Auswählen von SOC 2-Prinzipien
Die Trust Services Principles
Trust Services Criteria
In einem SOC 2-Engagement ohne Datenschutz muss das Sicherheitsprinzip enthalten sein. Sicherheitsprinzip als gemeinsames Kriterium, das für jedes SOC 2-Engagement gilt und für alle beteiligten Prinzipien mit Ausnahme des Datenschutzes gilt. Die Sicherheitsprinzipien legen fest, ob das System (sowohl physisch als auch logisch) vor unbefugtem Zugriff geschützt ist.
Wenn die von Ihrer Organisation angebotenen Dienste sensible Daten wie personenbezogene Daten (PII) oder geschützte Gesundheitsinformationen (PHI) behandeln, sollte das Vertraulichkeitsprinzip in Ihrem SOC 2-Auditbericht enthalten sein. Das Vertraulichkeitsprinzip bezieht sich auf die Vereinbarungen, die Sie mit Kunden darüber getroffen haben, wie Sie ihre Informationen verwenden, wer Zugriff darauf hat und wie Sie sie schützen. Befolgen Sie Ihre vertraglichen Verpflichtungen, indem Sie Kundendaten ordnungsgemäß schützen?
Stellen Sie sicher, dass die Systeme (Infrastruktur und Anwendung), die Sie Ihren Kunden zur Verfügung stellen, für den Betrieb verfügbar sind und gemäß den vereinbarten Betriebszeiten verwendet werden? Die Verfügbarkeit gibt an, ob die von Ihnen bereitgestellten Dienste mit der Art der Verfügbarkeit betrieben werden, die Ihre Kunden erwarten UND die in Ihrem SLA dokumentiert ist. Das Verfügbarkeitsprinzip gilt in der Regel für Unternehmen, die ihren Kunden Colocation-, Rechenzentrums-, SAAS- (Software as A Service) -basierte Dienste oder Hosting-Dienste anbieten.
Wenn es sich bei den von Ihnen erbrachten Dienstleistungen um Finanzdienstleistungen oder E-Commerce-Dienstleistungen handelt und es sich um Transaktionsintegrität handelt, ist die Verarbeitungsintegrität ein Grundsatz, der in Ihr SOC 2-Audit aufgenommen werden sollte . Sie müssen sicherstellen, dass die Dienste, die Sie Ihren Kunden zur Verfügung stellen, vollständig, genau, autorisiert und pünktlich sind.
Schließlich haben wir das Datenschutzprinzip. Das Datenschutzprinzip ist sehr einzigartig und steht wirklich für sich. Sie befasst sich insbesondere damit, wie Sie personenbezogene Daten von Verbrauchern sammeln und / oder verwenden und ob diese das Recht haben, die Verwendung ihrer Daten abzulehnen. Es stellt sicher, dass Ihre Organisation Kundendaten in Übereinstimmung mit den in der Datenschutzerklärung des Unternehmens festgelegten oder vereinbarten Verpflichtungen und mit den in den allgemein anerkannten Datenschutzgrundsätzen des AICPA festgelegten Kriterien behandelt.
Sie müssen also nicht unbedingt alle fünf Trust Services-Prinzipien in Ihrem SOC 2-Auditbericht ansprechen, Sie sollten jedoch die Prinzipien auswählen, die für die Dienstleistungen relevant sind, die Sie Ihren Kunden anbieten …
Ein paar gute Hinweise, um sicherzustellen, dass Sie den Nagel auf den Kopf getroffen haben:
- Ein guter Anfang ist immer, sich bei Ihrem Kunden über seine Erwartungen zu erkundigen, welche Vertrauensprinzipien er von Ihnen erwartet.
- Sie können auch das SLA überprüfen, für das Sie sich angemeldet haben, und Stakeholder-Feedback einholen.
- Schauen Sie sich zu guter Letzt die Vision Ihres Unternehmens an, was Sie Ihrem Kunden zu bieten haben, auch wenn er nicht dasselbe erwartet.
Fazit
Organisationen müssen zwar nicht unbedingt alle fünf Trust Services Principles in ihrem SOC 2-Auditbericht berücksichtigen, sollten jedoch die Prinzipien auswählen, die für die Dienste relevant sind, die sie ihren Kunden anbieten. Meiner Meinung nach ist es für Organisationen am besten, dasselbe mit Beratern zu besprechen, um zu wissen, was für ihr Geschäft erforderlich ist.
Wenn Sie bereit sind, mit Ihrem SOC 2-Audit zu beginnen und Hilfe bei der Bestimmung der Trust Services-Prinzipien benötigen, die Sie einbeziehen sollten, kontaktieren Sie uns noch heute. Mit Dutzenden von erfolgreichen SOC1 / 2 / 3-Zertifizierungen bieten wir unsere SOC2-Zertifizierungsdienste über unser US-Büro (VISTA InfoSec LLC) an UND verfügen über einen eigenen AICPA-akkreditierten CPA, um sicherzustellen, dass die Berichte vollständig legitim sind.
Webinar zu SOC2 Trust Principles ansehen