als ondernemer bent u altijd op zoek naar manieren om uzelf te onderscheiden van de concurrentie. Het kan zijn dat uw uitzonderlijke service, ongelooflijke producten,of misschien lage prijzen die u dat concurrentievoordeel geven. Net zo belangrijk als al deze dingen zijn voor het succes van uw bedrijf, zo is het vestigen van een diep niveau van vertrouwen met uw klanten. Een goede manier om dit vertrouwen te vestigen is SOC 2 Compliant te worden.
er zijn vijf principes voor vertrouwensdiensten, waaronder::
- beveiliging
- beschikbaarheid
- Verwerkingsintegriteit
- vertrouwelijkheid
- Privacy
SOC 2 Compliance
SOC 2 Compliance is uniek voor elk bedrijf; om het best voorbereid te zijn op een externe audit door een CPA van het American Institute of Certified Public Accountants, zal deze gids in detail ingaan op elke SOC 2 trust service.principe.
het enige principe van de vertrouwensdienst dat vereist is om SOC 2-compliant te zijn, is het principe van de vertrouwensdienst van beveiliging. Raadpleeg ons artikel over SOC 2 Compliance Requirements voor meer informatie. Niettemin, afhankelijk van het type bedrijf dat u uitvoert, de andere trust Service principes kan uw professionele autoriteit met welke dienst die u levert vast te stellen.
Assess your SOC 2 compliance
Wat is SOC 2
Service Organizational Control (SOC) rapporten dienen om aan uw klanten te bewijzen dat u klantengegevens correct verwerkt; dat gegevens worden verzonden, opgeslagen, onderhouden, verwerkt en verwijderd volgens de SOC richtlijnen die zijn opgesteld door het American Institute for CPAs (AICPA). Er zijn twee soorten rapporten om rekening mee te houden bij het kiezen om SOC compliant te worden.
SOC 1
in het eerste verslag worden de methoden en controles onderzocht die worden gebruikt om één principe van vertrouwensdiensten te handhaven.
SOC 2
in het tweede verslag worden dezelfde methoden en controles over een langere periode onderzocht.
welk rapport kies ik?
afhankelijk van de behoeften van uw organisatie, hoeft u alleen maar in de audit aan te tonen dat de controles die u momenteel hebt voldoende zijn en u verwacht deze controles te handhaven. Als uw bedrijf is een high-profile bedrijf, verwerkt grote hoeveelheden gegevens, of gevoelige gegevens, kunt u overwegen een SOC 2-rapport om de effectiviteit van uw controles te testen over een langere periode van tijd. Door dit te doen krijgt u dieper inzicht in de evoluerende aard van uw controles. Door uw gegevensbeheer te monitoren, kunt u de beveiligingsmaatregelen dienovereenkomstig aanpassen en zo een betere gegevensbescherming mogelijk maken.
Lees ook: SOC 2 TYPE 1 VS. TYPE 2: Wat is het verschil?
vijf Trust Service Principles
nogmaals, het enige vereiste SOC 2 trust Service principe waarvoor u aan de nodige kwalificaties moet voldoen om SOC 2 compliant te worden, is het security trust service principle. Als u ervoor kiest om andere trust Service principes te controleren en te certificeren, doe dit naar eigen goeddunken volgens de behoeften van uw bedrijf.
Security
op 20 mei werden miljoenen Instagram-gebruikers, waaronder influencers, beroemdheden en brand affiliates, het slachtoffer van een datalek waarbij persoonlijke informatie werd blootgelegd. Volgens TechCrunch verslaggever Zach Whittaker, ” de database, gehost door Amazon Web Services, werd blootgesteld en zonder een wachtwoord waardoor iedereen om te kijken binnen … bevatte hun privé contactgegevens, zoals het e-mailadres en telefoonnummer van de eigenaar van het Instagram-account.”Instagram Data Breach
al op de verdediging, Facebook nu geconfronteerd met een ander salvo van woedende klanten die bezorgd zijn over de veiligheid van hun gegevens. Velen zijn op zoek naar andere social networking apps of websites te sluiten om te voorkomen dat hun gegevens blootgesteld. Het is een groot voordeel om te garanderen dat de gegevens van uw klant grondig worden beschermd door het hebben van de nodige beveiligingsprotocollen op zijn plaats.
goede beveiliging is tweeledig: u moet zowel de front-als de back-end controles overwegen om Klantgegevens te beschermen. Als je een huis had, zou je ervoor zorgen dat je zowel de voor-als achterdeur op slot deed.
