jako właściciel firmy zawsze szukasz sposobów, aby wyróżnić się na tle konkurencji. Może to być twoja wyjątkowa obsługa, niesamowite produkty, a może niskie ceny, które dają Ci tę przewagę konkurencyjną. Tak samo ważne jak wszystkie te rzeczy są dla sukcesu Twojej firmy, tak jest ustanowienie głębokiego poziomu zaufania z klientami. Dobrym sposobem na ustanowienie tego zaufania jest uzyskanie zgodności z SOC 2.
istnieje pięć zasad obsługi zaufania, które obejmują:
- bezpieczeństwo
- dostępność
- integralność przetwarzania
- poufność
- Prywatność
zgodność z SOC 2
uzyskanie zgodności z SOC 2 jest unikalne dla każdej firmy.CPA z American Institute of Certified Public Accountants, ten przewodnik szczegółowo wyjaśni każdą zasadę usługi zaufania SOC 2.
jedyną zasadą usługi zaufania wymaganą do zgodności z SOC 2 jest zasada bezpieczeństwa usługi zaufania. Więcej informacji można znaleźć w naszym artykule na temat wymagań zgodności SOC 2. Niemniej jednak, w zależności od rodzaju prowadzonej działalności, inne zasady obsługi zaufania mogą ustanowić twój profesjonalny autorytet z każdą świadczoną usługą.
Oceń swoją zgodność z SOC 2
czym jest SOC 2
raporty Service Organizational Control (SOC) służą udowodnieniu klientom, że prawidłowo przetwarzasz dane klientów; dane te będą przesyłane, przechowywane, przechowywane, przetwarzane i usuwane zgodnie z wytycznymi SOC ustanowionymi przez amerykański Instytut CPAs (AICPA). Przy wyborze zgodności z SOC należy wziąć pod uwagę dwa rodzaje raportów.
SOC 1
pierwszy raport analizuje metody i kontrole stosowane do utrzymania zasady jednej usługi zaufania.
SOC 2
drugi raport bada te same metody i kontroluje przez dłuższy czas.
który raport wybrać?
w zależności od potrzeb organizacji może być konieczne wykazanie w audycie, że obecnie stosowane mechanizmy kontrolne są wystarczające i oczekujesz ich utrzymania. Jeśli Twoja firma jest firmą o wysokim profilu, obsługuje duże ilości danych lub dane wrażliwe, możesz rozważyć raport SOC 2, aby przetestować skuteczność kontroli przez dłuższy okres czasu. Daje to głębszy wgląd w ewoluującą naturę sterowania. Monitorując zarządzanie danymi, możesz odpowiednio dostosować środki bezpieczeństwa, aby zwiększyć ochronę danych.
Przeczytaj także: SOC 2 TYPE 1 VS. TYPE 2: Jaka jest różnica?
pięć zasad usługi zaufania
aby powtórzyć, jedyną wymaganą zasadą usługi zaufania SOC 2, dla której musisz spełnić niezbędne kwalifikacje, aby uzyskać zgodność z SOC 2, jest zasada usługi zaufania bezpieczeństwa. Jeśli zdecydujesz się na audyt i certyfikację innych zasad usług zaufania, zrób to według własnego uznania, zgodnie z potrzebami Twojej firmy.
bezpieczeństwo
20 maja miliony użytkowników Instagramu, w tym wpływowych, celebrytów i partnerów marki padły ofiarą naruszenia danych ujawniającego dane osobowe. Według reportera TechCrunch Zacha Whittakera, ” baza danych, hostowana przez Amazon Web Services, została odsłonięta i bez hasła pozwalającego nikomu zajrzeć do środka… zawierała ich prywatne dane kontaktowe, takie jak adres e-mail właściciela konta na Instagramie i numer telefonu. Facebook Instagram data Breach
już w obronie, Facebook staje teraz przed kolejną salwą oburzonych klientów, którzy obawiają się o bezpieczeństwo swoich danych. Wiele z nich chce dołączyć do innych aplikacji społecznościowych lub stron internetowych, aby uniknąć ujawnienia swoich danych. Dużą korzyścią jest zagwarantowanie, że dane Twojego klienta są dokładnie chronione poprzez posiadanie niezbędnych protokołów bezpieczeństwa.
dobre bezpieczeństwo jest dwojakie: musisz wziąć pod uwagę zarówno przednią, jak i tylną kontrolę, aby chronić dane Klienta. Jeśli posiadasz Dom, upewnij się, że zamknąłeś zarówno przednie, jak i tylne drzwi.
