selectarea principiilor SOC 2
principiile serviciilor de încredere
criteriile serviciilor de încredere
într-un angajament SOC 2 fără confidențialitate, trebuie inclus principiul securității. Principiul securității ca criterii comune care se aplică oricărui angajament SOC 2 și se aplică în general tuturor directorilor implicați, cu excepția confidențialității. Principiile de securitate abordează dacă sistemul este protejat (atât fizic, cât și logic) împotriva accesului neautorizat.
dacă serviciile oferite de organizația dvs. se referă la date sensibile, cum ar fi informații de identificare personală (PII) sau informații de sănătate protejate (PHI), principiul confidențialității ar trebui să fie prezent în raportul dvs. de audit SOC 2. Principiul confidențialității abordează acordurile pe care le aveți cu clienții cu privire la modul în care le utilizați informațiile, cine are acces la acestea și cum le protejați. Vă respectați obligațiile contractuale protejând în mod corespunzător informațiile despre clienți?
vă asigurați că sistemele (infrastructura și aplicația) pe care le furnizați clienților dvs. sunt disponibile pentru funcționare și utilizate conform perioadelor de funcționare convenite? Disponibilitatea se referă la faptul dacă serviciile pe care le furnizați funcționează cu tipul de disponibilitate pe care clienții dvs. îl așteaptă și sunt documentate în SLA. Principiul disponibilității se aplică de obicei companiilor care furnizează servicii de colocare, centru de date, SAAS (Software As a Service) sau servicii de găzduire pentru clienții lor.
dacă serviciile pe care le furnizați sunt servicii financiare sau servicii de comerț electronic și se referă la integritatea tranzacțională, integritatea procesării este un principiu care ar trebui inclus în auditul dvs. SOC 2 . Trebuie să vă asigurați că serviciile pe care le furnizați clienților dvs. sunt complete, exacte, autorizate și la timp.
în cele din urmă, avem principiul confidențialității. Principiul confidențialității este foarte unic și se află într-adevăr pe cont propriu. Acesta abordează în mod specific modul în care colectați și/sau utilizați informațiile personale ale consumatorilor și au dreptul să renunțe la modul în care sunt utilizate informațiile lor. Se asigură că organizația dvs. gestionează datele clienților în conformitate cu orice angajament din notificarea de Confidențialitate a entității, așa cum a fost angajat sau convenit și cu criteriile definite în principiile de confidențialitate general acceptate emise de AICPA.
deci, nu sunt neapărat necesare pentru a aborda toate cele cinci principii de servicii de încredere în raportul de audit SOC 2, cu toate acestea, ar trebui să selectați principiile care sunt relevante pentru serviciile pe care le furnizează clienților dumneavoastră…
câteva indicii bune pentru a vă asigura că te-a lovit cui pe cap:
- un loc bun pentru a începe este întotdeauna verificarea cu clientul dvs. cu privire la așteptările lor cu privire la principiile de încredere pe care se așteaptă să le atestați.
- puteți verifica, de asemenea, SLA ați semnat pentru, Ia feedback-ul părților interesate.
- nu în ultimul rând, uitați-vă la viziunea companiei dvs. cu privire la ceea ce v-ați angajat să oferiți clientului dvs., chiar dacă nu se așteaptă la același lucru.
concluzie
deși organizațiile nu sunt neapărat obligate să abordeze toate cele cinci principii ale serviciilor de încredere în raportul lor de audit SOC 2, totuși, acestea ar trebui să selecteze principiile relevante pentru serviciile pe care le furnizează clienților lor. În opinia mea, cel mai bine este ca organizațiile să discute același lucru cu consultanții pentru a ști ce este necesar pentru afacerea lor.
dacă sunteți gata să începeți auditul SOC 2 și aveți nevoie de ajutor pentru a determina care dintre principiile serviciilor de încredere ar trebui să le includeți, contactați-ne astăzi. Cu zeci de atestări SOC1/2/3 de succes sub centura noastră, oferim serviciile noastre de atestare SOC2, deși biroul nostru din SUA (VISTA InfoSec LLC) și avem propriul nostru CPA acreditat AICPA pentru a ne asigura că rapoartele sunt pe deplin legitime.
urmăriți webinarul despre principiile de încredere SOC2