Front-End
Front-end beveiliging kan worden opgesplitst in twee afzonderlijke gebieden: de gegevens van uw cliënt beveiligen en ervoor zorgen dat uw cliënt alleen toegang heeft tot gegevens die relevant zijn voor hen.
Front-end beveiliging is als de voorkant van uw huis. De mail carrier kan bepaalde taken uit te voeren, zoals het droppen van e-mail of pakketten net als een client kan vluchtige taken uit te voeren. Buren kunnen genieten van uw huis nette tuin, perfect geschilderde luiken, en leuke gazon ornamenten net zoals bezoekers uw website ontwerp en lay-out kunnen zien. Misschien gaan ze verder en bellen uw deurbel vragen hoe je bent en delen sommige van hun gegevens met u.
u als huiseigenaar ontwikkelt een sterke relatie met een paar van hen en zij komen uw huis binnen, maar krijgen slechts toegang tot een paar gebieden. Je zou niet willen dat iedereen je rommelige slaapkamer of kantoor ziet. Je stelt grenzen van waar je vrienden en bezoekers, kan gaan om ervoor te zorgen dat alle persoonlijke informatie die hen niet aangaat blijft op die manier.
deze front-end beschrijft hoe uw klant communiceert met toepassingen zoals transacties, wachtwoorden, de inhoud van uw website, afbeeldingen of links. Producten, karren, kassa ‘ s en andere embedded toepassingen moeten veilig zijn aan de voorkant.
natuurlijk wilt u ervoor zorgen dat uw klant alleen kan zien of communiceren met wat zich in zijn Winkelwagen bevindt. Als u de front-end ontwikkeling niet goed beheert, kan dit ertoe leiden dat de klant per ongeluk de gegevens van andere klanten blootlegt of gebruikt voor hun interesses.
hoewel een huis nauwelijks beschermd is als u er alleen voor kiest om de voordeur te vergrendelen. Werken aan een sterke front-end beveiliging zonder bescherming van de backend zou uw bedrijf volledig blootgesteld aan hackers. Dit is de reden waarom het ontwikkelen van een sterke backend beveiliging is ook cruciaal.
Back-End
de gegevens zelf worden opgeslagen op de server en uiteindelijk benaderd via de backend. Data geaggregeerd door een informatiebeveiligingscentrum bleek dat bijna 60% van de hackers op zoek zijn naar economische winst door de verkoop van privégegevens. Cyberaanvallen statistieken de primaire methode van aanvallen optreden in de backend van gegevensopslag; dit zelfde gegevensrapport geeft aan dat 72% van de hackers proberen om toegang te krijgen tot gegevens op dit punt.
de backend is waar alle communicatie van belangrijke gegevens die niet relevant zijn voor uw klant plaatsvindt. Dit gebied moet veilig zijn en goed worden uitgevoerd om ervoor te zorgen dat de front-end goed wordt uitgevoerd voor al uw klanten. Daarom, een datalek in de backend is rampzalig.
de dief, die geen argwaan wil wekken bij de buren, sluipt achter in je mooie huis, in de veronderstelling dat hij daar toegang kan krijgen. Maar je bent een slimme huiseigenaar die Weet alle ingangen te vergrendelen en te beveiligen. Het ontwikkelen van een sterke backend beveiliging is cruciaal voor het beschermen van de belangrijke gegevens binnen de muren van uw huis.
vanwege de alomtegenwoordige aard van het internet zijn beveiligingsaanvallen onvermijdelijk. Wat het belangrijkste is dat u kunt laten zien aan auditors de aanvallen werden beperkt door middel van snelle reactie en een aanscherping van de beveiliging.
ons artikel over het verbeteren van uw Cybersecurity geeft u een gedetailleerde benadering van de beste cybersecurity praktijken.