Front End
zabezpieczenia Front end można podzielić na dwa oddzielne obszary: dbanie o bezpieczeństwo danych Klienta i upewnianie się, że Klient ma dostęp tylko do danych, które go dotyczą.
zabezpieczenie front end jest jak przód domu. Przewoźnik może wykonywać pewne zadania, takie jak dostarczanie poczty lub paczek, podobnie jak klient może wykonywać pobieżne zadania. Sąsiedzi mogą podziwiać schludny ogród w Twoim domu, idealne malowane okiennice i zabawne ozdoby trawnika, tak jak odwiedzający mogą zobaczyć Twój projekt i układ strony internetowej. Być może idą dalej i dzwonią do drzwi, pytając, jak się masz i dzieląc się z Tobą niektórymi danymi.
Ty jako właściciel domu rozwijasz silne relacje z kilkoma z nich i wchodzą do Twojego domu, ale mają dostęp tylko do kilku obszarów. Nie chciałbyś, żeby ktokolwiek widział Twoją brudną sypialnię lub biuro. Ustalasz granice miejsca, w którym twoi przyjaciele i odwiedzający mogą się udać, aby upewnić się, że wszelkie prywatne informacje, które ich nie dotyczą, pozostają w ten sposób.
ten interfejs użytkownika opisuje sposób interakcji Klienta z aplikacjami, takimi jak transakcje, hasła, zawartość witryny, obrazy lub linki. Produkty, Wózki, kasy i inne wbudowane aplikacje muszą być bezpieczne z przodu.
oczywiście chcesz mieć pewność, że twój Klient może tylko zobaczyć lub wchodzić w interakcje z tym, co znajduje się w jego koszyku. Jeśli nie uda Ci się prawidłowo zarządzać rozwojem front-end, może to prowadzić do przypadkowego ujawnienia danych innych klientów lub wykorzystania ich dla ich interesów.
chociaż dom nie jest chroniony, jeśli zdecydujesz się tylko zablokować drzwi wejściowe. Praca nad silnymi zabezpieczeniami front-end bez ochrony zaplecza naraziłaby Twoją firmę na ataki hakerów. Dlatego też kluczowe znaczenie ma również rozwijanie silnego bezpieczeństwa backendu.
Back End
same dane są przechowywane na serwerze i ostatecznie dostępne za pośrednictwem zaplecza. Dane zagregowane przez Centrum Bezpieczeństwa Informacji wykazały, że prawie 60% hakerów szuka korzyści ekonomicznych poprzez sprzedaż prywatnych danych. Statystyki ataków cybernetycznych podstawowa metoda ataków występuje w zapleczu przechowywania danych; ten sam raport danych wskazuje, że 72% hakerów próbuje uzyskać dostęp do danych w tym momencie.
backend to miejsce, w którym odbywa się cała komunikacja ważnych danych nieistotnych dla klienta. Obszar ten musi być bezpieczny i działać prawidłowo, aby zapewnić, że front end działa prawidłowo dla wszystkich klientów. W związku z tym naruszenie danych w backendzie jest katastrofalne.
złodziej, nie chcąc wzbudzać podejrzeń u sąsiadów, zakrada się na tyłach twojego pięknego domu, zakładając, że będzie miał do niego dostęp. Ale jesteś inteligentnym właścicielem domu, który wie, aby zablokować i zabezpieczyć wszystkie punkty wejścia. Rozwijanie silnego bezpieczeństwa zaplecza ma kluczowe znaczenie dla ochrony ważnych danych zawartych w ścianach Domu.
ze względu na wszechobecny charakter Internetu, ataki bezpieczeństwa na pewno się zdarzają. Najważniejsze jest to, że możesz pokazać audytorom, że ataki zostały złagodzone dzięki szybkiej reakcji i zaostrzeniu bezpieczeństwa.
nasz artykuł o tym, jak poprawić cyberbezpieczeństwo, zawiera szczegółowe podejście do najlepszych praktyk w zakresie cyberbezpieczeństwa.
najlepsza praktyka oznacza, że jeśli dojdzie do naruszenia, musisz być w stanie pokazać, w jaki sposób poradziłeś sobie z sytuacją i jakie środki kontroli wprowadziłeś, aby zapobiec przyszłym naruszeniom.
