Zrozumienie zgodności SOC 1 vs SOC 2 vs SOC 3

przez

Zgodność jest kluczowym aspektem rozwoju Twojej organizacji.

Załóżmy, że chcesz prowadzić działalność SaaS i kierować reklamy do klientów ze średniej półki. W takim przypadku musisz przestrzegać obowiązujących zasad i przepisów oraz utrzymywać silniejszą postawę bezpieczeństwa dla swojej firmy.

Wiele organizacji próbuje ominąć te wymagania, stosując kwestionariusze bezpieczeństwa.

Tak więc, gdy klient lub klient żąda certyfikatu SOC, możesz zdać sobie sprawę, jak ważna jest zgodność z przepisami.

Zgodność z kontrolą organizacji usługowej (SOC) odnosi się do rodzaju certyfikacji, w ramach której organizacja przeprowadza audyt strony trzeciej, który pokazuje, że pewne kontrole posiada Twoja organizacja. Zgodność z SOC ma również zastosowanie do łańcucha dostaw i cyberbezpieczeństwa SOC.

W kwietniu 2010 r. Amerykański Instytut Biegłych Rewidentów (AICPA) ogłosił zmianę SAS 70. Udoskonalony i nowy standard audytu nosi nazwę Statement on Standards for Atestation Engagements (SSAE 16).

Wraz z audytem SSAE 16 sporządzono również trzy inne raporty w celu zbadania kontroli organizacji usługowej. Są to tak zwane raporty SOC, które zawierają trzy raporty – SOC 1, SOC 2 i SOC 3 o różnych celach.

W tym artykule wspomnę o każdym raporcie SOC i o tym, gdzie je zastosować i jak wpisują się w bezpieczeństwo IT.

No to ruszamy!

Czym dokładnie jest raport SOC?

Raporty SOC można uznać za przewagę konkurencyjną przynoszącą organizacji korzyści pod względem czasu i pieniędzy. Wykorzystuje zewnętrznych i niezależnych audytorów do badania różnych aspektów organizacji, w tym:

  • Dostępność
  • Poufność
  • Prywatność
  • Integralność przetwarzania
  • Bezpieczeństwo
  • Kontrole związane z cyberbezpieczeństwem
  • Kontrole związane ze sprawozdawczością finansową

Raporty SOC dają firmie pewność, że potencjalni usługodawcy działają zgodnie i etycznie. Chociaż audyty mogą być trudne, oferują ogromne bezpieczeństwo i zaufanie. Raporty SOC pomagają ustalić wiarygodność i wiarygodność usługodawcy.

Ponadto raporty SOC są przydatne do:

  • Programy zarządzania dostawcami
  • Nadzór nad organizacją
  • Nadzór regulacyjny
  • Proces zarządzania ryzykiem i wewnętrzny ład korporacyjny

Dlaczego raport SOC jest niezbędny?

Kilka organizacji usługowych, takich jak centra danych, dostawcy SaaS, podmioty obsługujące pożyczki i podmioty przetwarzające roszczenia, muszą przejść badanie SOC. Organizacje te muszą przechowywać dane finansowe lub dane wrażliwe swoich klientów lub podmiotów będących użytkownikami.

Tak więc każda firma świadcząca usługi innym firmom lub użytkownikom może zostać przypisana do egzaminu SOC. Raport SOC nie tylko informuje potencjalnych klientów, że firma jest legalna, ale także ujawnia przed Tobą wady i słabości kontroli lub klientów poprzez procesy oceny.

Czego można oczekiwać od oceny SOC?

Zanim przejdziesz przez proces oceny SOC, musisz określić, jakiego rodzaju raportu SOC potrzebujesz, który najbardziej odpowiada Twojej organizacji. Następnie rozpocznie się oficjalny proces z oceną gotowości.

Organizacje usługowe przygotowują się do egzaminu, identyfikując potencjalne sygnały ostrzegawcze, luki, braki i nie tylko. W ten sposób firma może zrozumieć dostępne opcje naprawy tych wad i słabości.

