SOC 2, joka tunnetaan myös nimellä Palveluorganisaation ohjaus 2, on kriteeri ja tarkastusmenettely Se on suunnattu teknologiayrityksille ja palveluntarjoajille, jotka tallentavat luottamuksellisia asiakastietoja pilveen.
SOC 2 on joukko vaatimustenmukaisuusvaatimuksia koskevia ohjeita yrityksille, jotka käyttävät asiakastietojen pilvipohjaista tallennusta. SOC 2 on olennainen osa organisaatiosi viranomaisvalvontaa, toimittajan hallintaohjelmia ja hallintoa.
SOC 2 on tekninen tarkastus, ja se vaatii kattavat tietoturvakäytännöt ja menettelyt, jotka on kirjoitettava ja noudatettava.
Tekijä: American Institute of Certified Public Accountantsin (AICPA) tilintarkastusstandardilautakunta, SOC 2 on suunniteltu erityisesti palveluntarjoajille, jotka tallentavat asiakastietoja pilveen. Tämä tarkoittaa, että SOC 2 koskee lähes kaikkia SaaS-yrityksiä sekä kaikkia niitä käyttäviä yrityksiä pilveen asiakastietojen ja heidän asiakkaidensa tietojen tallentamiseen.
SOC 2 -raportin tarkoituksena on arvioida organisaation tietojärjestelmät niiden turvallisuudesta, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys.
Ennen vuotta 2014 vain pilvipalveluita tarjoavien yritysten oli täytettävä SOC 1 -vaatimustenmukaisuusvaatimukset. Tällä hetkellä kaikkien asiakkaiden tietoja pilveen tallentavan yrityksen on täytettävä SOC 2 -vaatimukset minimoidakseen riskin ja altistumisen kyseisille tiedoille.
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
Valitsemalla suojautua tietomurroilta ei ole vain puolustusstrategia. Se voi myös auttaa yritystäsi kasvamaan, minkä voit tehdä läpäisemällä SOC 2 -tarkastuksen varmistaaksesi, että asiakkaat ja mahdolliset asiakkaat ovat turvassa haitallisilta uhilta, kuten haitallisilta tietomurroilta!
SOC 2 -vaatimusten noudattaminen voi vahvistaa yrityksen mainetta dokumentoimalla, arvioimalla ja parantamalla sen sisäistä valvontaa.
Tyypin 2 sertifiointi ei ole ainoa SOC-raportti, jonka yritykset voivat ansaita, mutta se on yksi vankimmista.
SOC 2 Type 2 -sertifiointi voi hyödyttää organisaatioita seuraavilla tavoilla:
SOC 1 -raportti keskittyy yrityksen taloudellisen raportoinnin kannalta olennaisten organisaatioiden ulkoistuspalveluiden suoritukseen.
SOC 2 -raportti käsittelee riskejä ulkoistaminen kolmansille osapuolille aloilla, jotka eivät ole taloudellista raportointia. Nämä raportit perustuvat Luottamuspalveluiden kriteerit, joka kattaa viisi luokkaa: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys.
SOC 3 -raportit ovat samanlaisia kuin SOC 2 -raportit. Ne ovat yleiskäyttöisiä raportteja, joita palveluorganisaatio voi käyttää markkinointityökaluna ja tarjota mahdollisille asiakkaille.
SOC 2 -raportit osoittavat palveluorganisaation sisäisen valvonnan tehokkuuden viiteen kannalta Luottamuspalveluiden luokat (tunnetaan aiemmin nimellä luottamuspalveluperiaatteet), jonka on perustanut AICPA.
Organisaatiot arvioivat säännöllisin väliajoin toimintansa tehokkuutta käytännöt ja menettelyt, jotka koskevat tietojen luvatonta pääsyä ja ryhdyttävä asianmukaisiin toimiin, kun rikkominen tapahtuu.
Tiedot ja järjestelmät organisaation tarpeeseen olla sekä käytettävissä että toiminnassa kokonaisuuden tavoitteiden saavuttamiseksi.
Järjestelmä käsittelee tapahtuman tarkasti, ajallaan ja valtuutetulla tavalla.
