ビジネスオーナーとして、あなたは常に競争から離れて自分自身を設定する方法を探しています。 それはあなたにその競争力を与えるあなたの例外的なサービス、信じられないほどの製品、またはおそらく低価格かもしれません。 すべてのこれらの事があなたのビジネスの成功にあると同じように重要、従ってあなたの顧客との信頼の深いレベルを確立している。 この信頼を確立する良い方法の1つは、SOC2準拠になることです。
次のような5つの信頼サービス原則があります:
- セキュリティ
- 可用性
- 処理の整合性
- 機密性
- プライバシー
SOC2準拠
SOC2準拠になることは、各ビジネスに固有のものです。公認会計士american institute of certified public accountantsのこのガイドでは、各Soc2トラストサービスの原則について詳しく説明します。
SOC2準拠であることが要求される信頼サービスの原則は、セキュリティの信頼サービスの原則のみです。 詳細については、SOC2準拠要件に関する記事を参照してください。 それにもかかわらず、あなたが実行するビジネスの種類に応じて、他の信頼サービスの原則は、あなたが提供するどんなサービスでもあなたの専門的
SOC2コンプライアンスの評価
SOC2とは
Service Organizational Control(SOC)レポートは、お客様が顧客データを適切に処理していることを顧客に証明するのに役立ちます。 SOC準拠を選択する際に考慮すべきレポートには2つのタイプがあります。
SOC1
最初のレポートでは、一つの信頼サービスの原則を維持するために使用される方法と制御について検討しています。
SOC2
第二の報告書は、これらの同じ方法と制御を長期間にわたって検討しています。
どのレポートを選択しますか?
組織のニーズに応じて、現在実施しているコントロールで十分であり、これらのコントロールを維持することを期待していることを監査で示す必要があ 企業が知名度の高い企業で、大量のデータや機密データを処理している場合は、SOC2レポートを検討して、より長い期間にわたってコントロールの有効性をテス そうすることで、コントロールの進化の性質についてより深い洞察を得ることができます。 データ管理を監視することで、それに応じてセキュリティ対策を調整し、データ保護を強化できます。
また読む:SOC2TYPE1VS.TYPE2:違いは何ですか?
Five Trust Service Principles
繰り返しになりますが、SOC2準拠になるために必要な資格を満たさなければならないSOC2trust service principlesは、security trust service principlesです。 他の信託サービス原則を監査して証明する場合は、会社のニーズに応じて裁量で監査してください。
セキュリティ
5月20日、インフルエンサー、有名人、ブランド関連会社など数百万人のInstagramユーザーが、個人情報を暴露するデータ侵害の犠牲になった。 TechCrunchの記者Zach Whittakerによると、「Amazon Web Servicesがホストしているデータベースは公開されたままで、誰もが内部を見ることができるパスワードなしで…Instagramアカウント所有者のeメー…や電話番号などのinstagramの個人的な連絡先情報が含まれていた。 Instagramのデータ侵害
すでに防衛上、Facebookは今、自分のデータのセキュリティを懸念している憤慨した顧客の別の一斉射撃に直面しています。 多くの人は、データが公開されないように、他のソーシャルネットワーキングアプリやwebサイトに参加しようとしています。 必要なセキュリティプロトコルを設定することで、クライアントのデータが完全に保護されることを保証することは大きな利点です。
優れたセキュリティは二重です:顧客データを保護するために、フロントエンドとバックエンドの両方の制御を考慮する必要があります。 あなたが家を所有している場合は、フロントとバックドアの両方をロックしていることを確認します。
フロントエンド
フロントエンドのセキュリティは、クライアントのデータを安全に保つことと、クライアントがそれらに関連するデータのみにアクセ
フロントエンドのセキュリティは、あなたの家の正面のようなものです。 メールキャリアは、クライアントが大まかなタスクを実行できるように、メールやパッケージのドロップオフなどの特定のタスクを実行できます。 隣人は訪問者があなたのウェブサイトの設計およびレイアウトを見ることができるようにあなたの家の端正な庭、映像完全な塗られたシャッター、およ おそらく、彼らはさらに行くと、あなたがどのように照会し、あなたと彼らのデータの一部を共有するあなたのドアベルを鳴らします。
