HVA ER SOC 2 Trust Service Prinsipper?

Posted on by admin

som bedriftseier er du alltid på utkikk etter måter å skille deg ut fra konkurrentene. Det kan være at eksepsjonell service, utrolige produkter, eller kanskje lave priser som gir deg at konkurransefortrinn. Like viktig som alle disse tingene er til suksess for bedriften, så er å etablere et dypt nivå av tillit med kundene. En god måte å etablere denne tilliten på er Å bli SOC 2-Kompatibel.

det er fem trust service prinsipper som inkluderer:

  • Sikkerhet
  • Tilgjengelighet
  • behandlingsintegritet
  • Konfidensialitet
  • Personvern

SOC 2-Samsvar

Å Bli Soc 2-Kompatibel er unikt for hver virksomhet; for å være best forberedt på en ekstern revisjon av en cpa fra american institute of certified public accountants, denne guiden vil gå i detalj Forklarer Hver Soc 2 Trust Service Prinsipp.

det eneste klareringstjenesteprinsippet som kreves FOR Å være SOC 2-kompatibelt, er klareringstjenesteprinsippet for sikkerhet. Se vår artikkel OM SOC 2-Samsvarskrav for mer informasjon. Likevel, avhengig av hvilken type virksomhet du driver, kan de andre tillitstjenesteprinsippene etablere din faglige autoritet med hvilken tjeneste du tilbyr.

Vurder DIN SOC 2-overholdelse

HVA ER SOC 2

SOC-rapporter (Service Organizational Control) tjener til å bevise for kundene dine at du håndterer kundedata på riktig måte; disse dataene vil bli overført, lagret, vedlikeholdt, behandlet og avhendet i henhold TIL SOC-retningslinjene fastsatt av American Institute For CPAs (Aicpa). Det er to typer rapporter å vurdere når du velger Å bli SOC-kompatibel.

SOC 1

den første rapporten undersøker metodene og kontrollene som brukes for å opprettholde ett klareringstjenesteprinsipp.

SOC 2

den andre rapporten undersøker de samme metodene og kontrollene over en lengre periode.

Hvilken Rapport Velger Jeg?

Avhengig av behovene til organisasjonen, kan det hende du bare må vise i overvåkingen at kontrollene du har på plass er tilstrekkelig, og du forventer å opprettholde disse kontrollene. Hvis bedriften din er et profilert selskap, håndterer store mengder data eller sensitive data, kan det være lurt å vurdere EN SOC 2-rapport for å teste effektiviteten av kontrollene over en lengre periode. Dette gir deg dypere innsikt i utviklingen av kontrollene. Ved å overvåke din datahåndtering kan du justere sikkerhetsforanstaltninger tilsvarende, noe som gir bedre databeskyttelse.

Les Også: SOC 2 TYPE 1 VS. TYPE 2: Hva Er Forskjellen?

Fem Prinsipper For Klareringstjeneste

for å gjenta, er det eneste NØDVENDIGE PRINSIPPET OM KLARERINGSTJENESTE FOR SOC 2 som du må oppfylle de nødvendige kvalifikasjonene for å bli SOC 2-kompatible, prinsippet om klareringstjeneste for sikkerhet. Hvis du velger å revidere og sertifisere andre trust service-prinsipper, gjør du det etter eget skjønn i henhold til bedriftens behov.

Sikkerhet

den 20. Mai ble millioner Av Instagram-brukere, inkludert influencere, kjendiser og merkevarepartnere, offer for et datainnbrudd som avslørte personlig informasjon. Ifølge techcrunch reporter Zach Whittaker, » databasen, hostet Av Amazon Web Services, ble forlatt eksponert og uten et passord som tillater noen å se på innsiden… inneholdt deres private kontaktinformasjon, for Eksempel Instagram – kontoeierens e-postadresse og telefonnummer.»Instagram Data Breach

Allerede på forsvaret står Facebook nå overfor en annen salvo av rasende kunder som er bekymret for sikkerheten til deres data. Mange er ute etter å bli med andre sosiale nettverk apps eller nettsteder for å unngå å ha sine data utsatt. Det er en stor fordel å garantere at kundens data er grundig beskyttet ved å ha de nødvendige sikkerhetsprotokollene på plass.