Jos tietoja pidetään luottamuksellisina, pääsy ja luovuttaminen on rajoitettava tiettyyn joukkoon ihmisiä. Esimerkkejä ovat yrityksen henkilöstö, liiketoimintasuunnitelmat, tekijänoikeuksien ja muita arkaluonteisia taloudellisia tietoja.
Henkilötunnistettavat tiedot (PII) on kerättävä, käytettävä, julkistettava ja hävitettävä turvallisella tavalla. Asiakkaiden ja asiakkaiden tietojen suojaaminen luvattomalta käytöltä on etusijalla palveluorganisaatioille, jotka käsittelevät, tallentavat tai välittävät ulkoisille asiakkaille kuuluvia tietoja.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
SOC 2 on tarkastusmenettely, joka varmistaa, että palveluntarjoajasi hallitsevat tietojasi turvallisesti suojellakseen sinun ja organisaatiosi etuja. SOC 2 -yhteensopivuus on vähimmäisvaatimus tietoturvatietoisille yrityksille, kun ne harkitsevat SaaS-palveluntarjoajaa.
SOC 2 ei ole ohjeellinen luettelo ohjauksista, työkaluista tai prosesseista. Sen sijaan se antaa kriteerit, jotka on täytettävä ylläpitää vankkaa tietoturvaa. Tämä antaa jokaisen yrityksen omaksua käytännöt ja sen tavoitteiden ja toimintojen kannalta olennaiset menettelyt.
ISMS.online voi tarjota sinulle alustan, joka auttaa sinua saavuttamaan SOC 2 -yhteensopivuuden. Jokainen SOC 2:n osa on yksityiskohtainen suojatussa alustassa, mikä tekee siitä helposti seurattavan. Tämä vähentää työtaakkaasi, kustannuksiasi ja stressiä, kun et tiedä, oletko tehnyt kaiken oikein.
SOC 2 -yhteensopivuuden lukuisia etuja ovat:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
SOC 2 -tarkastuksen voi suorittaa vain tilintarkastaja, jolla on lisenssi KHT (KHT) tietoturvaan erikoistunut yritys.
SOC-auditointeja suorittavia tarkastajia säätelevät AICPA:n asettamat säännöt ja heidän on noudatettava niitä.
Lisäksi auditoinnissa on noudatettava erityisiä menettelytapojen suunnitteluun ja toteuttamiseen liittyviä ohjeita. AICPA:n jäsenten on myös läpäistävä vertaisarviointi varmistaakseen, että heidän suorittamansa tarkastukset tehdään hyväksyttävien tarkastusstandardien mukaisesti.
SOC 2 -raportti vakuuttaa palveluorganisaation asiakkaille, johdolle ja käyttäjäkokonaisuuksille tietoturvaan liittyvien valvontatoimien soveltuvuudesta ja tehokkuudesta.
SOC 2 -tarkastus sisältää yleensä seuraavat:
Vaikka SOC 2 viittaa joukkoon tarkastusraportit, ISO 27001 on standardi, joka asettaa vaatimukset tietoturvan hallintajärjestelmälle (ISMS).
Kysymyksen ei pitäisi olla myöskään ISO 27001 tai SOC 2, koska SOC 2 on auditointiraportti ja ISO 27001 on standardi tietoturvan hallintajärjestelmien perustamiseen. Sitä voidaan pitää yhtenä ISMS-toteutuksen tuottamia tuloksia.
ISO 27001 -sertifikaatti SOC 2 -raportin luominen ei ole pakollista, mutta ISO 27001 ISMS voi tarjota vankan perustan tämän asiakirjan laatimiselle ilman suuria lisäkustannuksia ja vaivaa. Tämä lisää asiakkaiden luottamusta siihen, että organisaatio pystyy suojaamaan heidän tietojaan.
