mint vállalkozás tulajdonosa, mindig keresi a módját, hogy megkülönböztesse magát a versenytől. Lehet, hogy kivételes szolgáltatása, hihetetlen termékei vagy esetleg alacsony árai adják ezt a versenyelőnyt. Ugyanolyan fontos, mint ezek a dolgok, hogy a siker az üzleti, így létrehozó mély szintű bizalom az ügyfelekkel. Ennek a bizalomnak az egyik jó módja a SOC 2-nek való megfelelés.
öt bizalmi szolgáltatási elv létezik, amelyek magukban foglalják:
- biztonság
- elérhetőség
- feldolgozási integritás
- titoktartás
- Adatvédelem
SOC 2 megfelelés
a SOC 2-nek való megfelelés minden vállalkozás számára egyedi; annak érdekében, hogy a legjobban felkészüljön egy külső auditra egy CPA az American Institute of certified public accountants-tól, ez az útmutató részletesen elmagyarázza az egyes Soc-Kat 2 bizalmi szolgáltatás elve.
a SOC 2-nek való megfeleléshez szükséges egyetlen bizalmi szolgáltatás elve a biztonság bizalmi szolgáltatás elve. További információkért olvassa el a SOC 2 megfelelőségi követelményekről szóló cikkünket. Mindazonáltal, attól függően, hogy milyen üzleti tevékenységet folytat, a többi bizalmi szolgáltatás elve megalapozhatja szakmai tekintélyét bármilyen szolgáltatással.
értékelje az Ön SOC 2 megfelelőségét
mi az SOC 2
a Szolgáltatásszervezési ellenőrzési (Soc) jelentések célja annak bizonyítása az ügyfelek számára, hogy Ön megfelelően kezeli az Ügyféladatokat; hogy az adatokat az American Institute for CPA (AICPA) által meghatározott SOC irányelveknek megfelelően továbbítják, tárolják, karbantartják, feldolgozzák és megsemmisítik. Kétféle jelentést kell figyelembe venni, amikor a SOC-kompatibilis lesz.
SOC 1
az első jelentés az egy bizalmi szolgáltatás elvének fenntartására használt módszereket és kontrollokat vizsgálja.
SOC 2
a második jelentés ugyanezeket a módszereket és kontrollokat vizsgálja hosszabb időn keresztül.
melyik jelentést válasszam?
a szervezet igényeitől függően előfordulhat, hogy az auditban meg kell mutatnia, hogy a jelenleg alkalmazott vezérlők elegendőek, és várhatóan fenn fogja tartani ezeket a vezérlőket. Ha vállalkozása nagy horderejű vállalat, nagy mennyiségű adatot vagy érzékeny adatokat kezel, érdemes megfontolni egy SOC 2 jelentést, hogy hosszabb ideig tesztelje az ellenőrzések hatékonyságát. Ezzel mélyebb betekintést nyújt a kezelőszervek változó természetébe. Az adatkezelés figyelemmel kísérésével a biztonsági intézkedéseket ennek megfelelően módosíthatja, lehetővé téve a nagyobb adatvédelmet.
olvassa el még: SOC 2 1. típus VS. 2. típus: Mi a különbség?
öt bizalmi szolgáltatási alapelv
ismétlem, az egyetlen szükséges SOC 2 bizalmi szolgáltatási elv, amelyhez meg kell felelnie a szükséges képesítéseknek ahhoz, hogy SOC 2-kompatibilis legyen, a biztonsági bizalmi szolgáltatás elve. Ha úgy dönt, hogy más bizalmi szolgáltatási elveket auditál és tanúsít, tegye meg saját belátása szerint a vállalat igényeinek megfelelően.
biztonság
május 20-án Instagram-felhasználók milliói, köztük influencerek, hírességek és márkatársak estek áldozatul egy adatvédelmi incidensnek, amely személyes adatokat tárt fel. A TechCrunch riportere, Zach Whittaker szerint ” az Amazon Web Services által üzemeltetett adatbázist szabadon hagyták, és jelszó nélkül, amely lehetővé tette, hogy bárki belenézzen… tartalmazta a privát kapcsolattartási adatait, például az Instagram-fiók tulajdonosának e-mail címét és telefonszámát.”Instagram adatok megsértése
már a védelem alatt áll, a Facebook most a felháborodott ügyfelek újabb sorával néz szembe, akik aggódnak adataik biztonsága miatt. Sokan szeretnének csatlakozni más közösségi hálózati alkalmazásokhoz vagy webhelyekhez, hogy elkerüljék adataik felfedését. Ez egy nagy előnye, hogy garantálja, hogy az ügyfél adatait alaposan védi azáltal, hogy a szükséges biztonsági protokollok helyett.
a jó biztonság kettős: az ügyféladatok védelme érdekében mind az elülső, mind a hátsó vezérlőket figyelembe kell venni. Ha van egy ház, akkor győződjön meg arról, hogy bezárta mind az első, mind a hátsó ajtót.
