Forstå compliance SOC 1 vs SOC 2 vs SOC 3

Af
Tweet
Share
Share
Pin

Overholdelse er et afgørende aspekt af din organisations vækst.

Antag, at du vil drive en SaaS-virksomhed og målrette mod mellemmarkedskunder. I så fald skal du overholde gældende regler og forskrifter og opretholde en stærkere sikkerhedsposition for din virksomhed.

Mange organisationer forsøger at omgå disse krav ved at anvende sikkerhedsspørgeskemaer.

Så når en kunde eller en klient efterspørger et SOC-certifikat, kan du indse, hvor vigtigt det er at overholde reglerne.

Overholdelse af Service Organization Control (SOC) refererer til en type certificering, hvor en organisation gennemfører en tredjepartsrevision, der viser visse kontroller, din organisation har. SOC-overholdelse gælder også for forsyningskæden og SOC-cybersikkerhed.

I april 2010 annoncerede American Institute of Certified Public Accountants (AICPA) ændringen af ​​SAS 70. Den raffinerede og nye revisionsstandard hedder Statement on Standards for Attestation Engagements (SSAE 16).

Sammen med SSAE 16-revision er der også oprettet tre andre rapporter for at undersøge kontrollerne i en serviceorganisation. Disse kaldes SOC-rapporter, som indeholder tre rapporter – SOC 1, SOC 2 og SOC 3-rapporter med forskellige formål.

I denne artikel vil jeg nævne hver SOC-rapport, og hvor de skal anvendes, og hvordan de passer ind i it-sikkerhed.

Nu sker det!

Hvad er en SOC-rapport helt præcist?

SOC-rapporter kan betragtes som en konkurrencefordel, der gavner en organisation i form af penge og tid. Den bruger tredjeparts og uafhængige revisorer til at undersøge forskellige aspekter af en organisation, herunder:

  • Tilgængelighed
  • Fortrolighed
  • Privatliv
  • Behandlingsintegritet
  • Sikkerhed
  • Kontroller relateret til cybersikkerhed
  • Kontroller relateret til finansiel rapportering

SOC-rapporter gør det muligt for en virksomhed at føle sig sikker på, at potentielle tjenesteudbydere opererer efter reglerne og etisk. Selvom revisioner kan være vanskelige, kan de tilbyde enorm sikkerhed og tillid. SOC-rapporter hjælper med at fastslå en tjenesteudbyders troværdighed og troværdighed.

Desuden er SOC-rapporter nyttige til:

  • Leverandørstyringsprogrammer
  • Tilsyn med organisationen
  • Regulatorisk tilsyn
  • Risikostyringsproces og intern virksomhedsledelse

Hvorfor er en SOC-rapport vigtig?

Adskillige serviceorganisationer, såsom datacentervirksomheder, SaaS-udbydere, låneserviceudbydere og kravbehandlere, er nødvendige for at gennemgå en SOC-undersøgelse. Disse organisationer skal gemme deres kunders eller brugerenheders finansielle data eller følsomme data.

Så enhver virksomhed, der leverer tjenester til andre virksomheder eller brugere, kan være passende for SOC-undersøgelsen. En SOC-rapport lader ikke kun dine potentielle kunder vide, at virksomheden er legitim, men afslører også for dig fejlene og svaghederne ved dine kontroller eller kunder gennem vurderingsprocesser.

Hvad kan du forvente af en SOC-vurdering?

Inden du går igennem en SOC-vurderingsproces, skal du bestemme, hvilken type SOC-rapport du har brug for, der passer bedst til din organisation. Dernæst starter en officiel proces med parathedsvurderingen.

Serviceorganisationer forbereder sig på undersøgelsen ved at identificere potentielle røde flag, huller, mangler og meget mere. På denne måde kan virksomheden forstå de tilgængelige muligheder for at reparere disse fejl og svagheder.

Hvem kan udføre en SOC-revision?

SOC-revisioner udføres af uafhængige Certified Public Accountants (CPA’er) eller revisionsfirmaer.

  Sådan sletter du en side eller mellemrum fra Word

AICPA etablerer professionelle standarder, der er beregnet til at regulere SOC revisorers arbejde. Ud over dette skal visse retningslinjer vedrørende udførelse, planlægning og tilsyn følges af organisationer.

Hver AICPA-revision gennemgår derefter peer review. CPA-organisationer eller -firmaer ansætter også ikke-CPA-fagfolk med informationsteknologi og sikkerhedsfærdigheder til at forberede en SOC-revision. Men den endelige rapport skal kontrolleres og offentliggøres af CPA.