Kto może przeprowadzić audyt SOC?

Audyty SOC są przeprowadzane przez niezależnych biegłych rewidentów (CPA) lub firmy księgowe.

AICPA ustanawia standardy zawodowe, które mają regulować pracę audytorów SOC. Oprócz tego organizacje muszą przestrzegać pewnych wytycznych dotyczących realizacji, planowania i nadzoru.

Każdy audyt AICPA jest następnie poddawany wzajemnej ocenie. Organizacje lub firmy CPA zatrudniają również specjalistów spoza CPA z umiejętnościami informatycznymi i bezpieczeństwa, aby przygotować się do audytu SOC. Ale raport końcowy musi zostać sprawdzony i ujawniony przez CPA.

Przeanalizujmy każdy raport osobno, aby zrozumieć, jak działają.

Co to jest SOC 1?

Głównym celem SOC 1 jest kontrolowanie celów zawartych w dokumentach SOC 1 i procesowych obszarów kontroli wewnętrznych, które są istotne dla badania sprawozdań finansowych jednostki korzystającej.

Mówiąc najprościej, informuje, kiedy usługi organizacji wpływają na sprawozdawczość finansową jednostki użytkownika.

Co to jest raport SOC 1?

Raport SOC 1 określa kontrolę organizacji usługowej mającą zastosowanie do kontroli jednostki korzystającej z sprawozdawczości finansowej. Został zaprojektowany, aby sprostać wymaganiom użytkowników. W tym celu księgowi oceniają skuteczność kontroli wewnętrznych organizacji usługowej.

Istnieją dwa rodzaje raportów SOC 1:

  • SOC 1 Typ 1: Raport ten zasadniczo koncentruje się na systemie organizacji usługowej i sprawdza przydatność mechanizmów kontroli systemu do osiągnięcia celów kontroli wraz z opisem w określonym dniu.

Raporty SOC 1 Typu 1 są ograniczone tylko do audytorów, menedżerów i jednostek użytkowników, zazwyczaj usługodawcy należą do dowolnej organizacji usługowej. Audytor usług ustala raport, który obejmuje wszystkie wymagania SSAE 16.

  • SOC 1 Typ 2: Ten raport ma podobne opinie i analizy jak w raporcie SOC 1 Typ 1. Zawiera jednak poglądy na temat skuteczności wcześniej ustanowionych kontroli, zaprojektowanych w celu osiągnięcia wszystkich celów kontroli w określonym okresie.

W raporcie SOC 1 Typ 2 cele kontroli prowadzą do potencjalnych ryzyk, które kontrola wewnętrzna chce złagodzić. Zakres obejmuje odpowiednie dziedziny kontroli i zapewnia uzasadnione gwarancje. Mówi również, że istnieje limit wykonywania tylko autoryzowanych i odpowiednich działań.

Jaki jest cel SOC 1?

Jak już omówiliśmy, SOC 1 jest pierwszą częścią serii Kontroli organizacji usługowej, która dotyczy kontroli wewnętrznych w sprawozdawczości finansowej. Ma zastosowanie do firm, które bezpośrednio wchodzą w interakcję z danymi finansowymi partnerów i klientów.

W ten sposób zabezpiecza interakcję organizacji, przechowując sprawozdania finansowe użytkowników i przesyłając je. Jednak raport SOC 1 pomaga inwestorom, klientom, audytorom i kierownictwu ocenić wewnętrzne kontrole dotyczące sprawozdawczości finansowej w ramach wytycznych AICPA.

Jak zachować zgodność z SOC 1?

Zgodność z SOC 1 definiuje proces zarządzania wszystkimi kontrolami SOC 1 dodanymi w raporcie SOC 1 przez określony czas. Zapewnia skuteczność działania reguł SOC 1.

Kontrole są na ogół kontrolami IT, kontrolami procesów biznesowych itp., stosowanymi w celu zapewnienia wystarczającej pewności opartej na celach kontroli.

Co to jest SOC 2?

