dans l’audit que les contrôles que vous avez actuellement en place sont suffisants et que vous comptez maintenir ces contrôles. Si votre entreprise est une entreprise de haut niveau, gère de grandes quantités de données ou des données sensibles, vous pouvez envisager un rapport SOC 2 pour tester l’efficacité de vos contrôles sur une plus longue période. Cela vous donne un aperçu plus approfondi de la nature évolutive de vos contrôles. En surveillant la gestion de vos données, vous pouvez ajuster les mesures de sécurité en conséquence, ce qui permet une plus grande protection des données.
Lire aussi: SOC 2 TYPE 1 VS. TYPE 2: Quelle est la différence?
Cinq Principes de service de confiance
Pour réitérer, le seul principe de service de confiance SOC 2 requis pour lequel vous devez remplir les qualifications nécessaires pour devenir conforme au SOC 2 est le principe de service de confiance de sécurité. Si vous choisissez d’auditer et de certifier d’autres principes de service de confiance, faites-le à votre discrétion en fonction des besoins de votre entreprise.
Sécurité
Le 20 mai, des millions d’utilisateurs d’Instagram, y compris des influenceurs, des célébrités et des affiliés de marques, ont été victimes d’une violation de données exposant des informations personnelles. Selon le journaliste de TechCrunch Zach Whittaker, « La base de données, hébergée par Amazon Web Services, a été laissée exposée et sans mot de passe permettant à quiconque de regarder à l’intérieur contained contenait leurs coordonnées privées, telles que l’adresse e-mail et le numéro de téléphone du propriétaire du compte Instagram. Instagram Factice
Déjà sur la défense, Facebook fait maintenant face à une autre salve de clients indignés qui se préoccupent de la sécurité de leurs données. Beaucoup cherchent à rejoindre d’autres applications ou sites Web de réseaux sociaux pour éviter d’exposer leurs données. C’est un grand avantage de garantir que les données de votre client sont parfaitement protégées en mettant en place les protocoles de sécurité nécessaires.
Une bonne sécurité est double : vous devez prendre en compte les contrôles frontaux et back-end pour protéger les données des clients. Si vous possédiez une maison, vous feriez en sorte de verrouiller la porte avant et la porte arrière.
Front End
La sécurité Front end peut être divisée en deux domaines distincts : sécuriser les données de votre client et s’assurer que celui-ci ne peut accéder qu’aux données qui lui sont pertinentes.
La sécurité frontale est comme l’avant de votre maison. L’opérateur de messagerie peut effectuer certaines tâches, comme déposer du courrier ou des colis, tout comme un client peut effectuer des tâches rapides. Les voisins peuvent admirer le jardin soigné de votre maison, les volets peints parfaits et les ornements de pelouse amusants, tout comme les visiteurs peuvent voir la conception et la mise en page de votre site Web. Peut-être vont-ils plus loin et sonnent à votre porte pour vous demander comment vous allez et partager certaines de leurs données avec vous.
En tant que propriétaire, vous développez une relation forte avec quelques-uns d’entre eux et ils entrent dans votre maison mais n’ont accès qu’à quelques zones. Vous ne voudriez pas que n’importe qui voie votre chambre ou votre bureau en désordre. Vous définissez des limites d’où vos amis et visiteurs peuvent aller pour vous assurer que toute information privée qui ne les concerne pas reste ainsi.
Ce frontal décrit comment votre client interagit avec des applications telles que les transactions, les mots de passe, le contenu de votre site Web, les images ou les liens. Les produits, chariots, caisses et autres applications intégrées doivent être sécurisés à l’avant.
Naturellement, vous voulez vous assurer que votre client ne peut voir ou interagir qu’avec ce qui se trouve dans son panier. Si vous ne parvenez pas à gérer correctement le développement frontal, cela peut conduire le client à exposer accidentellement les données d’autres clients ou à les utiliser pour leurs intérêts.
Cependant, une maison n’est guère protégée si vous choisissez seulement de verrouiller la porte d’entrée. Travailler sur une sécurité frontale solide sans protéger le backend laisserait votre entreprise complètement exposée aux pirates. C’est pourquoi le développement d’une sécurité backend solide est également crucial.
Back End
Les données elles-mêmes sont stockées sur le serveur et finalement accessibles via le backend. Les données agrégées par un centre de sécurité de l’information ont révélé que près de 60% des pirates recherchent un gain économique en vendant des données privées. Statistiques sur les cyberattaques La principale méthode d’attaque se produit dans le backend du stockage des données; ce même rapport de données indique que 72% des pirates tentent d’accéder aux données à ce stade.