あなたは住宅所有者として、彼らのうちのいくつかと強い関係を築き、彼らはあなたの家に入りますが、いくつかの領域へのアクセス権が与えら あなたは誰もがあなたの乱雑な寝室やオフィスを見たくないでしょう。 あなたの友人や訪問者がどこに行くことができるかの境界を設定し、それらに関係しない個人情報がそのように残っていることを確認します。
このフロントエンドは、顧客がトランザクション、パスワード、webサイトのコンテンツ、画像、リンクなどのアプリケーションとどのように対話するかを 製品、カート、チェックアウト、およびその他の組み込みアプリケーションは、フロントエンドで安全である必要があります。
当然のことながら、顧客がカートに入っているものだけを見たり、操作したりできるようにしたいと考えています。 フロントエンド開発を適切に管理できないと、クライアントが誤って他のクライアントのデータを公開したり、そのデータを自分の利益のために使
だが、玄関のドアをロックするだけでは家はほとんど保護されない。 バックエンドを保護せずに強力なフロントエンドセキュリティに取り組むことは、あなたの会社を完全にハッカーにさらされたままになります。 これが、強力なバックエンドセキュリティの開発も重要である理由です。
バックエンド
データ自体はサーバーに保存され、最終的にバックエンドを介してアクセスされます。 情報セキュリティセンターによって集計されたデータは、ハッカーの約60%が個人データを販売することによって経済的利益を求めているこ この同じデータレポートは、ハッカーの72%がこの時点でデータにアクセスしようとしていることを示しています。
バックエンドは、顧客に関係のない重要なデータのすべての通信が行われる場所です。 この領域は、フロントエンドがすべてのクライアントに対して適切に実行されていることを確認するために、安全で適切に実行されている必要 したがって、バックエンドでのデータ侵害は悲惨です。
泥棒は、隣人からの疑いを持ちたくないので、彼がそこにアクセスできると仮定して、あなたの素敵な家の後ろに潜入します。 しかし、あなたはすべてのエントリポイントをロックし、保護することを知っているスマート 強力なバックエンドのセキュリティを開発することは、あなたの家の壁に含まれる重要なデータを保護するために重要です。
インターネットの遍在する性質のため、セキュリティ攻撃は必ず起こるはずです。 最も重要なのは、迅速な対応とセキュリティの強化によって攻撃が軽減されたことを監査人に示すことができるということです。
あなたのサイバーセキュリティを改善する方法に関する私たちの記事は、あなたに最高のサイバーセキュリティプラクティスへの詳細なアプロー
ベストプラクティスでは、違反が発生した場合、状況をどのように処理したか、将来の違反を防ぐためにどのようなコントロールを配置したかを示す
SOC2認定を受けることを決定した場合は、このSOC2信頼サービス原則に焦点を当て、AICPAがaicpa信頼サービス基準レポートで詳述している次の基準に注意してく:
- 論理アクセス制御および物理アクセス制御。 エンティティが論理的および物理的アクセスを制限し、そのアクセスを提供および削除し、不正アクセス
- システム操作を防止する方法に関連する規 エンティティがシステムの操作をどのように管理し、論理的および物理的なセキュリティ偏差
- 変更管理を含む処理偏差を検出して軽減するかに関 エンティティが変更の必要性を識別し、制御された変更管理プロセスを使用して変更を行い、不正な変更が行われるのを防ぐ方法に関連する基準
可用性
ビジネスオーナーとして、各クライアントに提供するサービスの種類と、クライアントのニーズを満たすために必要なパフォーマンスレベルを決定します。 K.T.によると Kearney,”サービスの特定の側面–品質、可用性、責任–は、サービスプロバイダーとサービスユーザーの間で合意されています”クラウドコンピューティングのサービスレベル契約
処理の整合性
もう一つの重要なSOC2信頼の原則は、ビジネス目標の内部品質保証である処理の整合性です。 例えば、これには、取引やデータ管理の維持のための安全対策が含まれる場合があります。
AICPAは、処理の完全性とは、”システム処理が完了し、有効で、正確で、タイムリーで、事業体の目的を満たすことが承認されたときを指すと述べています。”信頼サービスと情報の完全性
