securitatea Informațiilor este un motiv de îngrijorare pentru toate organizațiile, inclusiv cele care externalizează cheie de funcționare de afaceri pentru furnizori terți (de exemplu, SaaS, cloud computing-furnizori). Pe bună dreptate, deoarece datele gestionate greșit—în special de furnizorii de aplicații și de securitate a rețelei—pot lăsa întreprinderile vulnerabile la atacuri, cum ar fi furtul de date, extorcarea și instalarea de malware.,SOC 2 este o procedură de audit care asigură furnizorilor de servicii gestionarea în siguranță a datelor dvs. pentru a proteja interesele organizației dvs. și confidențialitatea clienților săi. Pentru întreprinderile conștiente de securitate, conformitatea SOC 2 este o cerință minimă atunci când se ia în considerare un furnizor SaaS.dezvoltat de Institutul American de CPAs (AICPA), SOC 2 definește criteriile pentru gestionarea datelor clienților pe baza a cinci „principii ale serviciilor de încredere”—securitate, disponibilitate, integritate de procesare, confidențialitate și confidențialitate.,spre deosebire de PCI DSS, care are cerințe foarte rigide, rapoartele SOC 2 sunt unice pentru fiecare organizație. În conformitate cu practicile de afaceri specifice, fiecare își proiectează propriile controale pentru a respecta unul sau mai multe dintre principiile încrederii.aceste rapoarte interne vă oferă (împreună cu autoritățile de reglementare, partenerii de afaceri, furnizorii etc.)) cu informații importante despre modul în care furnizorul dvs. de servicii gestionează datele.,
există două tipuri de rapoarte SOC:
- Tipul i descrie sistemele unui furnizor și dacă designul acestuia este potrivit pentru a respecta principiile relevante de încredere.
- tipul II detaliază eficacitatea operațională a acestor sisteme.
certificarea SOC 2
certificarea SOC 2 este emisă de auditori externi. Aceștia evaluează măsura în care un furnizor respectă unul sau mai multe dintre cele cinci principii de încredere bazate pe sistemele și procesele în vigoare.
principiile încrederii sunt defalcate după cum urmează:
1., Securitate
principiul securității se referă la protecția resurselor sistemului împotriva accesului neautorizat. Controalele de acces ajută la prevenirea abuzului potențial al sistemului, furtului sau eliminării neautorizate a datelor, utilizării necorespunzătoare a software-ului și modificării sau dezvăluirii necorespunzătoare a informațiilor.instrumentele de securitate IT, cum ar fi firewall-urile de rețea și aplicații web (WAFs), autentificarea cu doi factori și detectarea intruziunilor sunt utile în prevenirea încălcărilor de securitate care pot duce la accesul neautorizat la sisteme și date.
2., Disponibilitatea
principiul disponibilității se referă la accesibilitatea sistemului, a produselor sau a Serviciilor, așa cum este stipulat într-un contract sau un acord privind nivelul serviciilor (SLA). Ca atare, nivelul minim acceptabil de performanță pentru disponibilitatea sistemului este stabilit de ambele părți.
acest principiu nu se referă la funcționalitatea și utilitatea sistemului, dar implică criterii legate de securitate care pot afecta disponibilitatea. Monitorizarea performanței și disponibilității rețelei, failover-ul site-ului și gestionarea incidentelor de securitate sunt esențiale în acest context.
3., Integritatea procesării
principiul integrității procesării se referă la atingerea sau nu a scopului unui sistem (adică furnizează datele potrivite la prețul potrivit la momentul potrivit). În consecință, prelucrarea datelor trebuie să fie completă, valabilă, exactă, la timp și autorizată.cu toate acestea, integritatea procesării nu implică neapărat integritatea datelor. Dacă datele conțin erori înainte de a fi introduse în sistem, detectarea acestora nu este de obicei responsabilitatea entității de procesare., Monitorizarea prelucrării datelor, împreună cu procedurile de asigurare a calității, pot contribui la asigurarea integrității procesării.
4. Confidențialitatea
datele sunt considerate confidențiale dacă accesul și dezvăluirea lor este limitată la un anumit set de persoane sau organizații. Exemplele pot include date destinate numai personalului companiei, precum și planuri de afaceri, proprietate intelectuală, liste interne de prețuri și alte tipuri de informații financiare sensibile.criptarea este un control important pentru protejarea confidențialității în timpul transmisiei., Firewall-urile de rețea și aplicații, împreună cu controale riguroase de acces, pot fi utilizate pentru a proteja informațiile procesate sau stocate pe sistemele informatice.
5. Confidențialitate
principiul confidențialității abordează colectarea, utilizarea, păstrarea, dezvăluirea și eliminarea informațiilor personale de către sistem în conformitate cu notificarea de Confidențialitate a unei organizații, precum și cu criteriile stabilite în principiile de confidențialitate general acceptate ale AICPA (GAPP).informațiile personale identificabile (PII) se referă la detalii care pot distinge o persoană (de exemplu, numele, adresa, numărul de securitate socială)., Unele date personale legate de sănătate, rasă, sexualitate și religie sunt, de asemenea, considerate sensibile și, în general, necesită un nivel suplimentar de protecție. Trebuie puse în aplicare controale pentru a proteja toate PII împotriva accesului neautorizat.
vedeți cum vă poate ajuta Imperva Protecția Datelor cu respectarea SOC 2.
importanța conformității SOC 2
deși conformitatea SOC 2 nu este o cerință pentru furnizorii SaaS și cloud computing, rolul său în securizarea datelor dvs. nu poate fi supraevaluat.,Imperva este supusă unor audituri periodice pentru a se asigura că cerințele fiecăruia dintre cele cinci principii de încredere sunt îndeplinite și că rămânem conformi SOC 2. Conformitatea se extinde la toate serviciile pe care le oferim, inclusiv securitatea aplicațiilor web, protecția DDoS, livrarea de conținut prin CDN-ul nostru, echilibrarea încărcării și analiza atacurilor.