Le backend est l’endroit où toutes les communications de données importantes non pertinentes pour votre client se produisent. Cette zone doit être sécurisée et fonctionner correctement pour s’assurer que le frontal fonctionne correctement pour tous vos clients. Par conséquent, une violation de données dans le backend est désastreuse.
Le voleur, ne voulant pas éveiller les soupçons des voisins, se faufile à l’arrière de votre belle maison en supposant qu’il puisse y accéder. Mais vous êtes un propriétaire intelligent qui sait verrouiller et sécuriser tous les points d’entrée. Le développement d’une sécurité backend solide est crucial pour protéger les données importantes contenues dans les murs de votre maison.
En raison de la nature omniprésente d’Internet, des attaques de sécurité sont inévitables. Ce qui compte le plus, c’est que vous puissiez montrer aux auditeurs que les attaques ont été atténuées grâce à une réponse rapide et à un renforcement de la sécurité.
Notre article sur Comment améliorer votre cybersécurité vous donnera une approche détaillée des meilleures pratiques de cybersécurité.
Les meilleures pratiques impliquent que si une violation se produit, vous devez être en mesure de montrer comment vous avez géré la situation et quels contrôles vous avez mis en place pour prévenir de futures violations.
Si vous décidez de devenir certifié SOC 2, assurez-vous de vous concentrer sur ce principe de service de confiance SOC 2 et notez les critères suivants, tels que détaillés par l’AICPA dans le Rapport sur les critères des services de confiance de l’AICPA:
- Contrôles d’accès logiques et physiques. Les critères pertinents pour la façon dont une entité restreint l’accès logique et physique, fournit et supprime cet accès et empêche les opérations système d’accès non autorisé
- . Les critères pertinents pour la façon dont une entité gère le fonctionnement du ou des systèmes et détecte et atténue les écarts de traitement, y compris les écarts de sécurité logiques et physiques
- Gestion des changements. Les critères pertinents pour la façon dont une entité identifie le besoin de modifications, effectue les modifications à l’aide d’un processus de gestion des modifications contrôlé et empêche les modifications non autorisées d’être apportées
- Atténuation des risques. Les critères pertinents pour la façon dont l’entité identifie, sélectionne et développe des activités d’atténuation des risques découlant de perturbations commerciales potentielles et de l’utilisation de fournisseurs et de partenaires commerciaux
Disponibilité
En tant que propriétaire d’entreprise, vous déterminez les types de services que vous fournirez à chaque client et le niveau de performance nécessaire pour répondre aux besoins du client. Selon K.T. Kearney, « Des aspects particuliers du service – qualité, disponibilité, responsabilités – sont convenus entre le fournisseur de services et l’utilisateur du service » Contrat de niveau de service pour le Cloud Computing
Garantissent que votre client comprend exactement ce qu’il obtient en utilisant votre service, à quel niveau votre service fonctionne et qu’il répond à vos objectifs en tant que fournisseur de services.
Intégrité du traitement
Un autre principe de confiance SOC 2 important est l’intégrité du traitement qui est une assurance qualité interne de vos objectifs commerciaux. Par exemple, cela peut inclure des garanties pour les transactions ou la maintenance des contrôles des données.
L’AICPA indique que l’intégrité du traitement fait référence au moment où » le traitement du système est complet, valide, exact, opportun et autorisé à atteindre les objectifs de l’entité. »Services de confiance et intégrité de l’information
Disons que vous vendez un produit sur votre site Web tel que des coucous personnalisés. Vous vous procurez les meilleures horloges chez des horlogers suisses, de sorte que votre produit a tendance à être plus cher et a des délais d’expédition plus longs. À partir du moment où votre client clique sur « passer commande » jusqu’au moment où il arrive à sa porte, l’intégrité du traitement prouve au client que sa transaction est complète, valide, exacte et avec des mises à jour de temps détaillées.
L’incapacité de traiter les commandes avec précision pourrait entraîner d’autres problèmes potentiels tels que des retards d’expédition ou des quantités de votre produit. Le fonctionnement de votre entreprise de pendules à coucou personnalisées nécessite une intégrité de traitement complète.
Les principes de sécurité du service de confiance et d’intégrité du traitement vont de pair en ce sens que la mise en œuvre de procédures pour prévenir, détecter ou corriger les erreurs système est un aspect crucial de l’intégrité du traitement, ce qui signifierait moins d’anomalies ou d’attaques de sécurité.
