a SOC 2 alapelveinek kiválasztása
a bizalmi szolgáltatások alapelvei
bizalmi szolgáltatások kritériumai
a nem adatvédelmi SOC 2 elkötelezettségben a biztonsági elvet is figyelembe kell venni. A biztonsági elv az a közös kritérium, amely minden SOC 2 elkötelezettségre vonatkozik, és az összes érintett megbízóra vonatkozik, kivéve a magánélet védelmét. A biztonsági elvek arra vonatkoznak, hogy a rendszer (mind fizikailag, mind logikailag) védett-e az illetéktelen hozzáférés ellen.
ha a szervezet által kínált szolgáltatások érzékeny adatokkal, például személyazonosításra alkalmas adatokkal (PII) vagy védett egészségügyi információkkal (Phi) foglalkoznak, a titoktartási elvnek szerepelnie kell a SOC 2 ellenőrzési jelentésében. A titoktartási elv az ügyfelekkel kötött megállapodásokra vonatkozik arra vonatkozóan, hogy hogyan használja fel az információikat, ki fér hozzá, és hogyan védi azokat. Eleget tesz szerződéses kötelezettségeinek az ügyfelek adatainak megfelelő védelmével?
biztosítja, hogy az ügyfelei számára biztosított rendszerek (infrastruktúra és alkalmazás) a megállapodás szerinti üzemidők szerint üzemeljenek és használhatók legyenek? Az elérhetőség azt jelzi, hogy az Ön által nyújtott szolgáltatások az ügyfelek által elvárt és az SLA-ban dokumentált elérhetőség típusával működnek-e. A rendelkezésre állás elve jellemzően azokra a vállalatokra vonatkozik, amelyek colocation, data center, SAAS (Software As a Service) alapú szolgáltatásokat vagy hosting szolgáltatásokat nyújtanak ügyfeleiknek.
ha az Ön által nyújtott szolgáltatások pénzügyi vagy e-kereskedelmi szolgáltatások, és tranzakciós integritással foglalkoznak, a feldolgozás integritása olyan elv, amelyet bele kell foglalni a SOC 2 Auditba . Gondoskodnia kell arról, hogy az ügyfeleinek nyújtott szolgáltatások teljesek, pontosak, engedélyezettek és időben legyenek.
végül megvan az adatvédelmi elv. Az adatvédelmi elv nagyon egyedi, és valóban önmagában áll. Kifejezetten arra vonatkozik, hogy ön hogyan gyűjti és / vagy használja fel a fogyasztók személyes adatait, és hogy joguk van-e leiratkozni arról, hogyan használják fel az adataikat. Biztosítja, hogy szervezete az Ügyféladatokat a gazdálkodó egység Adatvédelmi nyilatkozatában vállalt vagy elfogadott kötelezettségvállalásoknak, valamint az AICPA által kiadott általánosan elfogadott adatvédelmi alapelvekben meghatározott kritériumoknak megfelelően kezelje.
tehát nem feltétlenül szükséges a SOC 2 ellenőrzési jelentésében mind az öt bizalmi szolgáltatás alapelvével foglalkoznia, azonban ki kell választania azokat az elveket, amelyek relevánsak az ügyfeleknek nyújtott szolgáltatások szempontjából…
néhány jó mutató, hogy megbizonyosodjon arról, hogy a szöget a fejére ütötte-e:
- egy jó kiindulópont mindig ellenőrzi az ügyfél az elvárásaikat, hogy milyen bizalmi elveket várnak, hogy kap igazolt.
- ellenőrizheti az aláírt SLA-t is, vegye figyelembe az érdekelt felek visszajelzéseit.
- végül, de nem utolsósorban, nézd meg a vállalat jövőképét arról, hogy mit ígértél felajánlani ügyfeleidnek, még akkor is, ha nem ugyanezt várják el.
következtetés
bár a szervezeteknek nem feltétlenül kell foglalkozniuk mind az öt bizalmi szolgáltatás alapelvével a SOC 2 ellenőrzési jelentésükben, azonban ki kell választaniuk azokat az elveket, amelyek relevánsak az ügyfeleiknek nyújtott szolgáltatások szempontjából. Véleményem szerint a legjobb, ha a szervezetek ugyanezt megbeszélik a tanácsadókkal, hogy tudják, mi szükséges az üzleti tevékenységükhöz.
ha készen áll a SOC 2 audit megkezdésére, és segítségre van szüksége annak meghatározásában, hogy a bizalmi szolgáltatások mely alapelveit vegye figyelembe, vegye fel velünk a kapcsolatot még ma. Több tucat sikeres soc1/2 / 3 tanúsítvánnyal az övünk alatt SOC2 tanúsítási szolgáltatásokat nyújtunk az amerikai irodánkban (VISTA InfoSec LLC), és saját AICPA Akkreditált CPA-val rendelkezünk, hogy biztosítsuk a jelentések teljes legitimitását.
nézze meg a soc2 Trust Principles webináriumot