ca proprietar de afaceri, căutați mereu modalități de a vă distinge de concurență. S-ar putea ca serviciul dvs. excepțional, produsele incredibile sau poate prețurile scăzute să vă ofere acel avantaj competitiv. La fel de important ca toate aceste lucruri sunt pentru succesul afacerii dvs., deci este stabilirea unui nivel profund de încredere cu clienții dumneavoastră. O modalitate buna de a stabili această încredere este de a deveni SOC 2 conforme.
există cinci principii ale serviciului de încredere care includ:
- securitate
- disponibilitate
- integritatea procesării
- Confidențialitate
- Confidențialitate
conformitate SOC 2
a deveni conform SOC 2 este unic pentru fiecare afacere; pentru a fi cel mai bine pregătit pentru un audit extern CPA de la Institutul american al Contabililor Publici certificați, acest ghid va intra în detaliu explicând fiecare principiu al Serviciului de încredere SOC 2.
singurul principiu al serviciului de încredere necesar pentru a fi conform SOC 2 este principiul serviciului de încredere al securității. Consultați articolul nostru despre cerințele de conformitate SOC 2 pentru mai multe informații. Cu toate acestea, în funcție de tipul de afacere pe care o conduceți, celelalte principii ale serviciului de încredere vă pot stabili autoritatea profesională cu orice Serviciu Furnizați.
evaluați conformitatea SOC 2
ce este SOC 2
rapoartele de Control organizațional (soc) servesc pentru a dovedi clienților dvs. că gestionați corect datele clienților; că datele vor fi transmise, stocate, întreținute, prelucrate și eliminate în conformitate cu orientările SOC stabilite de Institutul American pentru CPAs (AICPA). Există două tipuri de rapoarte de luat în considerare atunci când alegeți să deveniți conform SOC.
SOC 1
primul raport examinează metodele și controalele utilizate pentru menținerea principiului unui serviciu de încredere.
SOC 2
al doilea raport examinează aceleași metode și controale pe o perioadă lungă de timp.
ce Raport aleg?
în funcție de nevoile organizației dvs., poate fi necesar doar să arătați în audit că controalele pe care le aveți în prezent sunt suficiente și vă așteptați să mențineți aceste controale. Dacă afacerea dvs. este o companie cu profil înalt, gestionează cantități mari de date sau date sensibile, vă recomandăm să luați în considerare un raport SOC 2 pentru a testa eficacitatea controalelor dvs. pe o perioadă mai lungă de timp. Acest lucru vă oferă o perspectivă mai profundă asupra naturii în evoluție a controalelor dvs. Prin monitorizarea gestionării datelor, puteți ajusta măsurile de securitate în consecință, permițând o protecție mai mare a datelor.
Citește și: SOC 2 tip 1 VS. tip 2: Care este diferența?
cinci principii ale Serviciului de încredere
pentru a reitera, singurul principiu al serviciului de încredere SOC 2 necesar pentru care trebuie să îndepliniți calificările necesare pentru a deveni conform SOC 2 este principiul serviciului de încredere în securitate. Dacă alegeți să auditați și să certificați alte principii ale serviciului de încredere, faceți acest lucru la discreția dvs. în funcție de nevoile companiei dvs.
securitate
pe 20 mai, milioane de utilizatori Instagram, inclusiv influențatori, celebrități și afiliați de marcă au căzut victime unei încălcări a datelor care expune informații personale. Potrivit Reporterului TechCrunch, Zach Whittaker, ” baza de date, găzduită de Amazon Web Services, a fost lăsată expusă și fără o parolă care să permită nimănui să se uite în interior… conținea informațiile lor de contact private, cum ar fi adresa de e-mail și numărul de telefon al proprietarului contului Instagram.”Încălcarea datelor Instagram
deja în apărare, Facebook se confruntă acum cu o altă salvă de clienți indignați care sunt preocupați de securitatea datelor lor. Mulți caută să se alăture altor aplicații de rețele sociale sau site-uri web pentru a evita expunerea datelor lor. Este un mare beneficiu să garantați că datele clientului dvs. sunt bine protejate prin existența protocoalelor de securitate necesare.
o bună securitate este dublă: trebuie să luați în considerare atât comenzile din față, cât și cele din spate pentru a proteja datele clienților. Dacă ai deținut o casă, te – ai asigura că ai încuiat atât ușa din față, cât și cea din spate.