Lad os gennemgå hver rapport separat for at forstå, hvordan de fungerer.

Hvad er SOC 1?

SOC 1 hovedmål er at kontrollere mål inden for SOC 1 dokumenter og procesområder for interne kontroller, der er relevante for revisionen af ​​brugerenhedens regnskaber.

Kort sagt fortæller den dig, hvornår organisationens tjenester påvirker en brugerenheds finansielle rapportering.

Hvad er en SOC 1-rapport?

En SOC 1-rapport bestemmer serviceorganisationskontrol gældende for brugerenhedens kontrol over den økonomiske rapportering. Det er designet til at opfylde kravene fra brugerenheder. Heri vurderer revisorerne effektiviteten af ​​serviceorganisationens interne kontroller.

Der er to typer SOC 1-rapporter:

  • SOC 1 Type 1: Denne rapport koncentrerer sig generelt om en serviceorganisations system og kontrollerer egnetheden af ​​systemkontroller til at nå kontrolmålene sammen med beskrivelsen på den angivne dato.

SOC 1 Type 1-rapporter er kun begrænset til revisorer, ledere og brugerenheder, typisk tilhører tjenesteudbydere enhver serviceorganisation. En servicerevisor bestemmer rapporten, der dækker alle kravene i SSAE 16.

  • SOC 1 Type 2: Denne rapport har lignende meninger og analyser som i SOC 1 Type 1-rapporten. Men den indeholder synspunkter om effektiviteten af ​​de forudetablerede kontroller designet til at nå alle kontrolmål over en bestemt periode.

I en SOC 1 Type 2-rapport fører kontrolmål til potentielle risici, som den interne kontrol ønsker at afbøde. Omfanget omfatter relevante kontroldomæner og giver rimelige garantier. Den siger også, at der er en grænse for kun at udføre autoriserede og passende handlinger.

Hvad er formålet med SOC 1?

Som vi allerede har diskuteret, er SOC 1 den første del af Service Organization Control-serien, der omhandler interne kontroller på tværs af finansiel rapportering. Det gælder for virksomheder, der direkte interagerer med finansielle data for partnere og kunder.

Det sikrer således en organisations interaktion, gemmer brugernes regnskaber og overfører dem. SOC 1-rapporten hjælper dog investorer, kunder, revisorer og ledelse med at evaluere de interne kontroller omkring finansiel rapportering inden for AICPA-retningslinjerne.

Hvordan opretholder man SOC 1-overholdelse?

SOC 1-overholdelse definerer processen med at administrere alle SOC 1-kontroller, der er tilføjet i SOC 1-rapporten over en defineret periode. Det sikrer effektiviteten af ​​driften af ​​SOC 1-reglerne.

Kontrollerne er generelt it-kontroller, forretningsproceskontroller osv., der bruges til at give en rimelig sikkerhed baseret på kontrolmålene.

Hvad er SOC 2?

SOC 2, udviklet af AICPA, beskriver kriterierne for at kontrollere eller administrere kundeoplysninger baseret på 5 principper for at levere pålidelige tjenester: Disse principper er:

  • Tilgængeligheden omfatter gendannelse efter katastrofe, håndtering af sikkerhedshændelser og overvågning af ydeevne.
  • Privatliv: Det inkluderer kryptering, to-faktor autentificering (2FA) og adgangskontrol.
  • Sikkerhed: Det omfatter indtrængningsdetektion, to-faktor-godkendelse og netværks- eller applikationsfirewalls.
  • Fortrolighed: Det omfatter adgangskontrol, kryptering og applikationsfirewalls.
  • Behandlingsintegritet: Det omfatter behandlingsovervågning og kvalitetssikring.

SOC 2 er unik for enhver organisation på grund af dets rigide krav, i modsætning til PCI DSS. Med specifik forretningspraksis har hvert design sin kontrol til at overholde flere tillidsprincipper.

Hvad er en SOC 2-rapport?

En SOC 2-rapport giver serviceorganisationer mulighed for at modtage og dele en rapport med interessenter for at beskrive generelt; IT-kontroller, der er sikre på stedet.

  Hvor meget koster et Netflix-abonnement?

Der er to typer SOC 2-rapporter:

  • SOC 2 Type 1: Den beskriver leverandørens systemer og fortæller om leverandørens design er egnet til at opfylde tillidsprincipper.
  • SOC 2 Type 2: Den deler detaljerne om den operationelle effektivitet af leverandørens systemer.