Confidentialité
Vous ne laisseriez personne entrer chez vous. En tant que protecteur de votre maison et de votre entreprise, vous maintenez un niveau de confidentialité strict en ce qui concerne l’accès aux données. Et bien sûr, lorsque votre voisin, Bob, vous dit que sa femme le trompe, il s’attend à ce que seules les bonnes parties soient informées.
La confidentialité est à la fois la façon dont les données sont partagées avec d’autres et qui a accès à ces données. Des procédures telles que la messagerie cryptée, des limites claires du système ou des pare-feu peuvent toutes garder les données confidentielles.
L’AICPA dans son rapport sur les principes du service de confiance déclare : » la confidentialité porte sur la capacité de l’entité à protéger les informations désignées comme confidentielles de leur collecte ou de leur création jusqu’à leur élimination finale et leur retrait du contrôle de l’entité conformément aux objectifs de la direction. » Rapport sur les critères des services de confiance de l’AICPA
Vous devez vérifier périodiquement que les données du client sont confidentielles. La surveillance du comportement autour des données sensibles peut empêcher que ces données ne soient divulguées à de mauvaises parties, internes et externes.
Confidentialité
Dans le même rapport de l’AICPA sur les principes du service de confiance, ils décrivent la confidentialité comme suit : » les renseignements personnels sont recueillis, utilisés, conservés, divulgués et éliminés pour atteindre les objectifs de l’entité. Bien que la confidentialité s’applique à divers types d’informations sensibles, la confidentialité ne s’applique qu’aux informations personnelles.
La protection de la vie privée est depuis longtemps un élément important pour établir la confiance avec les clients. Cela marque non seulement une limite de la portée du gouvernement dans les affaires personnelles, mais aussi celle de vous, propriétaire d’entreprise et fournisseur de services. La confidentialité permet aux clients de mener avec succès leur propre entreprise ou de conserver des informations en sachant que votre service répond aux critères nécessaires.
L’AICPA énonce les critères nécessaires au maintien de la vie privée, notamment ::
- Avis et communication des objectifs: Vous informez vos clients des mises à jour de la confidentialité, y compris de la manière dont leurs données sont stockées et éliminées.
- Choix et consentement: Vos clients ont le choix quant à la façon dont leurs données sont collectées, combien de temps elles sont stockées, et quand et comment ces données sont détruites. Une communication ouverte avec vos clients est importante pour assurer la liberté de choix.
- Collecte : Vous ne collectez que les données nécessaires à la réalisation des objectifs de votre entreprise.
- Utilisation, conservation et élimination : Vous vous assurez de limiter les personnes qui peuvent utiliser et conserver des données privées. Si jamais les données doivent être détruites, vous savez également qui le fait et qu’elles sont détruites.
- Accès : Vous fournissez à votre client un moyen d’accéder à ses données privées et de les modifier à mesure que des corrections ou des mises à jour surviennent.
- Divulgation et notification: En cas de violation de données privées, vous devez en informer votre client et l’informer des procédures ultérieures pour gérer la violation de données.
- Qualité: Vous gardez les données de vos clients à jour et complètes.
- Surveillance et application de la loi : Vous vous assurez de répondre à toutes les préoccupations concernant les données privées soulevées par les avocats plaidants ou les clients. Vous surveillez également ces données pour prévenir les attaques de sécurité dangereuses.
Conformité SOC 2
Respectez ces principes de confiance SOC 2 pour préparer votre entreprise à un audit. N’oubliez pas qu’il vous suffit de répondre aux exigences décrites dans la section sécurité de cet article. Tous les principes de service de confiance supplémentaires sont des avantages supplémentaires pour votre entreprise qui peuvent améliorer le niveau de confiance entre vous et les clients. Certains grands clients s’attendent à ce que vous ayez les certifications nécessaires en place avant de faire affaire avec vous.
Lire aussi: Une Liste de contrôle de conformité SOC 2 détaillée
Informations supplémentaires
Pour plus d’informations sur les principes du service de confiance et les critères nécessaires à suivre, veuillez vous référer au rapport complet et extrêmement détaillé (342 pages de critères et de terminologie) publié par l’AICPA que vous pouvez trouver dans le Rapport sur les critères du service de confiance de l’AICPA.
La meilleure solution est d’appeler RSI Security ou de nous envoyer un email avec vos questions et l’un de nos experts qualifiés vous aidera à mettre en œuvre les meilleures pratiques de sécurité.