informasjonssikkerhet er en grunn til bekymring for alle organisasjoner, inkludert de som outsource tasten virksomhet til tredjeparter (f.eks., SaaS, cloud-computing leverandører). Rettmessig så, siden feilhåndtert data—spesielt ved søknad og network security leverandører—kan forlate virksomheter sårbare for angrep, for eksempel data-tyveri, utpressing og malware-installasjon.,
SOC 2 er en revisjon prosedyre som sikrer tjenesteleverandører sikkert administrere dine data for å beskytte interessene i organisasjonen, og personvernet til sine kunder. Sikkerhet-bevisste bedrifter, SOC 2 compliance er en minimal krav når de vurderer en SaaS-tilbyder.
Hva er SOC 2
Utviklet av American Institute of CPAs (AICPA), SV 2 definerer kriterier for å administrere kundedata basert på fem «tillit service prinsipper»—sikkerhet, tilgjengelighet, behandling integritet, konfidensialitet og personvern.,
i Motsetning til PCI DSS, som har svært rigide krav, SOC 2 rapporter som er unike for hver enkelt organisasjon. I tråd med bestemte forretningspraksis, hver design sine egne kontroller for å overholde ett eller flere av tillit prinsipper.
Disse interne rapporter gir deg (sammen med myndigheter, samarbeidspartnere, leverandører, etc.) med viktig informasjon om hvordan tjenesteleverandøren forvalter data.,
Det er to typer av SOC rapporter:
- Skriv inn jeg beskriver en leverandørens systemer og om deres design er egnet til å møte aktuelle tillit prinsipper.
- Type II detaljer den operative effektiviteten av disse systemene.
SOC 2 sertifisering
SOC 2 sertifisering utstedt av eksterne revisorer. De vurderer i hvilken grad en leverandør er i samsvar med ett eller flere av de fem tillit prinsipper basert på systemer og prosesser på plass.
Tillit prinsippene er inndelt som følger:
1., Sikkerhet
sikkerhet prinsippet refererer til beskyttelse av systemet mot uautorisert tilgang. Tilgang til kontrollene hjelpe til med å forhindre potensielle system misbruk, tyveri eller uautorisert fjerning av data, misbruk av programvare, og feilaktig endring eller utlevering av informasjon.
IT-sikkerhet verktøy, som for eksempel nettverk og web-applikasjon brannmurer (WAFs), to-faktor autentisering og intrusion detection er nyttig i å hindre sikkerhetsbrudd som kan føre til uautorisert tilgang til systemer og data.
2., Tilgjengelighet
tilgjengelighet prinsippet refererer til tilgjengelighet av systemet, produkter eller tjenester som er fastsatt i en kontrakt eller service level agreement (SLA). Som sådan, minimum akseptabel ytelse nivå for system-tilgjengelighet er satt av begge parter.
Dette prinsippet ikke ta systemet funksjonalitet og brukervennlighet, men innebærer sikkerhet-relaterte kriterier som kan påvirke tilgjengelighet. Overvåking av nettverk ytelse og tilgjengelighet, nettstedet failover og security incident håndtering er avgjørende i denne sammenheng.
3., Behandling integritet
behandling integritet prinsippet om adresser eller ikke-systemet oppnår sin hensikt (dvs., leverer de rette dataene til riktig pris til riktig tid). Følgelig, databehandling må være komplett, gyldig, nøyaktig, rettidig og godkjent.
Imidlertid, behandlingen integritet innebærer ikke nødvendigvis data integritet. Hvis dataene inneholder feil før de blir lagt inn på systemet, oppdage dem er vanligvis ikke ansvar for behandlingen enhet., Overvåking av databehandling, kombinert med kvalitetssikring av prosedyrer, kan bidra til å sikre behandling integritet.
4. Konfidensialitet
Data som er vurdert som konfidensielle om å få tilgang til og videreformidling av informasjon er begrenset til et spesifisert sett av personer eller organisasjoner. Eksempler kan inkludere data som bare er ment for ansatte, så vel som bedrift planer, intellektuell eiendom, interne prislister og andre typer sensitiv finansiell informasjon.
Kryptering er en viktig kontroll for å beskytte konfidensialitet under overføring., Nettverk og program brannmurer, sammen med streng tilgangskontroll, kan brukes til å beskytte informasjon som behandles eller lagres på datamaskinen systemer.
5. Personvern
personvern-prinsippet adresser systemet for innsamling, bruk, oppbevaring, utlevering og håndtering av personlig informasjon i samsvar med organisasjonens retningslinjer merke til, så vel som med kriteriene fastsatt i AICPA er generelt akseptert privacy principles (GAPP).
Personlig identifiserbar informasjon (PII) refererer til detaljer som kan skille mellom et individ (f.eks. navn, adresse, personnummer)., Noen personlige data relatert til helse, rase, seksualitet og religion er også ansett som sensitive og krever vanligvis et ekstra nivå av beskyttelse. Kontrollene må være på plass for å beskytte alle PII (personlig identifiserbar informasjon fra uautorisert tilgang.
Se hvordan Imperva Beskyttelse av Data kan hjelpe deg med SOC 2 compliance.
viktigheten av SOC 2 compliance
Mens SOC 2 compliance er ikke et krav for SaaS og cloud computing leverandører, dens rolle i å sikre dine data, kan ikke overvurderes.,
Imperva gjennomgår jevnlige kontroller for å sikre at kravene i hver av de fem stole på prinsippene er oppfylt, og at vi fortsatt SOC 2-kompatibel. Samsvar strekker seg til alle tjenestene vi tilbyr, inkludert web-applikasjon sikkerhet, DDoS beskyttelse, content delivery gjennom våre CDN, lastbalansering og Angrep Analytics.