Zrozumienie zgodności SOC 1 vs SOC 2 vs SOC 3

przez

Konieczność dostosowania się do standardów to fundament rozwoju każdej organizacji.

Wyobraźmy sobie, że rozwijasz firmę SaaS i chcesz dotrzeć z reklamami do klientów ze średniej półki. W takiej sytuacji musisz bezwzględnie przestrzegać obowiązujących przepisów i norm, a także zadbać o solidne fundamenty bezpieczeństwa swojej firmy.

Niejedna organizacja usiłuje uniknąć tych wymogów, wykorzystując w tym celu kwestionariusze bezpieczeństwa.

Dlatego, gdy klient lub kontrahent zażąda certyfikatu SOC, uświadamiasz sobie, jak ważna jest zgodność z przepisami.

Zgodność z kontrolą organizacji usługowej (SOC) to rodzaj certyfikacji, w której firma poddaje się audytowi zewnętrznemu, który ma potwierdzić, że wdrożono określone mechanizmy kontrolne. Zgodność z SOC ma również zastosowanie do łańcucha dostaw oraz cyberbezpieczeństwa.

W kwietniu 2010 roku Amerykański Instytut Biegłych Rewidentów (AICPA) dokonał aktualizacji standardu SAS 70. Nowy, ulepszony standard audytu nosi nazwę Statement on Standards for Attestation Engagements (SSAE 16).

Wraz z audytem SSAE 16 wprowadzono trzy inne raporty, które mają na celu weryfikację mechanizmów kontrolnych organizacji usługowych. Są to tak zwane raporty SOC, które dzielą się na trzy typy: SOC 1, SOC 2 i SOC 3. Każdy z nich ma odmienne przeznaczenie.

W tym artykule omówię każdy z raportów SOC, wskazując, gdzie znajdują zastosowanie i jak wpisują się w obszar bezpieczeństwa IT.

Zaczynajmy!

Co to jest raport SOC?

Raporty SOC można postrzegać jako atut dający organizacji przewagę nad konkurencją, pozwalający zaoszczędzić czas i pieniądze. Zewnętrzni, niezależni audytorzy przeprowadzają kontrolę różnych aspektów funkcjonowania firmy, w tym:

  • Dostępności
  • Poufności
  • Prywatności
  • Integralności przetwarzania
  • Bezpieczeństwa
  • Mechanizmów kontrolnych w obszarze cyberbezpieczeństwa
  • Mechanizmów kontrolnych w zakresie sprawozdawczości finansowej

Raporty SOC dają przedsiębiorstwu pewność, że potencjalni usługodawcy działają zgodnie z zasadami i etycznie. Chociaż audyty mogą być wymagające, zapewniają wysoki poziom bezpieczeństwa i zaufania. Raporty SOC pomagają w ocenie wiarygodności usługodawcy.

Ponadto raporty SOC są przydatne w:

  • Programach zarządzania dostawcami
  • Nadzorze nad organizacją
  • Nadzorze regulacyjnym
  • Procesie zarządzania ryzykiem i ładzie korporacyjnym

Dlaczego raport SOC jest tak istotny?

Wiele organizacji usługowych, takich jak centra danych, dostawcy usług SaaS, firmy obsługujące pożyczki oraz firmy przetwarzające roszczenia, jest zobligowana do przejścia audytu SOC. Te organizacje przechowują dane finansowe lub wrażliwe informacje swoich klientów lub użytkowników.

Tak więc każda firma świadcząca usługi innym firmom lub użytkownikom może zostać objęta audytem SOC. Raport SOC nie tylko informuje potencjalnych klientów o legalności firmy, ale także poprzez procesy oceny ujawnia potencjalne niedociągnięcia i słabości w mechanizmach kontrolnych.

Czego można oczekiwać od audytu SOC?

Zanim rozpoczniesz proces audytu SOC, musisz określić, który rodzaj raportu SOC jest najbardziej odpowiedni dla Twojej organizacji. Następnie rozpocznie się formalny proces, w tym ocena gotowości.

Organizacja usługowa przygotowuje się do audytu, identyfikując potencjalne sygnały ostrzegawcze, luki, braki i inne problemy. Dzięki temu firma może zrozumieć dostępne opcje naprawy tych niedociągnięć.