Front-End
Front-end de securitate pot fi defalcate în două zone separate: păstrarea datele clientului dvs. sigure și asigurându-vă că clientul poate accesa numai datele pertinente pentru a le.
Front end de securitate este ca partea din față a casei tale. Operatorul de poștă poate efectua anumite sarcini, cum ar fi renunțarea la poștă sau pachete, la fel cum un client poate efectua sarcini sumare. Vecinii pot admira grădina îngrijită a casei dvs., obloanele pictate perfect și ornamentele de gazon distractive, la fel cum vizitatorii pot vedea designul și aspectul site-ului dvs. web. Poate că merg mai departe și îți sună soneria întrebându-te cum ești și împărtășind unele dintre datele lor cu tine.
tu ca proprietar dezvoltă o relație puternică cu câteva dintre ele și intră în casa ta, dar sunt date doar acces la câteva zone. Nu ai vrea ca oricine să-ți vadă dormitorul sau biroul murdar. Stabiliți limitele în care prietenii și vizitatorii dvs. pot merge pentru a vă asigura că orice informație privată care nu îi privește rămâne așa.
acest front-end descrie modul în care clientul dvs. interacționează cu aplicații precum tranzacții, parole, conținutul site-ului dvs. web, imagini sau linkuri. Produse, căruțe, Checkout, și alte aplicații încorporate trebuie să fie sigure pe partea din față.
bineînțeles, doriți să vă asigurați că clientul dvs. poate vedea sau interacționa doar cu ceea ce este în coșul său. Dacă nu reușiți să gestionați în mod corespunzător dezvoltarea front-end, acest lucru poate duce la expunerea accidentală a datelor altor clienți sau la utilizarea acestora în interesul lor.
deși, o casă este greu protejată dacă alegeți doar să blocați ușa din față. Lucrul la o securitate front-end puternică fără a proteja backend-ul ar lăsa compania dvs. complet expusă hackerilor. Acesta este motivul pentru care dezvoltarea unei securități backend puternice este, de asemenea, crucială.
Back End
datele în sine sunt stocate pe server și în cele din urmă accesate prin backend. Datele agregate de un centru de securitate a informațiilor au constatat că aproape 60% dintre hackeri caută câștiguri economice prin vânzarea de date private. Cyber Attacks Statistics metoda principală de atacuri apar în backend de stocare a datelor; același raport de date indică faptul că 72% dintre hackeri încearcă să acceseze date în acest moment.
backend-ul este locul în care se întâmplă toate comunicările de date importante care nu sunt relevante pentru clientul dvs. Această zonă trebuie să fie sigură și să funcționeze corect pentru a vă asigura că capătul frontal funcționează corect pentru toți clienții dvs. Prin urmare, o încălcare a datelor în backend este dezastruoasă.
hoțul, nevrând să ridice suspiciuni din partea vecinilor, se furișează prin spatele casei tale minunate presupunând că poate avea acces acolo. Dar ești un proprietar inteligent care știe să blocheze și să asigure toate punctele de intrare. Dezvoltarea unei securități puternice a backend-ului este crucială pentru protejarea datelor importante conținute în pereții casei dvs.
din cauza naturii omniprezente a internetului, atacurile de securitate sunt obligate să se întâmple. Ceea ce contează cel mai mult este că puteți arăta auditorilor că atacurile au fost atenuate printr-un răspuns prompt și o înăsprire a securității.
articolul nostru despre cum să vă îmbunătățiți securitatea cibernetică vă va oferi o abordare detaliată a celor mai bune practici de securitate cibernetică.
cele mai bune practici implică faptul că, dacă se produce o încălcare, trebuie să puteți arăta cum ați gestionat situația și ce controale ați pus în aplicare pentru a preveni încălcările viitoare.