jeśli zdecydujesz się na uzyskanie certyfikatu SOC 2, skup się na tej zasadzie usługi zaufania SOC 2 i zwróć uwagę na następujące kryteria opisane przez AICPA w raporcie kryteriów usług zaufania AICPA:
- logiczna i fizyczna Kontrola dostępu. Kryteria odnoszące się do tego, w jaki sposób jednostka ogranicza dostęp logiczny i fizyczny, zapewnia i usuwa ten dostęp oraz zapobiega nieautoryzowanemu dostępowi
- operacjom systemowym. Kryteria mające znaczenie dla sposobu, w jaki jednostka zarządza działaniem systemu lub systemów oraz wykrywa i łagodzi odchylenia przetwarzania, w tym odchylenia logiczne i fizyczne w zakresie bezpieczeństwa
- zarządzanie zmianami. Kryteria istotne dla sposobu, w jaki jednostka identyfikuje potrzebę zmian, dokonuje zmian za pomocą kontrolowanego procesu zarządzania zmianami i zapobiega wprowadzaniu nieautoryzowanych zmian
- ograniczaniu ryzyka. Kryteria istotne dla tego, w jaki sposób jednostka identyfikuje, wybiera i rozwija działania ograniczające ryzyko wynikające z potencjalnych zakłóceń biznesowych oraz korzystania z dostawców i partnerów biznesowych
dostępność
jako właściciel firmy określasz rodzaje usług, które będziesz świadczyć każdemu Klientowi oraz niezbędny poziom wydajności niezbędny do zaspokojenia potrzeb klienta. Według K. T. Kearney,” szczególne aspekty usługi – jakość, dostępność, obowiązki – są uzgadniane między usługodawcą a Użytkownikiem usługi ” Umowa o poziomie usług w zakresie przetwarzania w chmurze
gwarantuje, że twój Klient dokładnie rozumie, co otrzymuje, korzystając z Twojej usługi, na jakim poziomie działa Twoja usługa i że spełnia Twoje cele jako usługodawcy.
integralność przetwarzania
inną ważną zasadą zaufania SOC 2 jest integralność przetwarzania, która jest wewnętrznym zapewnieniem jakości celów biznesowych. Może to na przykład obejmować zabezpieczenia transakcji lub utrzymanie kontroli danych.
AICPA mówi, że integralność przetwarzania odnosi się do tego, kiedy „przetwarzanie systemu jest kompletne, ważne, dokładne, terminowe i upoważnione do osiągnięcia celów podmiotu.”Usługi zaufania i integralność informacji
powiedzmy, że sprzedajesz produkt na swojej stronie, taki jak niestandardowe zegary z kukułką. Kupujesz najlepsze Zegary od szwajcarskich zegarmistrzów, więc twój produkt jest droższy i ma dłuższy czas wysyłki. Od momentu kliknięcia przez Klienta „Złóż zamówienie” do momentu, gdy dotrze do ich drzwi, integralność przetwarzania dowodzi klientowi, że ich transakcja jest kompletna, ważna, dokładna i ze szczegółowymi aktualizacjami czasu.
niemożność dokładnego przetwarzania zamówień może prowadzić do innych potencjalnych problemów, takich jak opóźnienia w wysyłce lub ilości produktu. Utrzymanie niestandardowych zegarów z kukułką wymaga kompleksowej integralności przetwarzania.
zasady obsługi zaufania dotyczące bezpieczeństwa i integralności przetwarzania idą w parze, ponieważ wdrożenie procedur zapobiegania, wykrywania lub korygowania błędów systemowych jest kluczowym aspektem integralności przetwarzania, co z kolei oznaczałoby mniej anomalii lub ataków bezpieczeństwa.
poufność
nie wpuszczasz nikogo do swojego domu. Jako obrońca swojego domu i firmy, zachowujesz ścisły poziom poufności pod względem tego, kto może uzyskać dostęp do danych. I oczywiście, kiedy twój sąsiad, Bob, mówi ci, że jego żona go zdradza, spodziewa się, że tylko właściwe strony zostaną poinformowane.
poufność to zarówno sposób udostępniania danych innym osobom, jak i to, kto ma do nich dostęp. Procedury takie jak szyfrowane wiadomości, jasne granice systemu lub zapory sieciowe mogą zachować poufność danych.