Kto ma uprawnienia do przeprowadzania audytu SOC?

Audyty SOC są przeprowadzane przez niezależnych biegłych rewidentów (CPA) lub firmy audytorskie.

AICPA ustala standardy zawodowe, które regulują pracę audytorów SOC. Ponadto organizacje muszą przestrzegać pewnych wytycznych dotyczących realizacji, planowania i nadzoru.

Każdy audyt AICPA jest następnie poddawany wzajemnej ocenie. Organizacje lub firmy CPA często zatrudniają również specjalistów spoza środowiska CPA, posiadających wiedzę z zakresu IT i bezpieczeństwa, aby przygotować się do audytu SOC. Jednak końcowy raport musi zostać zweryfikowany i zatwierdzony przez CPA.

Przeanalizujmy każdy raport oddzielnie, aby zrozumieć ich działanie.

Co to jest SOC 1?

Głównym celem SOC 1 jest kontrola celów wymienionych w dokumentach SOC 1 oraz obszarów kontroli wewnętrznej, które mają wpływ na analizę sprawozdań finansowych użytkownika.

Mówiąc wprost, raport ten informuje o tym, w jakim stopniu usługi firmy wpływają na sprawozdawczość finansową użytkownika.

Co zawiera raport SOC 1?

Raport SOC 1 określa mechanizmy kontroli organizacji usługowej, które mają zastosowanie do kontroli sprawozdawczości finansowej użytkownika. Został opracowany, aby spełnić wymagania użytkowników. W tym celu księgowi oceniają skuteczność mechanizmów kontroli wewnętrznej organizacji usługowej.

Wyróżnia się dwa rodzaje raportów SOC 1:

  • SOC 1 Typ 1: Raport ten koncentruje się na systemie organizacji usługowej i weryfikuje, czy zastosowane mechanizmy kontrolne systemu są adekwatne do realizacji celów kontroli, a także zawiera opis systemu na konkretny dzień.

Raporty SOC 1 Typu 1 są dostępne jedynie dla audytorów, menedżerów i użytkowników usług. Audytor usług sporządza raport, który zawiera wszystkie wymagania SSAE 16.

  • SOC 1 Typ 2: Raport ten zawiera podobne opinie i analizy jak raport SOC 1 Typ 1. Jednakże dodatkowo zawiera ocenę skuteczności wdrożonych mechanizmów kontroli, które mają realizować cele kontroli w danym okresie.

W raporcie SOC 1 Typ 2 cele kontroli odwołują się do potencjalnych zagrożeń, które mechanizmy kontroli wewnętrznej mają za zadanie ograniczyć. Zakres obejmuje obszary kontroli i zapewnia gwarancje. Raport informuje również o tym, że podejmowane są jedynie działania autoryzowane i adekwatne.

Jaki jest cel SOC 1?

Jak wspomniano wcześniej, SOC 1 jest pierwszą częścią serii kontroli organizacji usługowej, która dotyczy kontroli wewnętrznej w obszarze sprawozdawczości finansowej. Ma zastosowanie do firm, które mają bezpośredni kontakt z danymi finansowymi swoich partnerów i klientów.

W ten sposób zabezpiecza interakcję organizacji poprzez przechowywanie sprawozdań finansowych użytkowników i przesyłanie ich. Raport SOC 1 pomaga inwestorom, klientom, audytorom i kadrze kierowniczej w ocenie mechanizmów kontroli wewnętrznej dotyczących sprawozdawczości finansowej, zgodnie z wytycznymi AICPA.

Jak utrzymać zgodność z SOC 1?

Zgodność z SOC 1 definiuje proces zarządzania wszystkimi mechanizmami kontroli SOC 1, które są wyszczególnione w raporcie SOC 1 i obowiązują w danym okresie. Gwarantuje to skuteczność działania reguł SOC 1.

Mechanizmy kontroli to na ogół kontrole IT, kontrole procesów biznesowych i inne rozwiązania stosowane w celu zapewnienia wystarczającej pewności w oparciu o cele kontroli.

Co to jest SOC 2?

