Selezione dei principi SOC 2
I principi dei servizi fiduciari
Criteri dei servizi fiduciari
In un impegno SOC 2 non soggetto a privacy, deve essere incluso il principio di sicurezza. Principio di sicurezza come criterio comune che si applica a qualsiasi impegno SOC 2 e si applica su tutta la linea a tutti i principali coinvolti, ad eccezione della privacy. I principi di sicurezza indicano se il sistema è protetto (sia fisicamente che logicamente) da accessi non autorizzati.
Se i servizi offerti dalla tua organizzazione trattano dati sensibili, come informazioni personali identificabili (PII) o Informazioni sanitarie protette (PHI), il principio di riservatezza dovrebbe essere presente nel tuo rapporto di audit SOC 2. Il principio di riservatezza riguarda gli accordi che hai con i clienti per quanto riguarda il modo in cui usi le loro informazioni, chi ha accesso ad esse e come le proteggi. Stai seguendo i tuoi obblighi contrattuali proteggendo adeguatamente le informazioni del cliente?
Vi assicurate che i sistemi (infrastruttura e applicazione) forniti ai vostri clienti siano disponibili per il funzionamento e utilizzati secondo i tempi di attività concordati? Disponibilità indica se i servizi forniti stanno operando con il tipo di disponibilità che i clienti si aspettano E documentati nel proprio SLA. Il principio di disponibilità si applica in genere alle aziende che forniscono servizi basati su colocation, data center, SAAS (Software As A Service) o servizi di hosting ai propri clienti.
Se i servizi che fornisci sono servizi finanziari o servizi di e-commerce e riguardano l’integrità delle transazioni, l’integrità del trattamento è un principio che dovrebbe essere incluso nel tuo controllo SOC 2 . È necessario assicurarsi che i servizi forniti ai clienti siano completi, accurati, autorizzati e puntuali.
Infine, abbiamo il principio della privacy. Il principio della privacy è molto particolare e sta davvero da solo. Esso affronta in modo specifico come raccogliere e / o utilizzare le informazioni personali dei consumatori e hanno il diritto di opt-out di come le loro informazioni vengono utilizzate. Garantisce che la tua organizzazione stia gestendo i dati dei clienti in conformità con qualsiasi impegno nell’informativa sulla privacy dell’entità come impegnato o concordato e con criteri definiti nei principi di privacy generalmente accettati emessi dall’AICPA.
Così, non è necessariamente richiesto per affrontare tutti e cinque i Servizi di Fiducia Principi SOC 2 relazione di revisione, tuttavia, si dovrebbe selezionare i principi che sono rilevanti per i servizi fornendo ai propri clienti…
Un paio di buone indicazioni per assicurarsi che hai colpito il chiodo sulla testa:
- Un buon punto di partenza è sempre la verifica con il cliente le loro aspettative di ciò che la Fiducia Principi sono in attesa di ottenere attestato su.
- Puoi anche controllare lo SLA per cui hai firmato, prendere il feedback degli stakeholder.
- Ultimo ma non meno importante, guarda la visione della tua azienda su ciò che ti sei impegnato a offrire al tuo cliente anche se non si aspettano lo stesso.
Conclusione
Sebbene le organizzazioni non siano necessariamente tenute ad affrontare tutti e cinque i principi dei Servizi fiduciari nel loro rapporto di audit SOC 2, tuttavia, dovrebbero selezionare i principi rilevanti per i servizi che forniscono ai propri clienti. A mio parere, è meglio che le organizzazioni discutano lo stesso con i consulenti per sapere cosa è necessario per la loro attività.
Se sei pronto per iniziare l’audit SOC 2 e hai bisogno di aiuto per determinare quale dei principi dei servizi fiduciari dovresti includere, contattaci oggi stesso. Con decine di successo SOC1 / 2 / 3 attestazioni sotto la nostra cintura, forniamo i nostri servizi attestazioni SOC2 anche se il nostro ufficio degli Stati Uniti (VISTA InfoSec LLC) E abbiamo il nostro AICPA accreditato CPA per garantire i rapporti sono completamente legit.
Guarda il webinar sui principi SOC2 Trust