SOC 2

Надежный, безопасный, заслуживающий доверия — именно с этими словами ваша компания должна ассоциироваться у клиентов. Но если ваша организация или третья сторона, с которой вы работаете, отвечает за обработку и хранение данных клиентов, как вы можете гарантировать, что данные ваших клиентов будут в безопасности?

SOC 2 — это система, применимая ко всем компаниям, предоставляющим технологические услуги, которые хранят данные клиентов в облаке, чтобы гарантировать, что организационный контроль и практика эффективно защищают конфиденциальность и безопасность данных клиентов и заказчиков.

Что такое соответствие стандарту SOC 2

Соответствие стандарту SOC 2 является частью платформы отчетности Американского института CPAs по контролю за деятельностью сервисных организаций. Его цель — обеспечить безопасность и конфиденциальность данных ваших клиентов. В нем изложены пять принципов доверительного обслуживания: безопасность, доступность, целостность обработки, конфиденциальность и неприкосновенность данных клиентов в качестве основы для защиты данных.

SOC 2 — это не предписывающий список средств контроля, инструментов или процессов. Скорее, в нем приведены критерии, необходимые для поддержания надежной информационной безопасности, что позволяет каждой компании применять методы и процессы, соответствующие ее собственным целям и операциям.

Ниже подробно описаны пять критериев доверия:

Безопасность относится к защите информации и систем от несанкционированного доступа. Ее обеспечение может осуществляться посредством использования инфраструктуры ИТ-безопасности, такой как брандмауэры, двухфакторная аутентификация и другие меры по защите данных от несанкционированного доступа.

Доступность — это наличие инфраструктуры, программного обеспечения или информации, а также средств контроля для эксплуатации, мониторинга и обслуживания. Этот критерий также определяет, поддерживает ли ваша компания минимально допустимые уровни производительности сети.

Целостность обработки данных гарантирует, что системы выполняют свои функции в соответствии с их назначением и не содержат ошибок, задержек, упущений, несанкционированных или непреднамеренных манипуляций. Это означает, что операции по обработке данных работают так, как должны, и являются авторизованными, полными и точными.

Конфиденциальность касается способности компании защищать данные, которые должны быть ограничены определенным кругом лиц или организаций. Сюда относятся данные клиентов, предназначенные только для персонала компании, конфиденциальная информация компании, такая как бизнес-планы или интеллектуальная собственность, или любая другая информация, которую необходимо защищать в соответствии с законом, нормативными актами, контрактами или соглашениями.

Критерии конфиденциальности говорят о способности организации защитить личную информацию от несанкционированного доступа. Эта информация обычно принимает форму имени, социального страхования, адресной информации или других идентификаторов, таких как раса, этническая принадлежность или информация о здоровье.

К кому применяется SOC 2

SOC 2 применяется к любому поставщику технологических услуг или к SaaS-компаниям, которые обрабатывают или хранят данные клиентов. Сторонние поставщики, другие партнеры или вспомогательные организации, с которыми работают эти компании, также должны соответствовать требованиям SOC 2 для обеспечения целостности своих систем данных и гарантий.

Каковы преимущества соответствия стандарту SOC 2

Соответствие стандарту SOC 2 определяется в ходе технического аудита, проводимого внешней стороной. Оно обязывает организации устанавливать и соблюдать определенные политики и процедуры информационной безопасности в соответствии с их целями. Соответствие SOC 2 может охватывать период от шести до 12 месяцев, чтобы убедиться, что меры информационной безопасности компании соответствуют меняющимся требованиям защиты данных в облаке.

Соответствие требованиям SOC 2 гарантирует вашим клиентам и заказчикам, что у вас есть инфраструктура, инструменты и процессы для защиты их информации от несанкционированного доступа как внутри, так и за пределами компании.

На практике соответствие стандарту SOC 2 означает:

Ваша фирма знает, как выглядят нормальные операции, и регулярно отслеживает вредоносную или нераспознанную активность, документирует изменения конфигурации системы и контролирует уровни доступа пользователей.

У вас есть инструменты для распознавания угроз и оповещения соответствующих сторон, чтобы они могли оценить угрозу и предпринять необходимые действия для защиты данных и систем от несанкционированного доступа или использования.

У вас будет соответствующая информация о любых инцидентах безопасности, чтобы вы могли понять масштаб проблемы, при необходимости исправить системы или процессы и восстановить целостность данных и процессов.