dacă decideți să deveniți certificat SOC 2, Asigurați-vă că vă concentrați pe acest principiu al serviciului de încredere SOC 2 și rețineți următoarele criterii detaliate de AICPA în raportul criteriilor serviciilor de încredere AICPA:
- controale de acces logice și fizice. Criteriile relevante pentru modul în care o entitate restricționează accesul logic și fizic, oferă și elimină acel acces și previne accesul neautorizat
- operațiuni de sistem. Criteriile relevante pentru modul în care o entitate gestionează funcționarea sistemului sau a sistemelor și detectează și atenuează abaterile de procesare, inclusiv abaterile de securitate logică și fizică
- Managementul schimbărilor. Criteriile relevante pentru modul în care o entitate identifică necesitatea modificărilor, efectuează modificările utilizând un proces controlat de gestionare a modificărilor și împiedică modificările neautorizate să fie efectuate
- reducerea riscurilor. Criteriile relevante pentru modul în care entitatea identifică, selectează și dezvoltă activitățile de diminuare a riscurilor care decurg din potențialele întreruperi ale activității și utilizarea furnizorilor și partenerilor de afaceri
disponibilitate
în calitate de proprietar al afacerii, determinați tipurile de servicii pe care le veți furniza fiecărui client și nivelul de performanță necesar pentru a satisface nevoile clientului. Potrivit lui K. T. Kearney,” aspecte particulare ale serviciului – calitate, disponibilitate, responsabilități – sunt convenite între furnizorul de servicii și utilizatorul serviciului ” Acordul privind nivelul serviciului pentru Cloud Computing
garantează că clientul dvs. înțelege exact ceea ce obține prin utilizarea serviciului dvs., la ce nivel funcționează serviciul dvs. și că îndeplinește obiectivele dvs. ca furnizor de servicii.
integritatea procesării
un alt principiu important de încredere SOC 2 este integritatea procesării, care este o asigurare internă a calității obiectivelor afacerii dvs. De exemplu, aceasta poate include garanții pentru tranzacții sau menținerea controalelor de date.
AICPA spune că integritatea procesării se referă la momentul în care „procesarea sistemului este completă, validă, exactă, în timp util și autorizată să îndeplinească obiectivele entității.”Serviciile de încredere și integritatea informațiilor
să presupunem că vindeți un produs pe site-ul dvs. web, cum ar fi ceasurile cu cuc personalizate. Tu sursa cele mai bune Ceasuri de la ceasornicari elvețiene, astfel încât produsul tinde să fie mai scumpe și are timpi mai lungi de transport maritim. Din momentul în care clientul dvs. face clic, „plasați comanda” până la momentul în care ajunge la ușa lor, integritatea procesării dovedește clientului că tranzacția sa este completă, validă, exactă și cu actualizări detaliate de timp.
incapacitatea de a procesa cu exactitate comenzile ar putea duce la alte probleme potențiale, cum ar fi întârzieri în expedieri sau cantități ale produsului dvs. Păstrarea personalizat cuc Ceasuri de afaceri de funcționare necesită integritate de procesare cuprinzătoare.
principiile serviciului de încredere ale securității și integrității procesării merg mână în mână prin faptul că implementarea procedurilor de prevenire, detectare sau corectare a erorilor de sistem este un aspect crucial al integrității procesării, care la rândul său ar însemna mai puține anomalii sau atacuri de securitate.
Confidențialitate
nu ai lăsa pe nimeni să intre în casa ta. În calitate de protector al casei și afacerii dvs., mențineți un nivel strict de confidențialitate în ceea ce privește cine poate accesa datele. Și, desigur, când vecinul tău, Bob, îți spune că soția lui îl înșeală, se așteaptă ca doar părțile corecte să fie informate.
confidențialitatea este atât modul în care datele sunt partajate cu alții, cât și cine are acces la aceste date. Proceduri precum mesageria criptată, limitele clare ale sistemului sau firewall-urile pot păstra toate datele confidențiale.
