som företagare letar du alltid efter sätt att skilja dig från tävlingen. Det kan vara så att din exceptionella service, otroliga produkter eller kanske låga priser som ger dig den konkurrensfördelen. Lika viktigt som alla dessa saker är att framgången för ditt företag, så är att etablera en djup nivå av förtroende med dina kunder. Ett bra sätt att etablera detta förtroende är att bli SOC 2-kompatibel.
det finns fem principer för betrodda tjänster som inkluderar:
- säkerhet
- tillgänglighet
- Processing integrity
- Sekretess
- Sekretess
SOC 2 Compliance
att bli SOC 2 Compliant är unik för varje företag; för att vara bäst förberedd för en extern revision av en CPA från American Institute of certified public accountants, den här guiden kommer att gå i detalj och förklara varje SOC 2 Trust Service-princip.
den enda trust service-principen som krävs för att vara SOC 2-kompatibel är trust service-principen om säkerhet. Se vår artikel om SOC 2-efterlevnadskrav för mer information. Ändå, beroende på vilken typ av verksamhet du Driver, kan de andra principerna för betrodda tjänster etablera din professionella auktoritet med vilken tjänst du tillhandahåller.
utvärdera din SOC 2-överensstämmelse
Vad är SOC 2
Service Organizational Control (SOC) rapporter tjänar till att bevisa för dina kunder att du hanterar kunddata korrekt; att data kommer att överföras, lagras, underhållas, bearbetas och bortskaffas enligt SoC-riktlinjerna som fastställts av American Institute for CPAs (AICPA). Det finns två typer av rapporter att tänka på när man väljer att bli SOC-kompatibel.
SOC 1
den första rapporten undersöker de metoder och kontroller som används för att upprätthålla en princip för förtroendetjänst.
SOC 2
den andra rapporten undersöker samma metoder och kontroller under en längre tid.
vilken rapport väljer jag?
beroende på behoven hos din organisation kan du bara behöva visa i granskningen att de kontroller du för närvarande har på plats är tillräckliga och du förväntar dig att behålla dessa kontroller. Om ditt företag är ett högprofilerat företag, hanterar stora mängder data eller känslig data, kanske du vill överväga en SOC 2-rapport för att testa effektiviteten hos dina kontroller under en längre tid. Genom att göra det får du en djupare inblick i hur dina kontroller utvecklas. Genom att övervaka din datahantering kan du justera säkerhetsåtgärderna i enlighet därmed vilket möjliggör större dataskydd.
Läs också: SOC 2 typ 1 VS. typ 2: Vad är skillnaden?
fem principer för betrodda tjänster
för att upprepa, är den enda nödvändiga SOC 2-principen för betrodda tjänster som du måste uppfylla de nödvändiga kvalifikationerna för att bli SOC 2-kompatibel. Om du väljer att granska och certifiera andra principer för betrodda tjänster, gör det efter eget gottfinnande enligt ditt företags behov.
säkerhet
den 20 maj blev miljontals Instagram-användare, inklusive påverkare, kändisar och varumärkesförbund, offer för ett dataintrång som avslöjade personlig information. Enligt TechCrunch reporter Zach Whittaker, ” databasen, värd Amazon Web Services, lämnades exponerad och utan ett lösenord som tillåter någon att titta inuti… innehöll deras privata kontaktinformation, till exempel Instagram-kontoägarens e-postadress och telefonnummer.”Instagram Data Breach
redan på försvaret står Facebook nu inför en annan salva av upprörda kunder som är oroade över säkerheten för deras data. Många vill gå med i andra sociala nätverksappar eller webbplatser för att undvika att deras data exponeras. Det är en stor fördel att garantera att din kunds data skyddas noggrant genom att ha nödvändiga säkerhetsprotokoll på plats.
bra säkerhet är dubbelt: du måste överväga både främre och bakre ändkontroller för att skydda kunddata. Om du ägde ett hus skulle du se till att du låste både fram-och bakdörren.
Front End
Front end-säkerhet kan delas upp i två separata områden: att hålla din kunds data säkra och se till att din klient bara kan komma åt data som är relevanta för dem.
Front end security är som framsidan av ditt hem. Brevbäraren kan utföra vissa uppgifter som att släppa ut post eller paket som en klient kan utföra snabba uppgifter. Grannar kan beundra ditt hem snyggt Trädgård, bild-perfekt målade fönsterluckor, och roliga gräsmatta ornament precis som besökare kan se din webbdesign och layout. Kanske går de längre och ringer på din dörrklocka och frågar hur du är och delar några av deras data med dig.
du som husägare utvecklar en stark relation med några av dem och de kommer in i ditt hem men får bara tillgång till några få områden. Du skulle inte vilja att bara någon ser ditt röriga sovrum eller kontor. Du sätter gränser för var dina vänner och besökare kan gå för att se till att all privat information som inte berör dem förblir så.
den här fronten beskriver hur din kund interagerar med applikationer som transaktioner, lösenord, innehållet på din webbplats, bilder eller länkar. Produkter, vagnar, kassor och andra inbäddade applikationer måste vara säkra på framsidan.
naturligtvis vill du se till att din kund bara kan se eller interagera med vad som finns i deras kundvagn. Om du misslyckas med att hantera front-end-utveckling kan det leda till att klienten oavsiktligt exponerar andra kunders data eller använder den för sina intressen.
