wybór zasad SOC 2
zasad usług zaufania
kryteriów usług zaufania
w przypadku zaangażowania SOC 2 bez ochrony prywatności należy uwzględnić zasadę bezpieczeństwa. Zasada bezpieczeństwa jako wspólne kryteria, które mają zastosowanie do każdego zaangażowania SOC 2 i mają zastosowanie do wszystkich zaangażowanych zleceniodawców, z wyjątkiem prywatności. Zasady bezpieczeństwa określają, czy system jest chroniony (zarówno fizycznie, jak i logicznie) przed nieautoryzowanym dostępem.
jeśli usługi oferowane przez Twoją organizację dotyczą danych wrażliwych, takich jak dane osobowe (PII) lub chronione informacje zdrowotne (PHI), zasada poufności powinna być obecna w raporcie audytu SOC 2. Zasada poufności odnosi się do umów zawartych z klientami w odniesieniu do sposobu korzystania z ich informacji, kto ma do nich dostęp i jak je chronisz. Czy przestrzegasz swoich zobowiązań umownych, odpowiednio chroniąc informacje o klientach?
Czy zapewniasz, że systemy (Infrastruktura i aplikacja), które udostępniasz swoim klientom, są dostępne do działania i używane zgodnie z uzgodnionymi czasami pracy? Dostępność określa, czy świadczone przez Ciebie Usługi działają zgodnie z typem dostępności, którego oczekują Twoi klienci i są udokumentowane w umowie SLA. Zasada dostępności dotyczy zazwyczaj firm świadczących usługi oparte na kolokacji, centrum danych, SAAS (Software As a Service) lub usługi hostingowe dla swoich klientów.
jeśli świadczone przez Ciebie usługi są usługami finansowymi lub usługami e-commerce i dotyczą integralności transakcji, integralność przetwarzania jest zasadą, którą należy uwzględnić w audycie SOC 2. Musisz upewnić się, że usługi, które świadczysz swoim klientom, są kompletne, dokładne, autoryzowane i na czas.
wreszcie mamy zasadę Prywatności. Zasada prywatności jest bardzo wyjątkowa i naprawdę stoi na własną rękę. W szczególności dotyczy to sposobu zbierania i / lub wykorzystywania danych osobowych konsumentów oraz tego, czy mają oni prawo zrezygnować z wykorzystywania ich danych. Zapewnia to, że Twoja organizacja przetwarza dane klientów zgodnie z wszelkimi zobowiązaniami zawartymi w informacji o ochronie prywatności podmiotu jako zobowiązanymi lub uzgodnionymi oraz z kryteriami określonymi w ogólnie przyjętych zasadach ochrony prywatności wydanych przez AICPA.
więc niekoniecznie musisz zająć się wszystkimi pięcioma zasadami usług zaufania w raporcie z audytu SOC 2, jednak powinieneś wybrać zasady, które są istotne dla usług, które świadczysz swoim klientom…
kilka dobrych wskazówek, aby upewnić się, że trafiłeś w sedno.:
- dobrym miejscem na rozpoczęcie jest zawsze sprawdzanie z Klientem jego oczekiwań co do zasad zaufania, na których oczekuje się potwierdzenia.
- Możesz również sprawdzić umowę SLA, na którą się podpisałeś, wziąć opinie interesariuszy.
- na koniec spójrz na wizję swojej firmy, co zobowiązałeś się zaoferować swojemu klientowi, nawet jeśli nie oczekuje tego samego.
podsumowanie
chociaż organizacje niekoniecznie muszą uwzględnić wszystkie pięć zasad usług zaufania w swoim raporcie z audytu SOC 2, powinny jednak wybrać zasady, które są istotne dla usług, które świadczą na rzecz swoich klientów. Moim zdaniem najlepiej jest, aby organizacje omawiały to samo z konsultantami, aby wiedzieć, co jest wymagane dla ich działalności.
jeśli jesteś gotowy, aby rozpocząć audyt SOC 2 i potrzebujesz pomocy w określeniu, które z zasad usług zaufania powinieneś uwzględnić, skontaktuj się z nami już dziś. Dzięki dziesiątkom udanych atestów SOC1/2 / 3 zapewniamy nasze usługi atestacji SOC2 za pośrednictwem naszego biura w USA (VISTA InfoSec LLC) i posiadamy własny Akredytowany CPA AICPA, aby zapewnić, że raporty są w pełni legalne.
Obejrzyj webinar na temat zasad zaufania SOC2