Select SOC 2 Principles
The Trust Services Principles
Trust Services Criteria
In een non-privacy SOC 2 engagement moet het Security principle worden opgenomen. Veiligheid principe als de gemeenschappelijke criteria die van toepassing is op elke SOC 2 betrokkenheid en geldt over de hele linie voor alle betrokken opdrachtgevers, met uitzondering van privacy. De beveiligingsprincipes hebben betrekking op de vraag of het systeem (zowel fysiek als logisch) beschermd is tegen onbevoegde toegang.
als de diensten die uw organisatie aanbiedt betrekking hebben op gevoelige gegevens, zoals persoonlijk identificeerbare informatie (PII) of beschermde gezondheidsinformatie (PHI), moet het Vertrouwelijkheidsbeginsel aanwezig zijn in uw SOC 2-auditverslag. Het Vertrouwelijkheidsbeginsel heeft betrekking op de overeenkomsten die u met klanten hebt met betrekking tot hoe u hun informatie gebruikt, wie er toegang toe heeft en hoe u deze beschermt. Houdt u zich aan uw contractuele verplichtingen door klantinformatie goed te beschermen?
zorgt u ervoor dat de systemen (infrastructuur en toepassing) die u aan uw klanten verstrekt, beschikbaar zijn voor gebruik en worden gebruikt volgens overeengekomen uptijden? Beschikbaarheid behandelt of de diensten die u levert werken met het type beschikbaarheid dat uw klanten verwachten en gedocumenteerd in uw SLA. Het beschikbaarheidsbeginsel geldt doorgaans voor bedrijven die colocatie -, datacenter -, SaaS – (Software As a Service) – gebaseerde diensten of hostingdiensten aan hun klanten leveren.
als de door u geleverde diensten financiële diensten of e-commercediensten zijn en betrekking hebben op transactionele integriteit, is Processing Integrity een principe dat in uw SOC 2-Audit moet worden opgenomen . U moet ervoor zorgen dat de diensten die u aan uw klanten volledig, accuraat, geautoriseerd en op tijd zijn.
ten slotte hebben we het Privacy principle. Het Privacy principe is zeer uniek en staat echt op zichzelf. Het behandelt specifiek hoe u persoonlijke informatie van consumenten verzamelt en/of gebruikt en of zij het recht hebben om zich af te melden voor hoe hun informatie wordt gebruikt. Het zorgt ervoor dat uw organisatie klantgegevens verwerkt in overeenstemming met alle verplichtingen in de privacyverklaring van de entiteit zoals vastgelegd of overeengekomen en met criteria die zijn gedefinieerd in de algemeen aanvaarde privacybeginselen die zijn uitgegeven door de AICPA.
Dus, je bent niet per se nodig om alle vijf de Trust Services Principes in uw SOC 2 audit rapport, echter, moet u de principes die relevant zijn voor de diensten die u biedt aan uw klanten…
Een paar goede tips om te zorg ervoor dat je de spijker op uw hoofd:
- Een goede plek om te beginnen is het altijd de controle met uw klant over hun verwachtingen van wat Vertrouwen Beginselen die zij verwachten te krijgen afgesloten op.
- u kunt ook de SLA controleren waarvoor u hebt getekend, feedback van stakeholders ontvangen.Tot slot, maar niet in de laatste plaats, Kijk naar de visie van uw bedrijf met betrekking tot wat u uw cliënt beloofd hebt te bieden, zelfs als zij niet hetzelfde verwachten.
conclusie
hoewel organisaties niet noodzakelijk verplicht zijn om alle vijf de beginselen van vertrouwensdiensten in hun SOC 2-auditverslag op te nemen, moeten zij echter de beginselen selecteren die relevant zijn voor de diensten die zij aan hun klanten verlenen. Naar mijn mening is het het beste voor organisaties om hetzelfde te bespreken met consultants om te weten wat er nodig is voor hun bedrijf.
als u klaar bent om met uw SOC 2-audit te beginnen en hulp nodig hebt bij het bepalen van de principes van vertrouwensdiensten die u moet opnemen, neem dan vandaag nog contact met ons op. Met tientallen succesvolle SOC1 / 2 / 3 attesten onder onze riem, bieden wij onze SOC2 attesten diensten via ons kantoor in de VS (VISTA InfoSec LLC) en we hebben onze eigen AICPA geaccrediteerd CPA om ervoor te zorgen dat de rapporten zijn volledig legit.
Bekijk het webinar over SOC2 Trust Principles