Best practice houdt in dat als er een inbreuk plaatsvindt, je moet kunnen laten zien hoe je de situatie hebt aangepakt en welke controles je hebt ingesteld om toekomstige inbreuken te voorkomen.
als u besluit SOC 2-gecertificeerd te worden, moet u zich richten op dit principe van de SOC 2-vertrouwensdienst en de volgende criteria noteren zoals beschreven door de AICPA in het rapport van de AICPA-vertrouwensdiensten:
- logische en fysieke toegangscontroles. De criteria die relevant zijn voor de manier waarop een entiteit logische en fysieke toegang beperkt, die toegang verschaft en verwijdert, en ongeautoriseerde toegang
- systeembewerkingen voorkomt. De criteria die relevant zijn voor de wijze waarop een entiteit de werking van het systeem of de systemen beheert en verwerkingsafwijkingen detecteert en beperkt, met inbegrip van logische en fysieke beveiligingsafwijkingen
- Change management. De criteria die relevant zijn voor de wijze waarop een entiteit de noodzaak van wijzigingen identificeert, de wijzigingen uitvoert met behulp van een gecontroleerd veranderingsbeheer en voorkomt dat ongeoorloofde wijzigingen worden aangebracht
- risicobeperking. De criteria die relevant zijn voor de manier waarop de entiteit risicobeperkende activiteiten identificeert, selecteert en ontwikkelt die voortvloeien uit potentiële bedrijfsverstoringen en het gebruik van Leveranciers en zakelijke partners
beschikbaarheid
als eigenaar van een bedrijf bepaalt u welke soorten diensten u aan elke klant zult verlenen en het noodzakelijke prestatieniveau dat nodig is om aan de behoeften van de klant te voldoen. Volgens K. T. Kearney,” bijzondere aspecten van de service – kwaliteit, beschikbaarheid, verantwoordelijkheden – worden overeengekomen tussen de service provider en de service user ” Service Level Agreement for Cloud Computing
garanderen dat uw klant precies begrijpt wat ze krijgen door het gebruik van uw service, op welk niveau uw service werkt, en dat het voldoet aan uw doelstellingen als service provider.
Verwerkingsintegriteit
een ander belangrijk SOC 2-vertrouwensbeginsel is verwerkingsintegriteit, een interne kwaliteitsborging van uw bedrijfsdoelstellingen. Dit kan bijvoorbeeld waarborgen voor transacties of het onderhoud van gegevenscontroles omvatten.
de AICPA zegt dat processing integrity verwijst naar wanneer, ” systeemverwerking is voltooid, geldig, accuraat, tijdig, en geautoriseerd om de doelstellingen van de entiteit te voldoen.”Trust Services and Information Integrity
stel dat u een product op uw website verkoopt, zoals custom koekoeksklokken. U de bron van de beste klokken van Zwitserse klokmakers, zodat uw product de neiging om duurder te zijn en heeft langere levertijden. Vanaf het moment dat uw klant klikt, “plaats bestelling” tot het moment dat het aankomt op hun deur, de verwerking integriteit bewijst aan de klant dat hun transactie is voltooid, geldig, nauwkeurig, en met gedetailleerde tijd updates.
onvermogen om orders nauwkeurig te verwerken kan leiden tot andere potentiële problemen, zoals vertragingen in zendingen of hoeveelheden van uw product. Het houden van uw aangepaste koekoeksklokken bedrijf draait vereist uitgebreide verwerking integriteit.
de beginselen van de vertrouwensdienst inzake beveiliging en verwerkingsintegriteit gaan hand in hand in die zin dat het implementeren van procedures om systeemfouten te voorkomen, op te sporen of te corrigeren een cruciaal aspect van de verwerkingsintegriteit is, wat op zijn beurt minder veiligheidsafwijkingen of-aanvallen zou betekenen.
vertrouwelijkheid
u zou niet zomaar iemand in uw huis toelaten. Als beschermer van uw huis en bedrijf handhaaft u een strikt niveau van vertrouwelijkheid in termen van wie toegang heeft tot gegevens. En natuurlijk, als je buurman, Bob, Je vertelt dat zijn vrouw hem bedriegt, verwacht hij dat alleen de juiste partijen worden geïnformeerd.
vertrouwelijkheid is zowel Hoe gegevens met anderen worden gedeeld als wie toegang heeft tot deze gegevens. Procedures zoals versleutelde berichten, duidelijke systeemgrenzen of firewalls kunnen alle gegevens vertrouwelijk houden.
de AICPA in haar rapport over de beginselen van vertrouwensdiensten stelt: “vertrouwelijkheid heeft betrekking op het vermogen van de entiteit om als vertrouwelijk aangemerkte informatie te beschermen tegen de verzameling of creatie ervan door middel van haar definitieve beschikking en verwijdering uit de controle van de entiteit in overeenstemming met de doelstellingen van het management.”AICPA Trust Services Criteria Report
u dient periodiek te controleren of de gegevens van de client vertrouwelijk worden bewaard. Het monitoren van gedrag rond gevoelige gegevens kan voorkomen dat deze gegevens worden vrijgegeven aan verkeerde partijen—zowel intern als extern.