SOC 2, opracowany przez AICPA, opisuje kryteria kontroli i zarządzania informacjami o klientach, w oparciu o 5 zasad świadczenia zaufanych usług. Są to:

  • Dostępność: obejmuje odzyskiwanie po awarii, obsługę incydentów związanych z bezpieczeństwem i monitorowanie wydajności.
  • Prywatność: obejmuje szyfrowanie, uwierzytelnianie dwuskładnikowe (2FA) i kontrolę dostępu.
  • Bezpieczeństwo: obejmuje wykrywanie włamań, uwierzytelnianie dwuskładnikowe oraz zapory sieciowe lub aplikacyjne.
  • Poufność: obejmuje kontrolę dostępu, szyfrowanie i zapory aplikacji.
  • Integralność przetwarzania: obejmuje monitorowanie przetwarzania i zapewnienie jakości.

SOC 2, w odróżnieniu od PCI DSS, jest unikalny dla każdej organizacji ze względu na rygorystyczne wymagania. W zależności od specyfiki działalności, każdy projekt ma kontrolę nad zgodnością z wieloma zasadami zaufania.

Co zawiera raport SOC 2?

Raport SOC 2 umożliwia organizacjom usługowym uzyskanie i udostępnienie raportu zainteresowanym stronom, który zawiera ogólny opis kontroli IT, które zostały wdrożone w celu zapewnienia bezpieczeństwa.

Wyróżnia się dwa rodzaje raportów SOC 2:

  • SOC 2 Typ 1: Opisuje systemy dostawcy i określa, czy projekt dostawcy jest odpowiedni do spełnienia zasad zaufania.
  • SOC 2 Typ 2: Zawiera szczegółowe informacje na temat efektywności operacyjnej systemów dostawcy.

SOC 2 różni się w zależności od organizacji, jeśli chodzi o ramy i standardy bezpieczeństwa informacji, ponieważ nie ma zdefiniowanych wymagań. AICPA zapewnia kryteria, które organizacja usługowa wybiera, aby wykazać, jakie mechanizmy kontrolne posiada w celu zabezpieczenia oferowanych usług.

Jaki jest cel SOC 2?

Zgodność z SOC 2 jest dowodem, że organizacja monitoruje i utrzymuje wysoki poziom bezpieczeństwa informacji. Ścisła zgodność umożliwia organizacjom potwierdzenie, że ich kluczowe informacje są bezpieczne.

Przestrzegając zasad SOC 2, zyskujesz:

  • Ulepszone praktyki bezpieczeństwa danych, w ramach których organizacja chroni się przed cyberatakami i naruszeniami bezpieczeństwa.
  • Przewagę konkurencyjną, ponieważ klienci chcą współpracować z dostawcami usług, którzy stosują solidne praktyki w zakresie bezpieczeństwa danych, szczególnie w przypadku usług chmurowych i IT.

SOC 2 ogranicza nieautoryzowane wykorzystanie danych i zasobów, którymi zarządza organizacja. Standardy bezpieczeństwa wymagają od organizacji wdrożenia kontroli dostępu w celu ochrony danych przed złośliwymi atakami, niewłaściwym użyciem, nieuprawnionym ujawnieniem lub zmianą informacji firmowych oraz nieuprawnionym usunięciem danych.

Jak utrzymać zgodność z SOC 2?

Zgodność z SOC 2 to dobrowolny standard opracowany przez AICPA, który określa, w jaki sposób organizacja zarządza informacjami o klientach. Standard opisuje pięć kryteriów usług zaufania, tj. bezpieczeństwo, integralność przetwarzania, poufność, prywatność i dostępność.

Zgodność z SOC jest dopasowana do potrzeb każdej organizacji. W zależności od specyfiki działalności, organizacja może wybrać mechanizmy kontrolne, które powinny być zgodne z jedną lub kilkoma zasadami usługi zaufania. Obejmuje to wszystkie usługi, w tym ochronę przed atakami DDoS, równoważenie obciążenia, analizę ataków, bezpieczeństwo aplikacji internetowych, dostarczanie treści przez CDN i wiele innych.

Mówiąc wprost, zgodność z SOC 2 nie jest wyczerpującą listą narzędzi, procesów i mechanizmów kontrolnych, ale wskazuje na potrzebę stosowania kryteriów, które są kluczowe dla utrzymania bezpieczeństwa informacji. Pozwala to każdej organizacji na wdrożenie najlepszych procesów i praktyk, które są związane z jej działalnością i celami.