AICPA w swoim raporcie na temat zasad usług zaufania stwierdza: „poufność odnosi się do zdolności jednostki do ochrony informacji oznaczonych jako poufne od ich gromadzenia lub tworzenia poprzez ostateczne rozdysponowanie i usunięcie spod kontroli jednostki zgodnie z celami kierownictwa.”AICPA Trust Services criteria Report
należy okresowo sprawdzać, czy dane Klienta są poufne. Monitorowanie zachowań związanych z danymi wrażliwymi może zapobiec udostępnieniu tych danych niewłaściwym stronom-zarówno wewnętrznym, jak i zewnętrznym.
Prywatność
w tym samym raporcie AICPA dotyczącym zasad usług zaufania opisują one prywatność jako: „dane osobowe są gromadzone, wykorzystywane, przechowywane, ujawniane i usuwane w celu realizacji celów jednostki. Chociaż poufność dotyczy różnych rodzajów poufnych informacji, prywatność dotyczy tylko danych osobowych.
Prywatność od dawna jest ważnym elementem budowania zaufania do klientów. Oznacza to nie tylko limit zasięgu rządu w sprawach osobistych, ale także Ciebie, właściciela firmy i usługodawcy. Prywatność pozwala klientom skutecznie prowadzić własną działalność lub utrzymywać informacje, wiedząc, że usługa spełnia niezbędne kryteria.
AICPA określa niezbędne kryteria zachowania prywatności, które obejmują:
- Powiadamianie i przekazywanie celów: informujesz swoich klientów o aktualizacjach prywatności, w tym o tym, w jaki sposób ich dane są przechowywane i usuwane.
- wybór i zgoda: Twoi klienci mają wybór, w jaki sposób ich dane są gromadzone, jak długo są przechowywane oraz kiedy i w jaki sposób są niszczone. Otwarta komunikacja z klientami jest ważna w zapewnieniu swobody wyboru.
- zbieranie: zbierasz tylko dane potrzebne do realizacji celów Twojej firmy.
- używanie, przechowywanie i usuwanie: Użytkownik zapewnia ograniczenie uprawnień do korzystania i przechowywania prywatnych danych. Jeśli dane kiedykolwiek będą musiały zostać zniszczone, masz również pewność, kto to robi i że zostaną zniszczone.
- dostęp: podajesz sposób, w jaki twój Klient może uzyskać dostęp I zmienić swoje prywatne dane w miarę wprowadzania poprawek lub aktualizacji.
- ujawnianie i powiadamianie: Jeśli dojdzie do naruszenia prywatnych danych, musisz powiadomić swojego klienta i poinformować go o kolejnych procedurach zarządzania naruszeniem danych.
- jakość: aktualizujesz i kompletujesz dane swojego klienta.
- monitorowanie i egzekwowanie: upewnij się, że rozwiązujesz wszelkie problemy związane z prywatnymi danymi zgłoszonymi przez procesodawców lub klientów. Monitorujesz również te dane, aby zapobiec niebezpiecznym atakom bezpieczeństwa.
uzyskanie zgodności z SOC 2
przestrzegaj tych zasad zaufania SOC 2, aby przygotować firmę do audytu. Pamiętaj, że musisz tylko spełnić wymagania opisane w sekcji Bezpieczeństwo tego artykułu. Wszelkie dodatkowe zasady obsługi zaufania są dodatkowymi korzyściami dla Twojej firmy, które mogą poprawić poziom zaufania między tobą a klientami. Niektórzy więksi klienci oczekują, że będziesz mieć niezbędne certyfikaty przed rozpoczęciem współpracy z Tobą.
Czytaj Także: Szczegółowa lista kontrolna zgodności SOC 2
więcej informacji
aby uzyskać więcej informacji na temat zasad obsługi zaufania i niezbędnych kryteriów, należy zapoznać się z pełnym, niezwykle szczegółowym (aż 342 strony kryteriów i terminologii) raportem opublikowanym przez AICPA, który można znaleźć w AICPA Trust Service criteria Report.
lepszym rozwiązaniem jest zadzwonić do RSI Security lub wysłać do nas e-mail z pytaniami, a jeden z naszych wykwalifikowanych ekspertów pomoże Ci wdrożyć najlepsze praktyki bezpieczeństwa.