Front End
Front end security lehet bontani két külön területen: tartása az ügyfél adatait biztonságos, és ügyelve arra, hogy az ügyfél csak a hozzájuk tartozó adatokat.
az elülső biztonság olyan, mint az otthonod eleje. A postai szolgáltató bizonyos feladatokat hajthat végre, mint például a levelek vagy csomagok leadása, hasonlóan ahhoz, ahogy az ügyfél felületes feladatokat hajthat végre. A szomszédok megcsodálhatják otthona szép kertjét, a tökéletes festett redőnyöket és a szórakoztató gyepdíszeket, ahogyan a látogatók láthatják a weboldal tervezését és elrendezését. Talán tovább mennek, és csengetnek, hogy megkérdezzék, hogy vagy, és megosztják veled az adataikat.
Ön, mint háztulajdonos, erős kapcsolatot alakít ki néhányukkal, és belépnek otthonába, de csak néhány területre férnek hozzá. Nem szeretné, ha bárki látná a rendetlen hálószobáját vagy irodáját. Ön határozza meg a határokat, ahol a barátok és a látogatók, mehet, hogy megbizonyosodjon arról, hogy minden olyan személyes információ, amely nem érinti őket, így marad.
ez a kezelőfelület leírja, hogy az ügyfél hogyan lép kapcsolatba az alkalmazásokkal, például tranzakciókkal, jelszavakkal, a webhely tartalmával, képekkel vagy linkekkel. A termékeknek, kocsiknak, pénztáraknak és más beágyazott alkalmazásoknak biztonságosnak kell lenniük az elülső oldalon.
természetesen meg kell győződnie arról, hogy az ügyfél csak azt látja, vagy kölcsönhatásba lép azzal, ami a kosarában van. Ha nem sikerül megfelelően kezelni a front-end fejlesztést, ez azt eredményezheti, hogy az ügyfél véletlenül felfedi más ügyfelek adatait, vagy felhasználja azokat az érdekeik érdekében.
bár egy otthon alig védett, ha csak a bejárati ajtó bezárását választja. Az erős front-end biztonságon végzett munka a háttér védelme nélkül a vállalatát teljesen kitenné a hackereknek. Ezért is fontos az erős háttérbiztonság fejlesztése.
Back End
maga az adat a szerveren tárolódik, és végül a backenden keresztül érhető el. Az információbiztonsági központ által összesített adatok szerint a hackerek közel 60% – a gazdasági haszonszerzésre törekszik személyes adatok értékesítésével. A támadások elsődleges módszere az adattárolás hátterében fordul elő; ugyanez az adatjelentés azt jelzi, hogy a hackerek 72% – A próbál hozzáférni az adatokhoz ezen a ponton.
a backend az, ahol az ügyfél számára nem releváns fontos adatok kommunikációja történik. Ennek a területnek biztonságosnak és megfelelően működőnek kell lennie annak biztosítása érdekében, hogy az elülső rész minden ügyfele számára megfelelően működjön. Ezért az adatok megsértése a háttérben katasztrofális.
a tolvaj, nem akarta, hogy fel semmilyen gyanú a szomszédok, settenkedik hátul a szép otthon feltételezve, hogy hozzáférhet ott. De te egy okos háztulajdonos vagy, aki tudja, hogy zárolja és biztosítsa az összes belépési pontot. Az erős háttérbiztonság fejlesztése elengedhetetlen az otthon falain belül található fontos adatok védelméhez.
az internet mindenütt jelenlévő jellege miatt biztonsági támadások történnek. A legfontosabb az, hogy meg tudja mutatni az auditoroknak, hogy a támadásokat azonnali reagálással és a biztonság szigorításával enyhítették.
a kiberbiztonság javításáról szóló cikkünk részletes megközelítést nyújt a legjobb kiberbiztonsági gyakorlatokról.
a legjobb gyakorlat azt jelenti, hogy ha jogsértés történik, képesnek kell lennie arra, hogy megmutassa, hogyan kezelte a helyzetet, és milyen ellenőrzéseket vezetett be a jövőbeni jogsértések megelőzése érdekében.