Privacy
in hetzelfde AICPA-rapport over de beginselen van vertrouwensdiensten wordt privacy beschreven als: “persoonsgegevens worden verzameld, gebruikt, bewaard, openbaar gemaakt en ter beschikking gesteld om de doelstellingen van de entiteit te verwezenlijken. Hoewel vertrouwelijkheid van toepassing is op verschillende soorten gevoelige informatie, is privacy alleen van toepassing op persoonlijke informatie.
Privacy is lange tijd een belangrijk onderdeel geweest bij het vestigen van vertrouwen met clients. Het markeert niet alleen een grens van het bereik van de overheid in persoonlijke zaken, maar ook dat van u, de ondernemer en dienstverlener. Privacy stelt klanten in staat om met succes hun eigen bedrijf uit te voeren of informatie te behouden wetende dat uw dienst voldoet aan de nodige criteria.
de AICPA legt de noodzakelijke criteria voor het behoud van de privacy vast, waaronder::
- mededeling en communicatie van doelstellingen: u informeert uw klanten over updates van privacy, waaronder hoe hun gegevens worden opgeslagen en verwijderd.
- keuze en toestemming: uw klanten krijgen de keuze hoe hun gegevens worden verzameld, hoe lang deze worden opgeslagen en wanneer en hoe die gegevens worden vernietigd. Open communicatie met uw klanten is belangrijk bij het bieden van keuzevrijheid.
- verzamelen: U verzamelt alleen de gegevens die nodig zijn om de doelstellingen van uw bedrijf uit te voeren.
- gebruik, bewaring en verwijdering: U zorgt ervoor dat u beperkt wie privégegevens mag gebruiken en bewaren. Mocht de data ooit vernietigd moeten worden, dan weet je ook wie dat doet en dat het vernietigd wordt.
- Toegang: u biedt een manier waarop uw klant toegang heeft tot zijn privégegevens en deze kan wijzigen wanneer er correcties of updates optreden.
- openbaarmaking en kennisgeving: Als er een inbreuk op persoonlijke gegevens optreedt, moet u uw klant op de hoogte stellen en hen informeren over de volgende procedures om de inbreuk op de gegevens te beheren.
- kwaliteit: u houdt de gegevens van uw klant up-to-date en volledig.
- Monitoring en handhaving: u zorgt ervoor dat u alle problemen met betrekking tot privégegevens aanpakt die door procesvoerders of klanten worden opgeworpen. U controleert ook deze gegevens om gevaarlijke beveiligingsaanvallen te voorkomen.
SOC 2 Compliant worden
volg deze SOC 2 trust principles om uw bedrijf voor te bereiden op een audit. Vergeet niet dat u alleen hoeft te voldoen aan de vereisten zoals beschreven in de sectie beveiliging van dit artikel. Eventuele extra trust Service principes zijn aanvullende voordelen voor uw bedrijf dat het niveau van vertrouwen tussen u en klanten kan verbeteren. Bepaalde grotere klanten verwachten dat u over de nodige certificeringen beschikt voordat u zaken met u doet.
Lees Ook: A Detailed SOC 2 Compliance Checklist
nadere informatie
voor meer informatie over de beginselen van de vertrouwensdienst en de noodzakelijke criteria die moeten worden gevolgd, wordt verwezen naar het volledige, uiterst gedetailleerde (maar liefst 342 pagina ‘ s met criteria en terminologie) rapport van de AICPA dat u kunt vinden op het AICPA Trust Service Criteria Report.
de betere oplossing is om RSI Security te bellen of ons een e-mail te sturen met uw vragen en een van onze gekwalificeerde experts zal u helpen de beste beveiligingspraktijken te implementeren.