SOC 2
Надежный, безопасный, заслуживающий доверия — именно с этими словами ваша компания должна ассоциироваться у клиентов. Но если ваша организация или третья сторона, с которой вы работаете, отвечает за обработку и хранение данных клиентов, как вы можете гарантировать, что данные ваших клиентов будут в безопасности?
SOC 2 — это система, применимая ко всем компаниям, предоставляющим технологические услуги, которые хранят данные клиентов в облаке, чтобы гарантировать, что организационный контроль и практика эффективно защищают конфиденциальность и безопасность данных клиентов и заказчиков.
Что такое соответствие стандарту SOC 2
Соответствие стандарту SOC 2 является частью платформы отчетности Американского института CPAs по контролю за деятельностью сервисных организаций. Его цель — обеспечить безопасность и конфиденциальность данных ваших клиентов. В нем изложены пять принципов доверительного обслуживания: безопасность, доступность, целостность обработки, конфиденциальность и неприкосновенность данных клиентов в качестве основы для защиты данных.
SOC 2 — это не предписывающий список средств контроля, инструментов или процессов. Скорее, в нем приведены критерии, необходимые для поддержания надежной информационной безопасности, что позволяет каждой компании применять методы и процессы, соответствующие ее собственным целям и операциям.
Ниже подробно описаны пять критериев доверия:
Безопасность относится к защите информации и систем от несанкционированного доступа. Ее обеспечение может осуществляться посредством использования инфраструктуры ИТ-безопасности, такой как брандмауэры, двухфакторная аутентификация и другие меры по защите данных от несанкционированного доступа.
Доступность — это наличие инфраструктуры, программного обеспечения или информации, а также средств контроля для эксплуатации, мониторинга и обслуживания. Этот критерий также определяет, поддерживает ли ваша компания минимально допустимые уровни производительности сети.
Целостность обработки данных гарантирует, что системы выполняют свои функции в соответствии с их назначением и не содержат ошибок, задержек, упущений, несанкционированных или непреднамеренных манипуляций. Это означает, что операции по обработке данных работают так, как должны, и являются авторизованными, полными и точными.
Конфиденциальность касается способности компании защищать данные, которые должны быть ограничены определенным кругом лиц или организаций. Сюда относятся данные клиентов, предназначенные только для персонала компании, конфиденциальная информация компании, такая как бизнес-планы или интеллектуальная собственность, или любая другая информация, которую необходимо защищать в соответствии с законом, нормативными актами, контрактами или соглашениями.
Критерии конфиденциальности говорят о способности организации защитить личную информацию от несанкционированного доступа. Эта информация обычно принимает форму имени, социального страхования, адресной информации или других идентификаторов, таких как раса, этническая принадлежность или информация о здоровье.
К кому применяется SOC 2
SOC 2 применяется к любому поставщику технологических услуг или к SaaS-компаниям, которые обрабатывают или хранят данные клиентов. Сторонние поставщики, другие партнеры или вспомогательные организации, с которыми работают эти компании, также должны соответствовать требованиям SOC 2 для обеспечения целостности своих систем данных и гарантий.
Каковы преимущества соответствия стандарту SOC 2
Соответствие стандарту SOC 2 определяется в ходе технического аудита, проводимого внешней стороной. Оно обязывает организации устанавливать и соблюдать определенные политики и процедуры информационной безопасности в соответствии с их целями. Соответствие SOC 2 может охватывать период от шести до 12 месяцев, чтобы убедиться, что меры информационной безопасности компании соответствуют меняющимся требованиям защиты данных в облаке.
Соответствие требованиям SOC 2 гарантирует вашим клиентам и заказчикам, что у вас есть инфраструктура, инструменты и процессы для защиты их информации от несанкционированного доступа как внутри, так и за пределами компании.
На практике соответствие стандарту SOC 2 означает:
Ваша фирма знает, как выглядят нормальные операции, и регулярно отслеживает вредоносную или нераспознанную активность, документирует изменения конфигурации системы и контролирует уровни доступа пользователей.
У вас есть инструменты для распознавания угроз и оповещения соответствующих сторон, чтобы они могли оценить угрозу и предпринять необходимые действия для защиты данных и систем от несанкционированного доступа или использования.
У вас будет соответствующая информация о любых инцидентах безопасности, чтобы вы могли понять масштаб проблемы, при необходимости исправить системы или процессы и восстановить целостность данных и процессов.