valg af SOC 2-principper
Tillidstjenesteprincipperne
Tillidstjenestekriterier
i et SOC 2-engagement, der ikke er privatliv, skal Sikkerhedsprincippet inkluderes. Sikkerhedsprincip som de fælles kriterier, der gælder for ethvert SOC 2-engagement og gælder overalt for alle involverede principper undtagen privatlivets fred. Sikkerhedsprincipperne vedrører, om systemet er beskyttet (både fysisk og logisk) mod uautoriseret adgang.
hvis de tjenester, din organisation tilbyder, beskæftiger sig med følsomme data, såsom personligt identificerbare oplysninger (PII) eller beskyttede sundhedsoplysninger (PHI), skal fortrolighedsprincippet være til stede i din SOC 2-revisionsrapport. Fortrolighedsprincippet omhandler de aftaler, du har med kunder om, hvordan du bruger deres oplysninger, hvem der har adgang til dem, og hvordan du beskytter dem. Følger du dine kontraktlige forpligtelser ved korrekt at beskytte kundeoplysninger?
sikrer du, at de systemer (infrastruktur og applikation), du leverer til dine kunder, er tilgængelige til drift og bruges som aftalt uptimes? Tilgængelighed adresserer, om de tjenester, du leverer, fungerer med den type tilgængelighed, som dine kunder forventer og dokumenteres i din SLA. Tilgængelighedsprincippet gælder typisk for virksomheder, der leverer colocation, datacenter, SAAS-baserede tjenester eller hostingtjenester til deres kunder.
hvis de tjenester, du leverer, er finansielle tjenester eller e-handelstjenester og vedrører transaktionsintegritet, er Behandlingsintegritet et princip, der skal indgå i din SOC 2-revision . Du skal sikre dig, at de tjenester, du leverer til dine kunder, er komplette, nøjagtige, autoriserede og til tiden.
endelig har vi Privatlivsprincippet. Privatlivsprincippet er meget unikt og står virkelig på egen hånd. Det omhandler specifikt, hvordan du indsamler og/eller bruger forbrugernes personlige oplysninger, og har de ret til at fravælge, hvordan deres oplysninger bruges. Det sikrer, at din organisation håndterer kundedata i overensstemmelse med eventuelle forpligtelser i enhedens meddelelse om beskyttelse af personlige oplysninger som forpligtet eller aftalt og med kriterier defineret i generelt accepterede principper om beskyttelse af personlige oplysninger udstedt af AICPA.
så du er ikke nødvendigvis forpligtet til at adressere alle fem af Trust Services-principperne i din SOC 2-revisionsrapport, men du skal vælge de principper, der er relevante for de tjenester, du leverer til dine kunder…
et par gode tip for at sikre dig, at du rammer neglen på dit hoved:
- et godt sted at starte er altid at tjekke med din klient om deres forventninger til, hvilke Tillidsprincipper de forventer, at du bliver attesteret.
- du kan også tjekke SLA du har underskrevet for, tage stakeholder feedback.
- sidst men ikke mindst, se på din virksomheds vision om, hvad du har lovet at tilbyde din klient, selvom de ikke forventer det samme.
konklusion
mens organisationer ikke nødvendigvis er forpligtet til at adressere alle fem af Trust Services-principperne i deres SOC 2-revisionsrapport, bør de dog vælge de principper, der er relevante for de tjenester, de leverer til deres kunder. Efter min mening er det bedst for organisationer at diskutere det samme med konsulenter for at vide, hvad der kræves for deres forretning.
hvis du er klar til at starte din SOC 2-revision og har brug for hjælp til at bestemme, hvilke af Tillidstjenesteprincipperne du skal medtage, kontakt os i dag. Med snesevis af vellykkede SOC1/2/3-attester under vores bælte leverer vi vores SOC2-attestationstjenester gennem vores amerikanske kontor (VISTA InfoSec LLC), og vi har vores egen AICPA-akkrediterede CPA for at sikre, at rapporterne er fuldt legitime.
se på SOC2 Trust Principles