SOC 2, opracowany przez AICPA, opisuje kryteria kontrolowania lub zarządzania informacjami o klientach w oparciu o 5 zasad świadczenia zaufanych usług: Zasady te to:

  • Dostępność obejmuje odzyskiwanie po awarii, obsługę incydentów związanych z bezpieczeństwem i monitorowanie wydajności.
  • Prywatność: obejmuje szyfrowanie, uwierzytelnianie dwuskładnikowe (2FA) i kontrolę dostępu.
  • Bezpieczeństwo: obejmuje wykrywanie włamań, uwierzytelnianie dwuskładnikowe oraz zapory sieciowe lub aplikacyjne.
  • Poufność: obejmuje kontrolę dostępu, szyfrowanie i zapory aplikacji.
  • Integralność przetwarzania: obejmuje monitorowanie przetwarzania i zapewnienie jakości.

SOC 2 jest unikalny dla każdej organizacji ze względu na sztywne wymagania, w przeciwieństwie do PCI DSS. Dzięki określonym praktykom biznesowym każdy projekt ma kontrolę nad zgodnością z wieloma zasadami zaufania.

Co to jest raport SOC 2?

Raport SOC 2 umożliwia organizacjom usługowym otrzymywanie i udostępnianie raportu interesariuszom w celu ogólnego opisania; Kontrole IT, które są bezpieczne na miejscu.

Istnieją dwa rodzaje raportów SOC 2:

  • SOC 2 Typ 1: Opisuje systemy dostawcy i mówi, czy projekt dostawcy jest odpowiedni do spełnienia zasad zaufania.
  • SOC 2 Typ 2: Udostępnia szczegóły efektywności operacyjnej systemów dostawcy.

SOC 2 różni się w zależności od organizacji pod względem ram i standardów bezpieczeństwa informacji, ponieważ nie ma zdefiniowanych wymagań. AICPA zapewnia kryteria, które organizacja usługowa wybiera w celu wykazania kontroli, jakie posiada w celu zabezpieczenia oferowanych usług.

Jaki jest cel SOC 2?

Zgodność z SOC 2 wskazuje, że organizacja kontroluje i utrzymuje wysoki poziom bezpieczeństwa informacji. Ścisła zgodność umożliwia organizacjom zapewnienie, że ich krytyczne informacje są bezpieczne.

Przestrzegając SOC 2, otrzymasz:

  • Ulepszone praktyki bezpieczeństwa danych, w których organizacja broni się przed cyberatakami i naruszeniami bezpieczeństwa.
  • Przewaga konkurencyjna, ponieważ klienci chcą współpracować z dostawcami usług stosującymi solidne praktyki w zakresie bezpieczeństwa danych, zwłaszcza w przypadku usług chmurowych i IT.

Ogranicza nieautoryzowane wykorzystanie danych i zasobów, którymi zarządza organizacja. Zasady bezpieczeństwa wymagają od organizacji dodania kontroli dostępu w celu zabezpieczenia danych przed złośliwymi atakami, niewłaściwym użyciem, nieuprawnionym ujawnieniem lub zmianą informacji firmowych oraz nieuprawnionym usunięciem danych.

Jak zachować zgodność z SOC 2?

Zgodność z SOC 2 to dobrowolny standard opracowany przez AICPA, który określa, w jaki sposób organizacja zarządza informacjami o klientach. Standard opisuje pięć kryteriów usług zaufania, tj. bezpieczeństwo, integralność przetwarzania, poufność, prywatność i dostępność.

Zgodność z SOC jest dostosowana do potrzeb każdej organizacji. W zależności od praktyk biznesowych organizacja może wybrać kontrole projektu, które powinny być zgodne z jedną lub kilkoma zasadami usługi zaufania. Obejmuje wszystkie usługi, w tym ochronę przed atakami DDoS, równoważenie obciążenia, analizę ataków, bezpieczeństwo aplikacji internetowych, dostarczanie treści przez CDN i wiele innych.