Poniżej znajduje się lista kontrolna podstawowych elementów zgodności z SOC 2:

  • Kontrola dostępu
  • Operacje systemowe
  • Ograniczanie ryzyka
  • Zarządzanie zmianami

Co to jest SOC 3?

SOC 3 to procedura audytu opracowana przez AICPA w celu określenia skuteczności wewnętrznej kontroli organizacji usługowej w odniesieniu do centrów danych i bezpieczeństwa chmury. Struktura SOC 3 również opiera się na kryteriach usług zaufania, które obejmują:

  • Bezpieczeństwo: Systemy i informacje są chronione przed nieautoryzowanym ujawnieniem, dostępem i uszkodzeniem.
  • Integralność procesu: Przetwarzanie systemu jest prawidłowe, dokładne, autoryzowane, terminowe i kompletne, aby spełnić wymagania organizacji.
  • Dostępność: systemy i informacje są dostępne do użytku w celu realizacji wymagań organizacji.
  • Prywatność: Dane osobowe są wykorzystywane, ujawniane, usuwane, przechowywane i gromadzone w celu spełnienia wymagań organizacji.
  • Poufność: Informacje oznaczone jako krytyczne są chronione w celu spełnienia wymagań organizacji.

Za pomocą SOC 3 organizacje usługowe określają, które z tych kryteriów usług zaufania odnoszą się do usług, które oferują swoim klientom. W standardach znajdziesz również dodatkowe wymagania dotyczące raportowania, wydajności i zastosowania.

Co zawiera raport SOC 3?

Raporty SOC 3 zawierają te same informacje co raporty SOC 2, ale różnią się pod względem odbiorców. Raport SOC 3 jest przeznaczony dla szerokiej publiczności. Raporty te są zwięzłe i nie zawierają dokładnie tych samych danych co raport SOC 2. Są one przygotowane z myślą o interesariuszach i odbiorcach, którzy mają ogólną wiedzę na ten temat.

Ponieważ raport SOC 3 jest bardziej ogólny, można go szybko i publicznie udostępnić na stronie internetowej firmy wraz z pieczęcią potwierdzającą zgodność. Pomaga to w przestrzeganiu międzynarodowych standardów rachunkowości.

Na przykład AWS umożliwia publiczne pobieranie raportu SOC 3.

Jaki jest cel SOC 3?

Firmy, zwłaszcza małe lub start-upy, zazwyczaj nie mają wystarczających zasobów, aby samodzielnie kontrolować lub utrzymywać niektóre kluczowe usługi. Dlatego firmy te często zlecają usługi zewnętrznym dostawcom, zamiast ponosić dodatkowe koszty lub wysiłek związane z budową nowego działu dla tych usług.

Outsourcing jest lepszym rozwiązaniem, ale wiąże się z pewnym ryzykiem. Powodem jest to, że firma udostępnia dane klientów lub wrażliwe informacje zewnętrznym dostawcom, w zależności od usług, które organizacja zdecyduje się zlecić na zewnątrz.

Jednak organizacje powinny współpracować wyłącznie z dostawcami, którzy mogą wykazać zgodność z SOC 3.

Zgodność z SOC 3 opiera się na paragrafie 205 AT-C i paragrafie AT-C 105 SSAE 18. Zawiera podstawowe informacje z opisu niezależnego kierownictwa i raportu audytora. Dotyczy wszystkich dostawców usług, którzy przechowują dane klientów w chmurze, w tym dostawców PaaS, IaaS i SaaS.

Jak utrzymać zgodność z SOC 3?

SOC 3 jest inną wersją SOC 2, więc procedura audytu jest taka sama. Biegli rewidenci usług sprawdzają następujące zasady i mechanizmy kontrolne:

Po zakończeniu audytu audytor sporządza raport na podstawie poczynionych ustaleń. Jednak raport SOC 3 jest znacznie mniej szczegółowy, ponieważ udostępnia wyłącznie informacje niezbędne dla opinii publicznej. Organizacja usługowa może swobodnie udostępniać wyniki po zakończeniu audytu w celach marketingowych. Podpowiada to, na czym należy się skupić, aby pomyślnie przejść audyt. Dlatego zaleca się, aby organizacja usługowa:

  • Starannie wybierała elementy kontrolne.
  • Przeprowadzała ocenę w celu zidentyfikowania luk w mechanizmach kontrolnych.
  • Określiła zakres regularnej działalności.
  • Opisała kolejne kroki powiadamiania o incydentach.
  • Zatrudniła wykwalifikowanego audytora do przeprowadzenia audytu końcowego.

