VELGE SOC 2 Principles
Trust Services Principles
Trust Services Criteria
Sikkerhetsprinsippet må inkluderes i ET IKKE-personvern SOC 2-engasjement. Sikkerhetsprinsipp som felleskriterier som gjelder FOR ETHVERT SOC 2-engasjement og gjelder over hele linja for alle involverte oppdragsgivere bortsett fra personvern. Sikkerhetsprinsippene adresserer om systemet er beskyttet (både fysisk og logisk) mot uautorisert tilgang.
Hvis tjenestene din organisasjon tilbyr omhandler sensitive data, For Eksempel Personlig Identifiserbar Informasjon (PII) eller BESKYTTET Helseinformasjon (PHI), Bør Konfidensialitetsprinsippet være til stede i SOC 2-revisjonsrapporten. Konfidensialitetsprinsippet omhandler avtalene du har med klienter i forhold til hvordan du bruker informasjonen, hvem som har tilgang til den, og hvordan du beskytter den. Følger du dine kontraktsforpliktelser ved å beskytte kundeinformasjon på riktig måte?
sikrer du at systemene (infrastruktur og applikasjon) du oppgir til kundene dine, er tilgjengelige for drift og brukes i henhold til avtalt oppetid? Tilgjengelighet adresserer om tjenestene du leverer, fungerer med den typen tilgjengelighet som kundene forventer OG dokumenteres i SLA-EN din. Tilgjengelighetsprinsippet gjelder vanligvis for selskaper som tilbyr colocation, datasenter, Saas (Software As A Service) – baserte tjenester eller vertstjenester til sine kunder.
Hvis tjenestene du leverer er finansielle tjenester eller e-handelstjenester og er opptatt av transaksjonsintegritet, Er Behandlingsintegritet et prinsipp som bør inkluderes i SOC 2-Revisjonen . Du må sørge for at tjenestene du leverer til kundene dine er komplette, nøyaktige, autoriserte og til rett tid.
Til Slutt har Vi Personvernprinsippet. Personvernprinsippet er veldig unikt og står virkelig på egen hånd. Det omhandler spesifikt hvordan du samler inn og/eller bruker forbrukernes personlige opplysninger, og har de rett til å velge bort hvordan informasjonen deres brukes. Det sikrer at organisasjonen håndterer klientdata i samsvar med eventuelle forpliktelser i enhetens personvernerklæring som forpliktet eller avtalt og med kriterier definert i generelt aksepterte personvernprinsipper utstedt av AICPA.
så du er ikke nødvendigvis pålagt å adressere alle Fem Av Trust Services-Prinsippene i SOC 2-revisjonsrapporten din, men du bør velge prinsippene som er relevante for tjenestene du leverer til kundene dine…
Noen gode tips for å sikre at du treffer spikeren på hodet ditt:
- Et godt sted å starte er alltid sjekke med klienten på deres forventninger Om Hva Tillit Prinsipper de forventer du å få attestert på.
- du kan også sjekke SLA du har signert for, ta stakeholder tilbakemelding.
- Sist men Ikke minst, se på visjonen til firmaet ditt om hva du har lovet å tilby kunden din, selv om de ikke forventer det samme.
Konklusjon
selv om organisasjoner ikke nødvendigvis er pålagt å adressere alle Fem Av Trust Services-Prinsippene i SOC 2-revisjonsrapporten, bør de imidlertid velge prinsippene som er relevante for tjenestene de leverer til sine kunder. Etter min mening er det best for organisasjoner å diskutere det samme med konsulenter for å vite hva som kreves for deres virksomhet.
hvis DU er klar til å starte SOC 2-revisjonen og trenger hjelp til å avgjøre hvilke Av Prinsippene For Trust Services du bør inkludere, kontakt oss i dag. Med dusinvis av vellykkede SOC1 / 2 / 3-attester under beltet vårt, tilbyr VI VÅRE SOC2-attestasjonstjenester gjennom VÅRT amerikanske kontor (VISTA InfoSec LLC), og vi har vår EGEN aicpa-akkreditert CPA for å sikre at rapportene er fullt legitime.
Se webinaret OM SOC2 Trust Principles