SOC 2 este o procedura de audit care garanteaza angajamentul companiei dvs. de a furniza servicii de incredere.
Toti furnizorii de servicii ar trebui sa incerce sa obtina conformitatea si certificarea SOC. Companiile care utilizeaza serviciile dvs. doresc sa stie ca gestionati in mod proactiv nevoile lor.
Ghidul acopera factorii necesari pentru a atinge conformitatea si certificarea SOC 2.
Ce este SOC 2?
SOC 2 face parte din standardele AICPA de control al organizatiilor de servicii, bazate pe criteriile serviciului de incredere al AICPA. Publicata pentru prima data in 2011, are acelasi format ca si raportul SOC 1. Cu toate acestea, comitetul executiv al Serviciului de Asigurare al AICPA a enumerat un set diferit de criterii care trebuie masurat pentru respectarea SOC 2.
“Raportul SOC 2 privind controalele la o organizatie ce ofera servicii” creeaza o baza de siguranta a informatiilor la un furnizor de servicii. Dovada conformitatii organizatiei dvs. va veni sub forma unui raport SOC 2. Va puteti gandi la nevoile utilizatorilor si riscurile la care sunt expusi in timp ce utilizeaza serviciul dvs.
Cele 5 principii de incredere ale certificarii SOC 2
Criteriile serviciului de incredere sunt definite ca principii. Fiecare din principii acopera o zona referitoare la siguranta si controlul informatiilor utilizatorului. Trebuie sa retineti ca un control – cum ar fi un modul software – ar putea satisface unul sau mai multe dintre principiile necesare.
Securitate
Compania ar trebui sa poata demonstra ca sistemul sau este protejat de accesul neautorizat. De asemenea, aceasta ar trebui sa impiedice divulgarea neautorizata si sa limiteze orice prejudiciu care ar putea influenta disponibilitatea, integritatea, confidentialitatea si confidentialitatea informatiilor.
Disponibilitate
Sistemul ar trebui sa dispuna de controale pentru a se asigura ca acesta este disponibil dupa cum ii este necesar utilizatorului.
Integritatea procesarii
Prelucrarea datelor si a informatiilor trebuie verificata pentru a vedea daca acestea sunt complete, valide, exacte, executate in timp si autorizate.
Confidentialitate
Informatiile care sunt desemnate ca fiind confidentiale ar trebui sa fie protejate in functie de nevoile utilizatorului.
Intimitate
Organizatia ar trebui sa abordeze nevoile utilizatorilor atunci cand colecteaza, utilizeaza, pastreaza, dezvaluie si elimina informatiile personale.
Stabilirea unui cadru de conformitate SOC 2
Evaluarea riscului companiei determina cadrul pentru respectarea SOC 2. Riscurile se bazeaza pe tipul de servicii furnizate.
Evaluarea riscurilor ar trebui sa includa urmatoarele sase etape:
- Identificati produsele si serviciile care intra sub incidenta raportului SOC 2.
- Evaluati procesul de service si identificati riscurile utilizatorului.
- Mapati serviciile de incredere la riscurile entitatii utilizatorului.
- Mapati criteriile de control la serviciile de incredere.
- Identificati lacunele in criteriile de control in care sunt prezente principiile de incredere, dar nu sunt abordate.
- Mapati controalele interne ale utilizatorilor la decalaje.
Domeniul de aplicare al rapoartelor SOC 2
Spre deosebire de cerintele PCI stricte, nu este necesar ca furnizorii de servicii sa acopere toate cele 5 principii de incredere intr-un raport SOC 2. Doar cele care se refera la activitatile lor ar trebui incluse in domeniul de aplicare. Trebuie sa se acorde atentie atunci cand se decide cine din SPT va fi inclus in raport.
Pentru serviciile care sunt externalizate, furnizorul va trebui sa demonstreze ca exista controale adecvate pe site-ul companiei, ca parte a raportului dumneavoastra.
Procesele de afaceri pentru evaluarea principiului de incredere
Cele patru domenii principale care sunt acoperite in timpul evaluarii controalelor TSP ale companiei sunt:
Politici de afaceri
Politici scrise care sunt relevante pentru principiile de incredere.
Comunicarea sistemului
Compania si-a dezvaluit politicile partilor interesate si entitatilor responsabile. Aceasta include si utilizatorii sistemului.
Proceduri de control
Compania are proceduri care vor realiza principiile stabilite in politici.
Monitorizarea sistemului
Compania monitorizeaza sistemul si ia masuri pentru a asigura conformitatea cu politicile.