God sikkerhet er todelt: du må vurdere både front-og bakendekontroller for å beskytte kundedata. Hvis du eide et hus, ville du sørge for at du låst både foran og bak døren.

Frontend

Frontend sikkerhet kan deles inn i to separate områder: holde kundens data sikre og sørge for at klienten bare kan få tilgang til data som er relevante for dem.

Front end sikkerhet er som forsiden av ditt hjem. Postbæreren kan utføre visse oppgaver som å slippe av e-post eller pakker, akkurat som en klient kan utføre korte oppgaver. Naboer kan beundre ditt hjem ryddig hage, bilde-perfekt malt skodder, og morsomme hagepynt akkurat som besøkende kan se ditt nettsted design og layout. Kanskje de går videre og ringe på dørklokken spør hvordan du er og dele noen av sine data med deg.

du som hus utvikler et sterkt forhold til noen av dem, og de går inn i hjemmet ditt, men får bare tilgang til noen få områder. Du vil ikke bare at noen ser ditt rotete soverom eller kontor. Du setter grenser for hvor dine venner og besøkende kan gå for å sikre at all privat informasjon som ikke angår dem, forblir slik.

denne fronten beskriver hvordan kunden samhandler med programmer som transaksjoner, passord, innholdet på nettstedet ditt, bilder eller koblinger. Produkter, vogner, kasser og andre innebygde programmer må være sikre på forsiden.

naturligvis vil du sørge for at kunden din bare kan se eller samhandle med det som er i handlekurven. Hvis du ikke klarer å håndtere frontend-utvikling på riktig måte, kan dette føre til at klienten ved et uhell utsetter andre klienters data eller bruker det for deres interesser.

selv om et hjem er knapt beskyttet hvis du bare velger å låse inngangsdøren. Arbeide med sterk front-end sikkerhet uten å beskytte backend ville forlate din bedrift helt utsatt for hackere. Derfor er det også viktig å utvikle sterk backend-sikkerhet.

Back End

selve dataene lagres på serveren og til slutt nås via backend. Data samlet av et informasjonssikkerhetssenter fant at nesten 60% av hackere søker økonomisk gevinst ved å selge private data. Cyberangrep Statistikk den primære metoden for angrep forekommer i backend av datalagring; den samme datarapporten indikerer at 72% av hackere forsøker å få tilgang til data på dette punktet.

backend er der all kommunikasjon av viktige data som ikke er relevante for kunden skjer. Dette området må være sikker og kjører riktig for å sikre at fronten kjører riktig for alle dine kunder. Derfor er et datainnbrudd i backend katastrofalt.

tyven, som ikke ønsker å heve mistanker fra naboene, sniker seg rundt på baksiden av ditt vakre hjem, forutsatt at han kan få tilgang der. Men du er en smart hus som vet å låse og sikre alle inngangspunkter. Utvikle sterk backend sikkerhet er avgjørende for å beskytte viktige data som finnes innenfor veggene i ditt hjem.

på grunn av internettets allestedsnærværende natur, er sikkerhetsangrep bundet til å skje. Det som betyr mest er at du kan vise til revisorer angrepene ble dempet gjennom rask respons og en innstramming av sikkerhet.

vår artikkel Om Hvordan Du Kan Forbedre Din Cybersikkerhet vil gi deg en detaljert tilnærming til beste cybersikkerhetspraksis.