även om ett hem knappast skyddas om du bara väljer att låsa ytterdörren. Att arbeta med stark front-end säkerhet utan att skydda backend skulle lämna ditt företag helt utsatt för hackare. Därför är det också viktigt att utveckla stark backend-säkerhet.
Back End
själva data lagras på servern och slutligen nås via backend. Data aggregerade av ett informationssäkerhetscenter fann att nästan 60% av hackare söker ekonomisk vinst genom att sälja privata data. Cyberattacker statistik den primära metoden för attacker förekommer i backend av datalagring; samma datarapport indikerar att 72% av hackare försöker komma åt data vid denna tidpunkt.
backend är där all kommunikation av viktiga data som inte är relevanta för din kund sker. Detta område måste vara säker och kör ordentligt för att säkerställa att fronten körs på rätt sätt för alla dina kunder. Därför är ett dataintrång i backend katastrofalt.
tjuven, som inte vill väcka misstankar från grannarna, smyger sig runt baksidan av ditt vackra hem förutsatt att han kan få tillgång där. Men du är en smart husägare som vet att låsa och säkra alla ingångspunkter. Att utveckla stark backend-säkerhet är avgörande för att skydda viktiga data som finns i väggarna i ditt hem.
på grund av internetets allestädes närvarande natur kommer säkerhetsattacker att hända. Det som är viktigast är att du kan visa för revisorerna att attackerna mildrades genom snabbt svar och en skärpning av säkerheten.
vår artikel om hur du förbättrar din cybersäkerhet ger dig en detaljerad strategi för bästa cybersäkerhetspraxis.
bästa praxis innebär att om ett brott inträffar måste du kunna visa hur du hanterade situationen och vilka kontroller du har infört för att förhindra framtida överträdelser.
om du bestämmer dig för att bli SOC 2-certifierad, var noga med att fokusera på denna SOC 2-Trust service-princip och notera följande kriterier som beskrivs av AICPA i AICPA Trust Services Criteria Report:
- logiska och fysiska åtkomstkontroller. Kriterierna som är relevanta för hur en entitet begränsar logisk och fysisk åtkomst, tillhandahåller och tar bort den åtkomsten och förhindrar obehörig åtkomst
- systemoperationer. De kriterier som är relevanta för hur ett företag hanterar driften av systemet eller systemen och upptäcker och mildrar behandlingsavvikelser, inklusive logiska och fysiska säkerhetsavvikelser
- Change management. De kriterier som är relevanta för hur ett företag identifierar behovet av förändringar, gör ändringarna med hjälp av en kontrollerad förändringshanteringsprocess och förhindrar obehöriga ändringar från att göras
- riskreducering. De kriterier som är relevanta för hur företaget identifierar, väljer ut och utvecklar riskreducerande aktiviteter till följd av potentiella störningar i verksamheten och användningen av leverantörer och affärspartners
tillgänglighet
som företagsägare bestämmer du vilka typer av tjänster du ska tillhandahålla till varje kund och den nödvändiga prestationsnivån som behövs för att möta kundens behov. Enligt K. T. Kearney,” särskilda aspekter av tjänsten – kvalitet, tillgänglighet, ansvar – avtalas mellan tjänsteleverantören och tjänsteanvändaren ” Service Level Agreement for Cloud Computing
garanterar att din klient förstår exakt vad de får genom att använda din tjänst, på vilken nivå din tjänst fungerar och att den uppfyller dina mål som tjänsteleverantör.
Processing Integrity
en annan viktig SOC 2-förtroendeprincip är processing integrity som är en intern kvalitetssäkring av dina affärsmål. Detta kan till exempel omfatta skyddsåtgärder för transaktioner eller underhåll av datakontroller.
