信息安全是所有组织关注的一个原因,包括那些将关键业务运营外包给第三方供应商(例如,SaaS、云计算提供商)的组织。这是正确的,因为数据处理不当(尤其是应用程序和网络安全提供商处理不当)会使企业容易受到攻击,例如数据盗窃、勒索和恶意软件安装。SOC 2 是一种审计程序,可确保您的服务提供商安全地管理您的数据,以保护您的组织的利益及其客户的隐私。对于注重安全的企业,在考虑 SaaS 提供商时,SOC 2 合规性是最低要求。
什么是 SOC 2
SOC 2由美国注册会计师协会 ( AICPA ) 开发,基于五项“信任服务原则”——安全性、可用性、处理完整性、机密性和隐私——定义了管理客户数据的标准。与 具有非常严格要求的PCI DSS不同,SOC 2 报告对于每个组织都是独一无二的。根据特定的商业惯例,每个人都设计自己的控制以遵守一项或多项信任原则。这些内部报告为您(以及监管机构、业务合作伙伴、供应商等)提供有关您的服务提供商如何管理数据的重要信息。
SOC 报告有两种类型:
- 类型 I 描述了供应商的系统以及他们的设计是否适合满足相关的信任原则。
- 类型 II 详细说明了这些系统的运行有效性。
SOC 2认证
SOC 2 认证由外部审核员颁发。他们评估供应商在多大程度上遵守基于现有系统和流程的五项信任原则中的一项或多项。
信任原则细分如下:
1. 安全
安全原则是指保护系统资源免受未经授权的访问。 访问控制 有助于防止潜在的系统滥用、盗窃或未经授权的数据删除、软件滥用以及信息的不当更改或泄露。网络和Web 应用程序防火墙 (WAF)、 双因素身份验证 和 入侵检测等 IT 安全工具 可用于防止可能导致未经授权访问系统和数据的安全漏洞。
2.可用性
可用性原则是指合同或服务水平协议(SLA)所规定的系统、产品或服务的可访问性。因此,系统可用性的最低可接受性能级别由双方设定。该原则不涉及系统功能和可用性,但确实涉及可能影响可用性的安全相关标准。在这种情况下,监控网络性能和可用性、 站点故障转移 和安全事件处理至关重要。
3.加工完整性
处理完整性原则解决了系统是否达到其目的(即,在正确的时间以正确的价格提供正确的数据)。因此,数据处理必须完整、有效、准确、及时和授权。然而,处理完整性并不一定意味着数据完整性。如果数据在输入系统之前包含错误,检测它们通常不是处理实体的责任。数据处理的监控与质量保证程序相结合,有助于确保处理的完整性。
4.保密
如果数据的访问和披露仅限于一组特定的个人或组织,则数据被视为机密。示例可能包括仅供公司人员使用的数据,以及商业计划、知识产权、内部价目表和其他类型的敏感财务信息。加密是传输过程中保护机密性的重要控制。网络和应用程序防火墙,连同严格的访问控制,可用于保护正在处理或存储在计算机系统上的信息。
5.隐私
隐私原则涉及系统根据组织的隐私声明以及 AICPA 普遍接受的隐私原则 (GAPP) 中规定的标准收集、使用、保留、披露和处置个人信息。个人身份信息 (PII) 是指可以区分个人的详细信息(例如,姓名、地址、社会安全号码)。一些与健康、种族、性和宗教有关的个人数据也被认为是敏感数据,通常需要额外的保护。必须实施控制措施以保护所有 PII 免受未经授权的访问。
SOC 2 合规性的重要性
虽然 SOC 2 合规性不是 SaaS 和云计算供应商的要求,但它在保护数据方面的作用怎么强调都不为过。