Rapoartele SOC 1 vs. SOC 2
Pot fi pregatite doua tipuri de rapoarte SOC. Tipul de raport de care compania dvs. va avea nevoie va depinde probabil de nevoile utilizatorilor. Un raport SOC 1 se refera la controalele pentru institutiile financiare, in timp ce companiile orientate spre servicii pregatesc un raport SOC 2.
Raportul de tip 1
Raportul de tip 1 inregistreaza starea sistemului la un moment dat. Aceasta va include o descriere a sistemului, o afirmatie scrisa a conducerii, controalele proiectate si opinia exprimata de auditorul serviciului.
Raportul de tip 2
Un raport de tip 2 inregistreaza in continuare eficienta operationala a sistemului pe o perioada de timp. Pe langa elementele enumerate in Tipul 1, raportul de tip 2 va contine, de asemenea, rezultatele testelor controalelor sistemului. Utilizeaza cele 5 principii de incredere pentru a evalua riscul companiei si modul in care gestioneaza expunerea.
Formatul de raportare al SOC 2
Raportul are patru sectiuni principale. Fiecare sectiune acopera aspecte de design al sistemului si implementare, inclusiv daca este completa si adecvata.
Descrierea sistemului acopera detalii despre serviciile pe care compania le ofera. Acesta afiseaza infrastructura (cum ar fi hardware si software) pe care prelucrarea datelor o realizeaza. Trebuie inregistrate limitele care se refera la aceste sarcini.
Elemente suplimentare de care trebuie sa tineti cont ca parte a descrierii sistemului:
- Solutii pentru conformitatea auditului
- Procese de evaluare a riscurilor
- Configuratii variate de sistem in locatii diferite
- Identificarea incidentelor si planificarea raspunsurilor
- Descrierea sistemului identifica principiile serviciului de incredere care trebuie acoperite. Acest lucru va permite sa va cartografiati criteriile dvs. de control si sa masurati cat de eficient este sistemul dvs.
Managementul ofera o afirmatie scrisa
Aceasta sectiune contine afirmatiile facute de conducere cu privire la controalele pe care le-ati ales sa le utilizati. Aceasta este o oportunitate de a explica fiecare dintre metodele si controalele care servesc criteriilor de servicii de incredere.
Daca principiul confidentialitatii face parte din raport, trebuie sa se arate dovada respectarii angajamentelor mentionate in practica de confidentialitate.
Daca o subserviciu este utilizat pentru orice portiune a sistemului dvs., acesta trebuie sa includa:
- Detalii despre modul in care informatiile sunt furnizate sau primite de la furnizorul de servicii.
- Controale la furnizorul de servicii care se ocupa cu manipularea, prelucrarea, intretinerea si stocarea informatiilor.
Principiile de incredere care sunt excluse din raport ar trebui sa fie enumerate impreuna cu motivele pentru care nu sunt acoperite.
Design si detalii privind eficacitatea operationala
Sectiunea 3 a raportului SOC 2 contine o lista a controalelor care au fost proiectate.
Daca pregatiti un raport de tip 1, listati comenzile proiectate care indeplinesc criteriile TSP. Pentru un raport de tip 2, trebuie sa includeti rezultatele testelor pentru fiecare dintre controalele proiectate. Acest lucru se poate face intr-un format de tabel.
Pentru a crea un design de control adecvat, compania dvs. trebuie sa identifice riscurile care stau in calea obtinerii TSP. Va trebui sa vedeti daca controlul dvs. functioneaza asa cum este descris si asigurati-va ca nu exista alte riscuri care va impiedica sa ajungeti la TSP.
Opinia exprimata de Auditorul Serviciului
Opinia auditorului se va baza pe:
- Daca descrierea sistemului a fost corecta.
- Daca controalele functioneaza asa cum ar trebui (pentru un raport de tip 2 acest lucru se face intr-o perioada de timp).
- Daca descrierea prezinta modul in care sistemul a fost proiectat si construit.
- Nu exclude sau denatureaza informatiile referitoare la sistem.
- Compania respecta practicile sale de confidentialitate (daca face parte din domeniul de aplicare).
Ca parte a opiniei lor, Auditorul de servicii va lista abaterile si zonele care nu au control in sistem.
De retinut – certificarea SOC 2 creeaza incredere
Cand atingeti respectarea si certificarea SOC 2, acesta va inspira si va creste increderea in organizatia dvs.
Entitatile utilizatorilor pot solicita un raport SOC 2 si vor specifica necesitatile TSP in cerere. In astfel de cazuri, raportul trebuie sa se bazeze pe cererea lor.
Fiecare principiu de incredere inclus in Raportul de conformitate SOC 2 este o oportunitate de a castiga increderea clientilor dumneavoastra.
CATEGORY:Conformitate Securitate