välja SOC 2 principer
principerna för betrodda tjänster
kriterier för betrodda tjänster
i en icke-Sekretess SOC 2 engagemang måste säkerhetsprincipen inkluderas. Säkerhetsprincip som de gemensamma kriterierna som gäller för alla SOC 2-engagemang och gäller över hela linjen för alla berörda huvudmän utom för integritet. Säkerhetsprinciperna behandlar om systemet är skyddat (både fysiskt och logiskt) mot obehörig åtkomst.
om de tjänster som din organisation erbjuder behandlar känsliga uppgifter, såsom personligt identifierbar Information (PII) eller skyddad hälsoinformation (PHI), bör Konfidentialitetsprincipen finnas i din SOC 2-revisionsrapport. Sekretessprincipen behandlar de avtal som du har med kunder när det gäller hur du använder deras information, vem som har tillgång till den och hur du skyddar den. Följer du dina avtalsförpliktelser genom att korrekt skydda kundinformation?
ser du till att de system (infrastruktur och applikation) du tillhandahåller dina kunder är tillgängliga för drift och används enligt överenskomna drifttider? Tillgänglighet adresserar om de tjänster du tillhandahåller fungerar med den typ av tillgänglighet som dina kunder förväntar sig och dokumenteras i ditt SLA. Tillgänglighetsprincipen gäller vanligtvis företag som tillhandahåller colocation, datacenter, SAAS (Software As a Service) – baserade tjänster eller värdtjänster till sina kunder.
om de tjänster du tillhandahåller är finansiella tjänster eller e-handelstjänster och handlar om transaktionsintegritet är Bearbetningsintegritet en princip som bör ingå i din SOC 2-revision . Du måste se till att de tjänster du tillhandahåller dina kunder är fullständiga, korrekta, auktoriserade och i tid.
Slutligen har vi Sekretessprincipen. Sekretessprincipen är mycket unik och står verkligen på egen hand. Den behandlar specifikt hur du samlar in och/eller använder konsumenternas personuppgifter och har de rätt att välja bort hur deras information används. Det säkerställer att din organisation hanterar klientdata i enlighet med eventuella åtaganden i företagets integritetsmeddelande som begåtts eller överenskommits och med kriterier som definieras i allmänt accepterade sekretessprinciper utfärdade av AICPA.
så du behöver inte nödvändigtvis ta itu med alla fem principerna för Förtroendetjänster i din SOC 2-revisionsrapport, men du bör välja de principer som är relevanta för de tjänster du tillhandahåller till dina kunder …
några bra tips för att se till att du träffar spiken på huvudet:
- ett bra ställe att börja är alltid kontrollera med din klient på deras förväntningar på vad förtroende principer de förväntar dig att få intygas på.
- du kan också kontrollera SLA du har undertecknat för, ta feedback intressenter.
- sist men inte minst, titta på ditt företags vision om vad du har lovat att erbjuda din klient även om de inte förväntar sig detsamma.
slutsats
även om organisationer inte nödvändigtvis måste ta itu med alla fem principerna för betrodda tjänster i sin SOC 2-revisionsrapport, bör de dock välja de principer som är relevanta för de tjänster de tillhandahåller sina kunder. Enligt min mening är det bäst för organisationer att diskutera detsamma med konsulter för att veta vad som krävs för deras verksamhet.
om du är redo att börja din SOC 2-revision och behöver lite hjälp med att bestämma vilka av principerna för betrodda tjänster du bör inkludera, kontakta oss idag. Med dussintals framgångsrika SOC1 / 2 / 3-intyg under vårt bälte tillhandahåller vi våra SOC2-intygstjänster även om vårt amerikanska kontor (VISTA InfoSec LLC) och vi har vår egen AICPA-ackrediterade CPA för att säkerställa att rapporterna är helt legitima.
titta på webinar på SOC2 förtroende principer