Beste praksis innebærer at hvis et brudd skjer, må du kunne vise hvordan du håndterte situasjonen og hvilke kontroller du har satt på plass for å hindre fremtidige brudd.

hvis DU bestemmer deg FOR Å bli SOC 2-sertifisert, må du fokusere på DETTE SOC 2-klareringstjenesteprinsippet og notere følgende kriterier som beskrevet I Aicpa I Aicpa Trust Services Criteria Report:

  • Logiske og fysiske tilgangskontroller. Kriteriene som er relevante for hvordan en enhet begrenser logisk og fysisk tilgang, gir og fjerner denne tilgangen, og forhindrer uautorisert tilgang
  • systemoperasjoner. Kriteriene som er relevante for hvordan et foretak forvalter driften av systemet eller systemene og oppdager og reduserer behandlingsavvik, inkludert logiske og fysiske sikkerhetsavvik
  • Endringsledelse. Kriteriene som er relevante for hvordan en enhet identifiserer behovet for endringer, foretar endringene ved hjelp av en kontrollert endringsledelsesprosess, og forhindrer at uautoriserte endringer blir gjort
  • risikoreduksjon. Kriteriene som er relevante for hvordan enheten identifiserer, velger og utvikler risikoreduserende aktiviteter som følge av potensielle forretningsforstyrrelser og bruk av leverandører og forretningspartnere

Tilgjengelighet

som bedriftseier bestemmer du hvilke typer tjenester du vil levere til hver klient og det nødvendige ytelsesnivået som trengs for å møte kundens behov. Ifølge K. T. Kearney, «Bestemte aspekter av tjenesten – kvalitet, tilgjengelighet, ansvar – er avtalt mellom tjenesteleverandøren og tjenestebruker» Tjenestenivåavtale For Cloud Computing

Garanterer at kunden forstår nøyaktig hva de får ved å bruke tjenesten, på hvilket nivå tjenesten opererer, og at den oppfyller dine mål som tjenesteleverandør.

Prosessintegritet

Et annet viktig SOC 2-tillitsprinsipp er prosessintegritet som er en intern kvalitetssikring av forretningsmålene dine. Dette kan for eksempel omfatte garantier for transaksjoner eller vedlikehold av datakontroller.

aicpa sier at behandlingsintegritet refererer til når «systembehandling er fullført, gyldig, nøyaktig, rettidig og autorisert til å oppfylle enhetens mål.»Tillit Tjenester Og Informasjon Integritet

La oss si at du selger et produkt på nettstedet ditt som egendefinerte gjøk klokker. Du kilde de beste klokker Fra Sveitsiske clockmakers, slik at produktet har en tendens til å være dyrere og har lengre leveringstider. Fra kunden klikker, «legg inn bestilling» til den tiden den kommer til døren, viser prosessintegritet til kunden at transaksjonen er fullført, gyldig, nøyaktig og med detaljerte tidsoppdateringer.

Manglende evne til nøyaktig å behandle bestillinger kan føre til andre potensielle problemer som forsinkelser i forsendelser eller antall av produktet. Holde Tilpassede Gjøk Klokker virksomhet kjører krever omfattende behandling integritet.

trust service-prinsippene for sikkerhet og behandlingsintegritet går hånd i hånd ved at ved å implementere prosedyrer for å forhindre, oppdage eller rette systemfeil er et avgjørende aspekt ved behandlingsintegritet som igjen vil bety færre sikkerhetsavvik eller angrep.

Konfidensialitet

Du ville ikke la hvem som helst inn i ditt hjem. Som beskytter av ditt hus og din virksomhet opprettholder du et strengt konfidensialitetsnivå når det gjelder hvem som kan få tilgang til data. Og selvfølgelig, Når naboen Din, Bob, forteller deg at hans kone er utro på ham, forventer han at bare de riktige partiene vil bli informert.