Mówiąc prościej, zgodność z SOC 2 nie jest opisową listą narzędzi, procesów lub kontroli; zamiast tego wskazuje na potrzebę kryteriów kluczowych dla utrzymania bezpieczeństwa informacji. Pozwala to każdej organizacji na przyjęcie najlepszych procesów i praktyk związanych z jej działalnością i celami.

Poniżej znajduje się lista kontrolna podstawowej zgodności z SOC 2:

  • Kontrola dostępu
  • Operacje systemowe
  • Ograniczanie ryzyka
  • Zarządzanie zmianami

Co to jest SOC 3?

SOC 3 to procedura audytu opracowana przez AICPA w celu określenia siły wewnętrznej kontroli organizacji usługowej nad centrami danych i bezpieczeństwem chmury. Struktura SOC 3 opiera się również na kryteriach usług zaufania, które obejmują:

  • Bezpieczeństwo: Systemy i informacje są zabezpieczone przed nieautoryzowanym ujawnieniem, nieautoryzowanym dostępem i uszkodzeniem systemów.
  • Integralność procesu: Przetwarzanie systemu jest prawidłowe, dokładne, autoryzowane, terminowe i kompletne, aby spełnić wymagania jednostki.
  • Dostępność: systemy i informacje są dostępne do użytku i działania w celu spełnienia wymagań jednostki.
  • Prywatność: Dane osobowe są wykorzystywane, ujawniane, usuwane, przechowywane i gromadzone w celu spełnienia wymagań podmiotu.
  • Poufność: Informacje oznaczone jako krytyczne są chronione w celu spełnienia wymagań podmiotu.

Za pomocą SOC 3 organizacje usługowe określają, które z tych kryteriów Usług zaufania mają zastosowanie do usług, które oferują klientom. W Oświadczeniach w sprawie standardów znajdziesz również dodatkowe wymogi dotyczące raportowania, wydajności i zastosowania.

Co to jest raport SOC 3?

Raporty SOC 3 zawierają te same informacje co SOC 2, ale różnią się pod względem odbiorców. Raport SOC 3 jest przeznaczony wyłącznie dla ogółu odbiorców. Raporty te są krótkie i nie zawierają dokładnie tych samych danych, co raport SOC 2. Są zbudowane odpowiednio dla interesariuszy i poinformowanych odbiorców.

Ponieważ raport SOC 3 jest bardziej ogólny, można go szybko i otwarcie udostępnić na stronie internetowej firmy wraz z pieczęcią opisującą jego zgodność. Pomaga w nadążaniu za międzynarodowymi standardami rachunkowości.

Na przykład AWS umożliwia publiczne pobieranie raportu SOC 3.

Jaki jest cel SOC 3?

Firmy, zwłaszcza małe lub start-upy, zwykle nie mają wystarczających zasobów, aby samodzielnie kontrolować lub utrzymywać niektóre kluczowe usługi. Dlatego firmy te często zlecają usługi zewnętrznym dostawcom, zamiast inwestować dodatkowy wysiłek lub pieniądze w budowę nowego działu dla tych usług.

Tak więc outsourcing jest lepszą opcją, ale może być ryzykowny. Powodem jest to, że organizacja udostępnia dane klientów lub poufne informacje zewnętrznym dostawcom w zależności od usług, które organizacja zdecyduje się zlecić na zewnątrz.

Jednak organizacje muszą współpracować tylko z dostawcami, którzy wykazują zgodność z SOC 3.

Zgodność z SOC 3 opiera się na paragrafie 205 AT-C i paragrafie AT-C 105 SSAE 18. Zawiera on podstawowe informacje z opisu niezależnego kierownictwa i raportu audytora. Dotyczy wszystkich dostawców usług przechowujących informacje o klientach w chmurze, w tym dostawców PaaS, IaaS i SaaS.

Jak zachować zgodność z SOC 3?