ha úgy dönt, hogy SOC 2 tanúsítvánnyal rendelkezik, ügyeljen arra, hogy erre a SOC 2 bizalmi szolgáltatási elvre összpontosítson, és vegye figyelembe az alábbi kritériumokat, amelyeket az AICPA részletez az AICPA bizalmi szolgáltatási kritériumokról szóló jelentésében:
- logikai és fizikai hozzáférés-ellenőrzés. Az entitás logikai és fizikai hozzáférésének korlátozására, a hozzáférés biztosítására és eltávolítására, valamint a jogosulatlan hozzáférés megakadályozására vonatkozó kritériumok
- rendszerműveletek. Azok a kritériumok, amelyek relevánsak arra vonatkozóan, hogy a gazdálkodó egység hogyan kezeli a rendszer vagy rendszerek működését, és hogyan érzékeli és csökkenti a feldolgozási eltéréseket, beleértve a logikai és fizikai biztonsági eltéréseket
- változáskezelés. Azok a kritériumok, amelyek relevánsak arra vonatkozóan, hogy a gazdálkodó egység hogyan azonosítja a változtatások szükségességét, hogyan hajtja végre a változtatásokat ellenőrzött változáskezelési folyamat segítségével, és hogyan akadályozza meg a jogosulatlan módosítások végrehajtását
- kockázatcsökkentés. Azok a kritériumok, amelyek arra vonatkoznak, hogy a gazdálkodó egység hogyan azonosítja, választja ki és fejleszti a potenciális üzleti zavarokból, valamint a szállítók és üzleti partnerek használatából eredő kockázatcsökkentő tevékenységeket
elérhetőség
üzleti tulajdonosként Ön határozza meg az egyes ügyfeleknek nyújtott szolgáltatások típusát és az ügyfél igényeinek kielégítéséhez szükséges teljesítményszintet. K. T. szerint. Kearney, “a szolgáltatás bizonyos szempontjairól-minőség, elérhetőség, felelősség – a Szolgáltató és a szolgáltatás felhasználója állapodik meg” szolgáltatási szintű megállapodás a Cloud Computing számára
garantálja, hogy ügyfele pontosan megérti, mit kap a szolgáltatás használatával, milyen szinten működik a szolgáltatás, és hogy szolgáltatóként megfelel az Ön célkitűzéseinek.
feldolgozási integritás
egy másik fontos SOC 2 bizalmi elv a feldolgozási integritás, amely az üzleti célok belső minőségbiztosítása. Ez magában foglalhatja például a tranzakciókra vonatkozó biztosítékokat vagy az adatkezelések fenntartását.
az AICPA szerint a feldolgozás integritása arra utal, hogy “a rendszerfeldolgozás teljes, érvényes, pontos, időszerű és engedélyezett az entitás céljainak eléréséhez.”Bizalmi szolgáltatások és Információs integritás
tegyük fel, hogy a webhelyén olyan terméket értékesít, mint például az egyedi kakukkos órák. A legjobb órákat a svájci óragyártóktól szerzi be, így a termék általában drágább és hosszabb szállítási idővel rendelkezik. Attól az időponttól kezdve, amikor az ügyfél rákattint, a “megrendelés leadása”, egészen addig az időpontig, amikor megérkezik az ajtóhoz, a feldolgozási integritás bizonyítja az ügyfél számára, hogy tranzakciója teljes, érvényes, pontos és részletes időfrissítésekkel rendelkezik.
a megrendelések pontos feldolgozásának képtelensége más lehetséges problémákhoz vezethet, mint például a szállítmányok késése vagy a termék mennyisége. Az egyéni kakukkos órák üzleti működésének megőrzése átfogó feldolgozási integritást igényel.
a biztonság és a feldolgozási integritás bizalmi szolgáltatási elvei kéz a kézben járnak abban, hogy a rendszerhibák megelőzésére, észlelésére vagy kijavítására irányuló eljárások végrehajtása kulcsfontosságú szempont a feldolgozási integritás szempontjából, ami viszont kevesebb biztonsági rendellenességet vagy támadást jelentene.
titoktartás
nem engedne be bárkit az otthonába. Házának és vállalkozásának védelmezőjeként szigorú titoktartási szintet tart fenn azzal kapcsolatban, hogy ki férhet hozzá az adatokhoz. Természetesen, amikor a szomszédod, Bob, elmondja neked, hogy a felesége megcsalja, elvárja, hogy csak a megfelelő feleket tájékoztassák.
a titoktartás mind az adatok másokkal való megosztásának módja, mind pedig az, hogy ki fér hozzá ezekhez az adatokhoz. Az olyan eljárások, mint a titkosított üzenetküldés, a világos rendszerhatárok vagy a tűzfalak mind bizalmasan kezelhetik az adatokat.
az AICPA a bizalmi szolgáltatás alapelveiről szóló jelentésében kijelenti: “a titoktartás foglalkozik a gazdálkodó egység azon képességével, hogy megvédje a bizalmasként megjelölt információkat azok gyűjtésétől vagy létrehozásától annak végleges elidegenítésével és a gazdálkodó egység ellenőrzéséből való eltávolításával a vezetés célkitűzéseivel összhangban.”AICPA Trust Services Criteria Report
rendszeresen ellenőrizze, hogy az ügyfél adatait bizalmasan kezelik-e. Az érzékeny adatok körüli viselkedés figyelése megakadályozhatja, hogy ezeket az adatokat rossz feleknek adják ki—mind belső, mind külső feleknek.