| - | ISO / IEC 27001 | SOC 2 |
|---|---|---|
| Tuote mallit | Kansainvälinen standardi | Todistusstandardi |
| Sijainti | maailmanlaajuinen | USA:ssa |
| Mikä on auditoitu? | Tietoturvan hallintajärjestelmän (ISMS) suunnittelu ja toiminnan tehokkuus tiettynä ajankohtana | Tyyppi 1: Ohjainten suunnittelu tiettynä ajankohtana. Tyyppi 2: Säätimien suunnittelu ja toiminnan tehokkuus tietyn ajanjakson aikana |
| Tulos | Kyseiselle organisaatiolle toimitetaan auditointiraportti ja ISO-sertifikaatti – mikäli sertifiointi myönnetään | SOC 2 -todistusraportti – SOC 2 ei ole sertifikaatti |
| Päättyminen | 3 vuotta | 1 vuosi |
| Luotetun palvelun kriteerit | ISO/IEC 27001 valvonta ja vaatimukset |
|---|---|
| TSC – TURVALLISUUS | A.6.1.5 (Tietoturvallisuus projektinhallinnassa – 1 ohjaus) |
| A.6 (Mobiililaitteet ja etätyö – 2 ohjausta) | |
| A.8.1.3 (Omaisuuden hyväksyttävä käyttö – 1 valvonta) | |
| A.11.2 (Varustus – 9 säädintä) | |
| A.13 (Viestintäsuojaus – 7 ohjausta) | |
| TSC – LUOTTAMUKSELLINEN | A.8.2 (Tiedon luokitus – 3 kontrollia) |
| A.13.2 (Tiedonsiirto – 3 säädintä) | |
| A.9.1 (Kullunvalvonnan liiketoimintavaatimukset – 2 ohjausta) | |
| A.9.2 (Käyttäjien käyttöoikeuksien hallinta – 6 säädintä) | |
| A.9.4 (Järjestelmän ja sovellusten pääsynhallinta – 5 säädintä) | |
| TSC – PROCESSING INTEGRITY | A.14 (Järjestelmän hankinta, kehitys ja ylläpito – 13 ohjausta) |
| TSC – SAATAVUUS | A.17 (Liiketoiminnan jatkuvuuden hallinnan tietoturvanäkökohdat – 4 kontrollia) |
| TSC – YKSITYISYYS | A.18.11 (Soveltavan lainsäädännön ja sopimusvaatimusten tunnistaminen – 1 tarkistus) |
| A.18.1.4 (Yksityisyys ja henkilökohtaisten tunnistetietojen suoja – 1 valinta) |
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Lataa ilmainen opas nopeaan ja kestävään sertifiointiin
Sekä tyypin I että II SOC 2 -raportit tarjoavat riippumattoman arvion palveluorganisaatiosta, mukaan lukien niiden kuvaukset valvontatoimista ja asiantuntijalausunnot johdon edustuksesta. Näillä kahdella raporttityypillä on myös yhtäläiset menettelyt järjestelmäsuunnitelmien sopivuuden arvioimiseksi.
Suurin ero SOC 1:n ja SOC 2:n välillä on se, että SOC 1 keskittyy organisaation sisäiseen valvontaan, joka voi vaikuttaa asiakkaiden tilinpäätöksiin. Sitä vastoin SOC 2 keskittyy AICPA:n Trust Services -kriteerien määrittelemiin toimintojen valvontaan.
SOC 2- ja SOC 3 -raporttien palveluntarjoajan tekemä työ on hyvin samanlaista. Molemmat raportoivat AICPA-standardien mukaisesti, joten tunnistetut ja testatut kontrollit ovat tyypillisesti samat molemmissa raporteissa. Tärkein ero näiden kahden lausunnon välillä on niiden raportoinnissa. SOC 3 on aina tyyppi II, eikä siinä ole vaihtoehtoa tyyppi I:lle. Lisäksi SOC 2 -raporttien käyttö on rajoitettua – suunniteltu johdon, asiakkaiden ja heidän asiakkaidensa tilintarkastajien käyttöön.
SOC 3 -raportit ovat vähemmän yksityiskohtaisia kuin SOC 1 & 2 -raportit, koska ne sisältävät vain vähän tai ei ollenkaan luottamuksellisia tietoja. Palveluorganisaatio voi jakaa niitä vapaasti ja ne sopivat paremmin yleiskäyttöisiin asiakirjoihin, joissa on vähän yksityiskohtia.
Tässä raportissa ei käsitellä paljoakaan yksityiskohtaisesti järjestelmää ja sen toimintaa, mitkä kontrollit on testattu ja näiden testien tulokset. SOC 3 on loistava tapa markkinoida itseäsi mahdollisille asiakkaille, mutta yksinään SOC 3 ei yleensä tyydytä nykyisten asiakkaiden tarpeita tai heidän tarkastajiaan.