Teraz, gdy masz już pewne pojęcie o każdym typie zgodności, przeanalizujmy różnice pomiędzy tymi trzema, aby dowiedzieć się, w jaki sposób pomagają każdej firmie w utrzymaniu pozycji na rynku.

SOC 1 vs SOC 2 vs SOC 3: Różnice

Poniższa tabela opisuje cele i korzyści wynikające z każdego raportu SOC.

SOC 1SOC 2SOC 3Zawiera opinię na temat projektu typu 1 oraz projektu lub działań typu 2, w tym procedur testowych i wyników.Pojedynczy dokument, który zawiera odpowiedzi na wymagania partnerów dotyczące operacji organizacji, w tym wyników i procedur.Podobny do zgodności z SOC 2, ale zawiera mniej informacji. Nie zawiera procedur testowych, wyników ani mechanizmów kontrolnych. Kontroluje wymogi niezbędne do kontroli wewnętrznej związanej ze sprawozdawczością finansową. Kontrole niefinansowe są oceniane zgodnie z pięcioma zasadami zaufania, które są istotne dla danego zagadnienia. Odnosi się również do pięciu kryteriów usług zaufania. Ograniczona dystrybucja do klientów i audytorów.Ograniczona dystrybucja do organów regulacyjnych, klientów i audytorów, która jest zdefiniowana w raporcie. Pomoc w marketingu klienta. Nieograniczona dystrybucja. Utrzymuje przejrzystość opisu systemu, mechanizmów kontrolnych, procedur i wyników. Zapewnia poziom przejrzystości dokładnie podobny do SOC 1. Ogólna dystrybucja raportów na potrzeby marketingowe. Koncentruje się na mechanizmach kontroli finansowych.Koncentruje się na mechanizmach kontroli operacyjnych. Jest podobny do SOC 2, ale zawiera mniej informacji. Opisuje systemy organizacji usługowej. Opisuje również systemy organizacji usługowej. Zawiera opinię CPA na temat adekwatności mechanizmów kontrolnych w systemie. Informuje o mechanizmach kontroli wewnętrznej. Informuje o dostępności, prywatności, poufności, integralności przetwarzania i środkach kontroli bezpieczeństwa. Podobnie jak w SOC 2. Biuro kontrolera użytkowników i audytor użytkowników korzystają z SOC 1. Jest udostępniany na mocy umowy NDA przez organy regulacyjne, kadrę kierowniczą i inne osoby. Jest dostępny publicznie. Większość audytorów to osoby „muszące wiedzieć”. Większość interesariuszy i klientów to osoby „muszące wiedzieć”. Opinia publiczna. Przykład: firma przetwarzająca roszczenia medyczne. Przykład: firma zajmująca się przechowywaniem danych w chmurze. Przykład: przedsiębiorstwo publiczne.

Podsumowanie

Decyzja, która zgodność z SOC będzie najbardziej odpowiednia dla Twojej organizacji, wymaga przeanalizowania, z jakiego rodzaju informacjami masz do czynienia – czy są to dane Twoich klientów, czy Twoje własne.

Jeśli oferujesz usługi przetwarzania płac, możesz zastosować SOC 1. Jeśli przetwarzasz lub przechowujesz dane klientów, możesz potrzebować raportu SOC 2. Podobnie, jeśli potrzebujesz mniej formalnej zgodności, która jest przydatna w celach marketingowych, możesz rozważyć raport SOC 3.

Inne artykuły:

  1. Kompletna kompleksowa lista kontrolna zgodności z SOC 2
  2. Zrozumienie zgodności z HITRUST w kategoriach laika
  3. 5 najlepszych programów do sprawdzania zgodności gier
  4. 6 rozwiązań dostępności sieci w celu zapewnienia zgodności z wymogami ADA i WCAG