Sélection des Principes SOC 2

Les Principes des Services de confiance

Critères des Services de confiance

 principe de sécurité SOC2

Dans un engagement SOC 2 sans confidentialité, le principe de sécurité doit être inclus. Principe de sécurité en tant que critère commun qui s’applique à tout engagement SOC 2 et s’applique à tous les principes impliqués, à l’exception de la confidentialité. Les principes de sécurité déterminent si le système est protégé (physiquement et logiquement) contre tout accès non autorisé.

 Principe de confidentialité SOC2

Si les services offerts par votre organisation traitent de données sensibles, telles que des Informations personnelles identifiables (IPI) ou des Informations de santé protégées (PHI), le principe de confidentialité doit être présent dans votre rapport d’audit SOC 2. Le principe de confidentialité concerne les accords que vous avez conclus avec les clients en ce qui concerne la façon dont vous utilisez leurs informations, qui y a accès et comment vous les protégez. Respectez-vous vos obligations contractuelles en protégeant correctement les informations des clients?
 Disponibilité Principe SOC2

Assurez-vous que les systèmes (infrastructure et application) que vous fournissez à vos clients sont disponibles pour le fonctionnement et utilisés selon les temps de disponibilité convenus? La disponibilité indique si les services que vous fournissez fonctionnent avec le type de disponibilité attendu par vos clients ET documenté dans votre SLA. Le principe de disponibilité s’applique généralement aux entreprises fournissant des services de colocation, de centre de données, de SAAS (Software As A Service) ou d’hébergement à leurs clients.

Si les services que vous fournissez sont des services financiers ou des services de commerce électronique et concernent l’intégrité transactionnelle, l’intégrité du traitement est un principe qui doit être inclus dans votre audit SOC 2. Vous devez vous assurer que les services que vous fournissez à vos clients sont complets, exacts, autorisés et à temps.

 Principes de confidentialité SOC2

Enfin, nous avons le principe de confidentialité. Le principe de confidentialité est tout à fait unique et se tient vraiment à lui seul. Il traite spécifiquement de la façon dont vous collectez et / ou utilisez les informations personnelles des consommateurs et ont-ils le droit de refuser la façon dont leurs informations sont utilisées. Il garantit que votre organisation traite les données des clients conformément à tous les engagements de l’avis de confidentialité de l’entité tels qu’engagés ou convenus et aux critères définis dans les principes de confidentialité généralement acceptés émis par l’AICPA.

Ainsi, vous n’êtes pas nécessairement tenu d’aborder les cinq Principes des services de confiance dans votre rapport d’audit SOC 2, cependant, vous devez sélectionner les principes pertinents pour les services que vous fournissez à vos clients

Quelques bons conseils pour vous assurer d’enfoncer le clou sur la tête:

  • Un bon point de départ est de toujours vérifier avec votre client ses attentes quant aux principes de confiance sur lesquels il s’attend à ce que vous soyez attesté.
  • Vous pouvez également vérifier le SLA pour lequel vous avez signé, prendre les commentaires des parties prenantes.
  • Enfin et surtout, regardez la vision de votre entreprise quant à ce que vous vous êtes engagé à offrir à votre client même s’il ne s’attend pas à la même chose.

Conclusion

Bien que les organisations ne soient pas nécessairement tenues d’aborder les cinq Principes des services de confiance dans leur rapport d’audit SOC 2, elles doivent toutefois sélectionner les principes pertinents pour les services qu’elles fournissent à leurs clients. À mon avis, il est préférable que les organisations discutent de la même chose avec les consultants pour savoir ce qui est requis pour leur entreprise.

Si vous êtes prêt à commencer votre audit SOC 2 et que vous avez besoin d’aide pour déterminer lequel des principes de services de confiance vous devez inclure, contactez-nous dès aujourd’hui. Avec des dizaines d’attestations SOC1 / 2 / 3 réussies à notre actif, nous fournissons nos services d’attestations SOC2 via notre bureau américain (VISTA InfoSec LLC) ET nous avons notre propre CPA accrédité par l’AICPA pour nous assurer que les rapports sont entièrement légitimes.

Regardez le webinaire Sur Les Principes de confiance SOC2