AICPA în raportul lor privind principiile serviciului de încredere afirmă: „confidențialitatea abordează capacitatea entității de a proteja informațiile desemnate ca confidențiale de colectarea sau crearea sa prin dispoziția finală și eliminarea de sub controlul entității în conformitate cu obiectivele conducerii.”Raportul criteriilor serviciilor de încredere AICPA
ar trebui să verificați periodic dacă datele clientului sunt păstrate în Confidențialitate. Monitorizarea comportamentului în jurul datelor sensibile poate împiedica publicarea acestor date către părți greșite-atât interne, cât și externe.
Confidențialitate
în același raport AICPA privind principiile serviciului de încredere, acestea descriu confidențialitatea ca „informațiile personale sunt colectate, utilizate, păstrate, dezvăluite și dispuse pentru a îndeplini obiectivele entității. Deși confidențialitatea Se aplică diferitelor tipuri de informații sensibile, confidențialitatea Se aplică numai informațiilor personale.
confidențialitatea a fost mult timp o componentă importantă în stabilirea încrederii cu clienții. Acesta marchează nu numai o limită a Guvernului ajunge în probleme personale, dar, de asemenea, că de tine, proprietarul de afaceri și furnizorul de servicii. Confidențialitatea permite clienților să își desfășoare cu succes propria afacere sau să mențină informații știind că serviciul dvs. îndeplinește criteriile necesare.
AICPA stabilește criteriile necesare pentru menținerea vieții private, care includ:
- notificarea și comunicarea obiectivelor: vă informați clienții cu privire la actualizările privind confidențialitatea, inclusiv modul în care datele lor sunt stocate și eliminate.
- alegere și consimțământ: clienții dvs. au posibilitatea de a alege cum sunt colectate datele lor, cât timp sunt stocate și când și cum sunt distruse aceste date. Comunicarea deschisă cu clienții dvs. este importantă în asigurarea libertății de alegere.
- colectare: colectați numai datele necesare pentru a îndeplini obiectivele companiei dvs.
- utilizare, păstrare și eliminare: vă asigurați că limitați cine poate utiliza și păstra datele private. În cazul în care datele vreodată trebuie să fie distruse, de asemenea, sunt clare cu privire la cine face acest lucru și că este distrus.
- Access: furnizați o modalitate prin care clientul dvs. poate accesa și modifica datele private pe măsură ce apar corecții sau actualizări.
- divulgarea și notificarea: În cazul în care apare o încălcare a datelor private, trebuie să vă notificați clientul și să îl informați cu privire la procedurile ulterioare de gestionare a încălcării datelor.
- calitate: păstrați datele clientului dvs. actualizate și complete.
- monitorizare și executare: vă asigurați că vă adresați oricăror preocupări legate de datele private ridicate fie de litigatori, fie de clienți. De asemenea, monitorizați aceste date pentru a preveni atacurile de securitate periculoase.
devenind conform SOC 2
respectați aceste principii de încredere SOC 2 pentru a vă pregăti afacerea pentru un audit. Amintiți-vă, trebuie doar să îndepliniți cerințele descrise în secțiunea de securitate a acestui articol. Orice principii suplimentare de servicii de încredere sunt beneficii suplimentare pentru compania dvs., care pot îmbunătăți nivelul de încredere dintre dvs. și clienți. Anumiți clienți mai mari se așteaptă să aveți certificările necesare înainte de a desfășura afaceri cu dvs.
Citește Și: O listă detaliată de verificare a conformității SOC 2
informații suplimentare
pentru mai multe informații despre principiile serviciului de încredere și criteriile necesare de urmat, vă rugăm să consultați raportul complet, extrem de detaliat (un enorm 342 de pagini de criterii și terminologie) publicat de AICPA pe care îl puteți găsi la raportul criteriilor serviciului de încredere AICPA.
soluția mai bună este de a da RSI Security Un apel sau trimite-ne un e-mail cu întrebările dumneavoastră și unul dintre experții noștri calificați vă va ajuta să pună în aplicare cele mai bune practici de securitate.