Adatvédelem
ugyanebben a bizalmi szolgáltatás elveiről szóló AICPA-jelentésben az adatvédelmet a következőképpen írják le: “a személyes adatokat a gazdálkodó egység céljainak elérése érdekében gyűjtik, használják, megőrzik, közzéteszik és kezelik. Bár a titoktartás különféle érzékeny adatokra vonatkozik, a magánélet csak a személyes adatokra vonatkozik.
az Adatvédelem régóta fontos eleme az ügyfelekkel való bizalom megteremtésének. Ez nem csak a kormány személyes ügyekbe való bejutásának határát jelenti, hanem az Ön, a vállalkozás tulajdonosa és a Szolgáltató számára is. Az adatvédelem lehetővé teszi az ügyfelek számára, hogy sikeresen folytassák saját üzleti tevékenységüket, vagy információt tartsanak fenn, tudva, hogy szolgáltatása megfelel a szükséges kritériumoknak.
az AICPA meghatározza az adatvédelem fenntartásához szükséges kritériumokat, amelyek magukban foglalják:
- értesítés és kommunikáció a célokról: Ön tájékoztatja ügyfeleit az adatvédelem frissítéseiről, beleértve az adatok tárolásának és megsemmisítésének módját.
- választás és hozzájárulás: az ügyfelek választhatnak, hogy hogyan gyűjtik az adataikat, mennyi ideig tárolják őket, és mikor és hogyan semmisítik meg ezeket az adatokat. Az ügyfelekkel való nyílt kommunikáció fontos a választás szabadságának biztosításában.
- gyűjtemény: Ön csak azokat az adatokat gyűjti, amelyek a vállalat céljainak megvalósításához szükségesek.
- felhasználás, megőrzés és megsemmisítés: ön biztosítja, hogy korlátozza, ki használhatja és őrizheti meg a személyes adatokat. Ha az adatokat valaha is meg kell semmisíteni, Ön is tisztában van azzal, hogy ki teszi ezt, és hogy megsemmisül.
- hozzáférés: Ön olyan módot biztosít, amellyel ügyfele hozzáférhet személyes adataihoz, és módosíthatja azokat a javítások vagy frissítések során.
- Közzététel és értesítés: Amennyiben személyes adatok megsértése történik, Önnek értesítenie kell ügyfelét, és tájékoztatnia kell őket az adatvédelmi incidens kezelésére irányuló további eljárásokról.
- minőség: az ügyfél adatai naprakészek és teljesek.
- nyomon követés és végrehajtás: ügyeljen arra, hogy a peres felek vagy ügyfelek által felvetett személyes adatokkal kapcsolatos aggályokat kezelje. Ezeket az adatokat a veszélyes biztonsági támadások megelőzése érdekében is figyelemmel kíséri.
SOC 2-kompatibilis lesz
tartsa be ezeket a SOC 2 bizalmi elveket, hogy felkészítse vállalkozását az auditra. Ne feledje, hogy csak a cikk biztonsági szakaszában leírt követelményeknek kell megfelelnie. Minden további bizalmi szolgáltatási elv olyan kiegészítő előny a vállalat számára, amely javíthatja az Ön és az ügyfelek közötti bizalom szintjét. Bizonyos nagyobb ügyfelek elvárják, hogy a szükséges tanúsítványok megtörténjenek, mielőtt üzleti tevékenységet folytatnának veled.
Olvassa El Még: Részletes SOC 2 megfelelőségi ellenőrzőlista
további információk
a bizalmi szolgáltatás elveivel és a követendő kritériumokkal kapcsolatos további információkért kérjük, olvassa el az AICPA által kiadott teljes, rendkívül részletes (óriási, 342 oldalas kritérium-és terminológiai) jelentést, amelyet az AICPA bizalmi szolgáltatási kritériumokról szóló jelentésében talál.
a legjobb megoldás az, ha felhívja az RSI Security-t, vagy e-mailt küld nekünk kérdéseivel, és szakképzett szakértőink segítenek Önnek a legjobb biztonsági gyakorlatok megvalósításában.