カスタム鳩時計などのウェブサイトで製品を販売しているとしましょう。 あなたの製品は、より高価になる傾向があり、より長い出荷時間を持っているので、あなたは、スイスの時計メーカーから最高の時計を調達します。 顧客がクリックした時点から、「注文」をしてドアに到着するまで、処理の完全性は、取引が完了し、有効で、正確で、詳細な時間更新が行われていることをク
注文を正確に処理できないと、出荷の遅延や製品の数量などの潜在的な問題が発生する可能性があります。 あなたの注文のかっこう時計ビジネスランニングを保つことは広範囲の処理の完全性を要求する。
セキュリティと処理の完全性の信頼サービスの原則は、システムエラーを防止、検出、または修正するための手順を実装することによって、処理の完全性
機密保持
あなたは誰もあなたの家に入れないでしょう。 あなたの家やビジネスの保護者として、あなたは誰がデータにアクセスできるかという点で厳格なレベルの機密性を維持します。 そしてもちろん、あなたの隣人、ボブは、彼の妻が彼に浮気していることを伝えたとき、彼は正しい当事者だけが通知されることを期待しています。
機密性とは、データが他の人とどのように共有されるか、そして誰がこのデータにアクセスできるかの両方です。 暗号化されたメッセージング、システム境界の明確化、ファイアウォールなどの手順は、すべてデータの機密性を維持できます。
AICPAは、信託サービス原則に関する報告書で、”機密性は、機密として指定された情報を、経営陣の目的に従って、最終処分および事業体の管理から削除するこ”AICPA Trust Services Criteria Report
クライアントのデータが信頼されていることを定期的に確認する必要があります。 機密データの周りの動作を監視することで、このデータが内部と外部の両方の間違った関係者に解放されるのを防ぐことができます。
プライバシー
信託サービス原則に関する同じAICPA報告書では、プライバシーを”個人情報は、企業の目的を達成するために収集、使用、保持、開示、廃棄されます。 機密性はさまざまな種類の機密情報に適用されますが、プライバシーは個人情報にのみ適用されます。
プライバシーは、クライアントとの信頼を確立する上で長い間重要な要素でした。 それは個人的な問題に政府の範囲の限界を示すだけでなく、あなた、ビジネス所有者およびサービス-プロバイダのそれだけでなく。 プライバシーは顧客が首尾よく彼らの自身のビジネスを行なうか、またはあなたのサービスが必要な規準を満たすことを知っている情報を維持することを可能にする。
AICPAは、以下を含むプライバシーを維持するために必要な基準を定めています:
- 目的の通知と連絡:お客様は、データの保存方法や廃棄方法を含むプライバシーの更新についてお客様に通知します。
- 選択と同意:お客様は、データの収集方法、データの保存期間、データの破棄時期と方法について選択を受けることができます。 あなたの顧客との開いたコミュニケーションは選択の自由の提供で重要である。
- 収集:あなたはあなたの会社の目的を実行するために必要なデータのみを収集します。
- 使用、保持、廃棄:個人データの使用と保持を誰が制限するかを確認します。 データを破棄する必要がある場合は、誰が破棄したのか、破棄されたのかも明確になっています。
- アクセス:クライアントが修正または更新が発生したときにプライベートデータにアクセスして変更できる方法を提供します。
- 開示-通知: 個人データの侵害が発生した場合、お客様はお客様のクライアントに通知し、データ侵害を管理するための後続の手順を通知する必要があります。
- 品質:クライアントのデータを最新かつ完全に保ちます。
- 監視と執行:訴訟当事者またはクライアントのいずれかによって提起された個人データに関する懸念に対処することを確認します。 また、危険なセキュリティ攻撃を防ぐために、このデータを監視します。
SOC2準拠になる
これらのSOC2信頼原則を遵守して、監査のためにビジネスを準備してください。 この資料のセキュリティセクションで説明されている要件を満たす必要があるのは、要件を満たすだけです。 任意の追加の信頼サービス原則は、あなたとクライアントとの間の信頼のレベルを向上させることができ、あなたの会社への補足的な利点です。 ある特定のより大きい顧客はあなたとのビジネスを行なう前に必要な証明があることを期待する。
も読む: 詳細なSOC2コンプライアンスチェックリスト
詳細な情報
信頼サービスの原則と従うために必要な基準の詳細については、AICPA Trust Service Criteria Reportで見つけることが
より良い解決策は、RSIセキュリティに電話をかけるか、質問を電子メールで送信することです。