SOC 3 to kolejna wersja SOC 2, więc procedura audytu jest taka sama. Biegli rewidenci usług poszukują następujących zasad i kontroli:

Po zakończeniu audytu audytor generuje raport na podstawie ustaleń. Ale raport SOC 3 jest znacznie mniej szczegółowy, ponieważ udostępnia tylko informacje niezbędne opinii publicznej. Organizacja serwisowa swobodnie udostępnia wyniki po zakończeniu audytu końcowego w celach marketingowych. Podpowiada, na czym należy się skupić, aby przejść audyt. W związku z tym zaleca się, aby organizacja serwisowa:

  • Ostrożnie wybierz elementy sterujące.
  • Przeprowadź ocenę, aby zidentyfikować luki w kontrolach
  • Dowiedz się, jaka jest regularna aktywność
  • Opisz kolejne kroki powiadamiania o incydentach
  • Poszukaj wykwalifikowanego audytora usług do przeprowadzenia egzaminu końcowego

Teraz, gdy masz już pewne pojęcie o każdym typie zgodności, zrozummy różnice między tymi trzema, aby dowiedzieć się, w jaki sposób pomagają każdej firmie utrzymać się na rynku.

SOC 1 vs SOC 2 vs SOC 3: Różnice

Poniższa tabela opisuje cele i korzyści każdego raportu SOC.

SOC 1SOC 2SOC 3Wydaje opinie na temat projektu typu 1 oraz projektu lub działania typu 2, w tym procedur testowych i wyników.Pojedynczy dokument dostarczający odpowiedzi na wymagania partnerów dotyczące operacji organizacji, w tym wyniki i procedury.Podobny do zgodności z SOC 2, ale zawiera mniej informacji . Nie obejmuje procedur testowych, wyników ani kontroli. Kontroluje wymagania niezbędne do kontroli wewnętrznej związanej ze sprawozdawczością finansową. Kontrole niefinansowe są oceniane zgodnie z pięcioma zasadami zaufania istotnymi dla przedmiotu zagadnienia. Zależy to również od pięciu usług zaufania Kryteria. Ograniczona dystrybucja do klientów i audytorów Ograniczona dystrybucja regulatorów, klientów i audytorów zostanie zdefiniowana w raporcie. Pomoc w marketingu klienta. Nieograniczona dystrybucja Zachowuje przejrzystość opisu systemu, kontroli, procedury i wyniku. Zapewnia poziom przejrzystości dokładnie podobny do SOC 1Ogólna dystrybucja raportów dla korzyści marketingowych. Koncentruje się na kontrolach finansowych.Koncentruje się na kontrolach operacyjnych.Jest podobny do SOC 2, ale zawiera mniej informacji.Opisuje systemy organizacji usługowej.Opisuje również systemy organizacji usługowej.Opisuje opinię CPA na temat odpowiednich kontroli jednostki nad system.Informuje o kontrolach wewnętrznych.Informuje o dostępności, prywatności, poufności, integralności przetwarzania i środkach kontroli bezpieczeństwa. Podobnie jak w SOC 2 Biuro kontrolera użytkowników i audytor użytkowników używają SOC 1. Jest on udostępniany na mocy umowy NDA przez organy regulacyjne, kierownictwo i inne osoby. Jest dostępny publicznie. Większość audytorów to „trzeba wiedzieć”. Większość interesariuszy i klientów „trzeba wiedzieć ”Ogólna opinia publicznaPrzykład: przetwarzający roszczenia medyczne.Przykład: firma zajmująca się przechowywaniem danych w chmurze.Przykład: przedsiębiorstwo publiczne.

Wniosek

Podjęcie decyzji, która zgodność z SOC będzie najbardziej odpowiednia dla Twojej organizacji, wymaga wizualizacji rodzaju informacji, z którymi masz do czynienia, niezależnie od tego, czy są to dane Twoich klientów, czy Twoje.

Jeśli oferujesz usługi przetwarzania płac, możesz użyć SOC 1. Jeśli przetwarzasz lub przechowujesz dane klientów, możesz potrzebować raportu SOC 2. Podobnie, jeśli potrzebujesz mniej formalnej zgodności, co jest najlepsze do celów marketingowych, możesz chcieć skorzystać z raportu SOC 3.