AICPA säger att bearbetningsintegritet avser när, ”systembehandling är fullständig, giltig, korrekt, aktuell och behörig att uppfylla företagets mål.”Lita på tjänster och informationsintegritet
låt oss säga att du säljer en produkt på din webbplats som anpassade gökur. Du köper de bästa klockorna från schweiziska urmakare, så din produkt tenderar att vara dyrare och har längre leveranstider. Från det att din kund klickar, ”placera order” till den tid den anländer till deras dörr, bevisar bearbetningsintegritet för kunden att deras transaktion är fullständig, giltig, korrekt och med detaljerade tidsuppdateringar.
oförmåga att korrekt behandla beställningar kan leda till andra potentiella problem som förseningar i leveranser eller kvantiteter av din produkt. Att hålla dina anpassade gökur verksamhet igång kräver omfattande bearbetning integritet.
trust service-principerna för säkerhet och processintegritet går hand i hand genom att implementera rutiner för att förebygga, upptäcka eller korrigera systemfel är en avgörande aspekt av processintegritet vilket i sin tur skulle innebära färre säkerhetsanomalier eller attacker.
Sekretess
du skulle inte låta vem som helst i ditt hem. Som beskyddare av ditt hus och företag upprätthåller du en strikt nivå av konfidentialitet när det gäller vem som kan komma åt data. Och naturligtvis, när din granne, Bob, berättar att hans fru fuskar på honom, förväntar han sig att endast de rätta parterna kommer att informeras.
sekretess är både hur data delas med andra och vem som har tillgång till dessa data. Procedurer som krypterade meddelanden, tydliga systemgränser eller brandväggar kan alla hålla data konfidentiella.
AICPA i sin rapport om principer för betrodda tjänster säger, ”Sekretess behandlar företagets förmåga att skydda information som utsetts som konfidentiell från dess insamling eller skapande genom dess slutliga disposition och borttagning från företagets kontroll i enlighet med ledningens mål.”AICPA Trust Services Criteria Report
du bör regelbundet kontrollera att kundens data hålls i förtroende. Övervakning av beteende kring känsliga data kan förhindra att dessa data släpps ut till fel parter-både interna och externa.
Sekretess
i samma AICPA-rapport om principer för betrodda tjänster beskriver de integritet som ”personlig information samlas in, används, behålls, avslöjas och disponeras för att uppfylla företagets mål. Även om sekretess gäller för olika typer av känslig information, gäller sekretess endast för personlig information.
Sekretess har länge varit en viktig komponent för att skapa förtroende hos kunder. Det markerar inte bara en gräns för regeringens räckvidd i personliga frågor utan också för dig, företagets ägare och tjänsteleverantör. Sekretess gör det möjligt för kunder att framgångsrikt bedriva egen verksamhet eller behålla information med vetskap om att din tjänst uppfyller de nödvändiga kriterierna.
AICPA fastställer de nödvändiga kriterierna för att upprätthålla integritet som inkluderar:
- meddelande och kommunikation av mål: du informerar dina kunder om uppdateringar av integritet, inklusive hur deras data lagras och bortskaffas.
- val och samtycke: dina kunder får valet om hur deras data samlas in, hur länge de lagras och när och hur dessa data förstörs. Öppen kommunikation med dina kunder är viktigt för att ge valfrihet.
- samling: du samlar bara in de uppgifter som behövs för att uppfylla ditt företags mål.
- användning, lagring och bortskaffande: du ser till att du begränsar vem som får använda och behålla privata data. Om uppgifterna någonsin behöver förstöras, är du också tydlig på vem som gör det och att det förstörs.
- åtkomst: du tillhandahåller ett sätt på vilket din klient kan komma åt och ändra sina privata data när korrigeringar eller uppdateringar uppstår.
- offentliggörande och anmälan: Om ett brott mot privata uppgifter inträffar måste du meddela din klient och informera dem om efterföljande förfaranden för att hantera dataöverträdelsen.
- kvalitet: du håller din kunds data uppdaterad och fullständig.
- övervakning och verkställighet: du ser till att du tar itu med eventuella problem kring privata uppgifter som tas upp av antingen tvister eller kunder. Du övervakar också dessa data för att förhindra farliga säkerhetsattacker.
bli SOC 2-kompatibel
följ dessa SOC 2-förtroendeprinciper för att förbereda ditt företag för en revision. Kom ihåg att du bara behöver uppfylla kraven som beskrivs i avsnittet Säkerhet i den här artikeln. Eventuella ytterligare principer för förtroendetjänster är kompletterande fördelar för ditt företag som kan förbättra förtroendet mellan dig och kunderna. Vissa större kunder förväntar sig att du kommer att ha de nödvändiga certifieringarna på plats innan du gör affärer med dig.
Läs Också: En detaljerad SOC 2 Compliance Checklist
ytterligare Information
för mer information om principer för betrodda tjänster och de nödvändiga kriterierna att följa, se den fullständiga, extremt detaljerade (en jättestor 342 sidor med kriterier och terminologi) rapport släppt av AICPA som du hittar på AICPA Trust Service Criteria Report.
den bättre lösningen är att ge RSI Security ett samtal eller skicka ett mail med dina frågor och en av våra kvalificerade experter hjälper dig att implementera de bästa säkerhetsrutinerna.