Konfidensialitet er Både hvordan data deles med andre og hvem som har tilgang til disse dataene. Prosedyrer som krypterte meldinger, klare systemgrenser eller brannmurer kan alle holde data konfidensielle.

aicpa i sin rapport om prinsipper for tillitstjenester sier: «konfidensialitet tar for seg foretakets evne til å beskytte informasjon utpekt som konfidensiell fra innhenting eller opprettelse gjennom sin endelige disposisjon og fjerning fra foretakets kontroll i samsvar med ledelsens mål.»Aicpa Trust Services Criteria Report

du bør regelmessig sjekke at kundens data holdes konfidensielt. Overvåking av atferd rundt sensitive data kan forhindre at disse dataene blir utgitt til feil parter—både interne og eksterne.

Personvern

i DEN SAMME aicpa-rapporten om prinsipper for tillitstjenester beskriver de personvern som: «personlig informasjon samles inn, brukes, beholdes, utleveres og disponeres for å oppfylle enhetens mål. Selv om konfidensialitet gjelder for ulike typer sensitiv informasjon, gjelder personvern bare for personlig informasjon.

Personvern har lenge vært en viktig komponent i å etablere tillit hos kunder. Det markerer ikke bare en grense for regjeringens rekkevidde i personlige saker, men også for deg, bedriftseieren og tjenesteleverandøren. Personvern gjør det mulig for klienter å utføre sin egen virksomhet eller opprettholde informasjon og vite at tjenesten din oppfyller de nødvendige kriteriene.

AICPA legger ut de nødvendige kriteriene for å opprettholde personvern som inkluderer:

  • Merknad og kommunikasjon av mål: du informerer kundene dine om oppdateringer av personvern, inkludert hvordan dataene deres lagres og bortskaffes.
  • Valg og samtykke: kundene dine får valget om hvordan dataene deres samles inn, hvor lenge de lagres, og når og hvordan dataene blir ødelagt. Åpen kommunikasjon med kundene dine er viktig for å gi deg valgfrihet.
  • Innsamling: du samler bare inn dataene som trengs for å utføre målene for firmaet ditt.
  • Bruk, oppbevaring og avhending: du sørger for at du begrenser hvem som får bruke og beholde private data. Skulle dataene noen gang trenger å bli ødelagt, er du også klar på hvem som gjør det, og at det er ødelagt.
  • Tilgang: du gir en måte som klienten kan få tilgang til og endre sine private data som rettelser eller oppdateringer oppstår.
  • Avsløring og varsling: Skulle det oppstå brudd på private data, må du varsle kunden din og informere dem om påfølgende prosedyrer for å håndtere databruddet.
  • Kvalitet: du holder kundens data oppdatert og komplett.
  • Overvåking og håndhevelse: du sørger for at du tar opp eventuelle bekymringer rundt private data som er reist av enten litigators eller klienter. Du overvåker også disse dataene for å forhindre farlige sikkerhetsangrep.

Bli SOC 2-Kompatibel

Følg DISSE SOC 2-tillitsprinsippene for å forberede virksomheten din på en revisjon. Husk at du bare trenger å oppfylle kravene som beskrevet i delen sikkerhet i denne artikkelen. Noen ekstra tillit service prinsipper er supplerende fordeler til din bedrift som kan forbedre nivået av tillit mellom deg og kunder. Visse større kunder forventer at du vil ha de nødvendige sertifiseringer på plass før du gjør forretninger med deg.

Les Også: En Detaljert SOC 2-Sjekkliste For Samsvar

Ytterligere Informasjon

for mer informasjon Om prinsipper for klareringstjeneste og de nødvendige kriteriene for å følge, se den fullstendige, ekstremt detaljerte rapporten (en hel del 342 sider med kriterier og terminologi) utgitt AV aicpa, som du finner på Aicpa Trust Service Criteria Report.

Den beste løsningen er å ringe Rsi Security eller sende oss en e-post med dine spørsmål, og en av våre kvalifiserte eksperter vil hjelpe deg med å implementere de beste sikkerhetspraksisene.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.