SOC 2 er forskellig fra organisation til organisation med hensyn til informationssikkerhedsrammer og standarder, da der ikke er definerede krav. AICPA leverer kriterier, som en serviceorganisation vælger for at demonstrere de kontroller, de har på plads for at sikre de tilbudte tjenester.

Hvad er formålet med SOC 2?

Overholdelse af SOC 2 indikerer, at organisationen kontrollerer og opretholder et højt informationssikkerhedsniveau. Strenge overholdelse gør det muligt for organisationer at sikre, at deres kritiske oplysninger er sikre.

Ved at overholde SOC 2 får du:

  • Forbedret datasikkerhedspraksis, hvor organisationen forsvarer sig mod cyberangreb og sikkerhedsbrud.
  • Konkurrencefordel, da kunder ønsker at arbejde med tjenesteudbydere med solid datasikkerhedspraksis, især for cloud- og it-tjenester.

Det begrænser den uautoriserede brug af de data og aktiver, som en organisation håndterer. Sikkerhedsprincipperne kræver, at organisationer tilføjer adgangskontrol for at sikre data mod ondsindede angreb, misbrug, uautoriseret offentliggørelse eller ændring af virksomhedsoplysninger og uautoriseret sletning af data.

Hvordan opretholder man SOC 2-overensstemmelse?

SOC 2 compliance er en frivillig standard udviklet af AICPA, der specificerer, hvordan en organisation administrerer sine kundeoplysninger. Standarden er beskrevet med fem Trust Services-kriterier, dvs. sikkerhed, behandlingsintegritet, fortrolighed, privatliv og tilgængelighed.

SOC-overholdelse er skræddersyet til enhver organisations behov. Afhængigt af forretningspraksis kan en organisation vælge designkontroller, der skal følge et eller flere Trust Service-principper. Det strækker sig til alle tjenester, inklusive DDoS-beskyttelse, belastningsbalancering, angrebsanalyse, webapplikationssikkerhed, indholdslevering via CDN og mere.

Enkelt sagt er SOC 2-overholdelse ikke en beskrivende liste over værktøjer, processer eller kontroller; i stedet nævner den behovet for kriterier, der er afgørende for at opretholde informationssikkerheden. Dette giver hver organisation mulighed for at anvende de bedste processer og praksisser, der er relevante for dens drift og mål.

Nedenfor er tjeklisten over grundlæggende SOC 2-overholdelse:

  • Adgangskontrol
  • Systemdrift
  • Afbødende risiko
  • Forandringsledelse

Hvad er SOC 3?

En SOC 3 er en revisionsprocedure, som AICPA udvikler for at definere styrken af ​​en serviceorganisations interne kontrol over datacentre og cloud-sikkerhed. En SOC 3-ramme er også baseret på Trust Services-kriterier, der omfatter:

  • Sikkerhed: Systemer og information er sikret mod uautoriseret offentliggørelse, uautoriseret adgang og beskadigelse af systemerne.
  • Procesintegritet: Systembehandling er gyldig, nøjagtig, autoriseret, rettidig og fuldstændig for at imødekomme enhedens krav.
  • Tilgængelighed: Systemer og information er tilgængelige til brug og drift for at imødekomme enhedens krav.
  • Fortrolighed: Personlige oplysninger bruges, videregives, bortskaffes, opbevares og indsamles for at imødekomme enhedens krav.
  • Fortrolighed: Oplysninger, der er udpeget som kritiske, er beskyttet for at opfylde enhedens krav.

Ved hjælp af SOC 3 bestemmer serviceorganisationer, hvilke af disse Trust Services-kriterier, der gælder for den service, de tilbyder kunder. Du vil også finde yderligere rapportering, ydeevnekrav og applikationsvejledning i Statements on Standards.

Hvad er en SOC 3-rapport?

SOC 3-rapporter har samme information som SOC 2, men adskiller sig med hensyn til publikum. En SOC 3-rapport er kun beregnet til et generelt publikum. Disse rapporter er korte og indeholder ikke præcist de samme data som en SOC 2-rapport. De er bygget egnet til interessenter og informeret publikum.

Da en SOC 3-rapport er mere generel, kan den deles hurtigt og åbent på en virksomheds hjemmeside sammen med et segl, der beskriver dens overholdelse. Det hjælper med at holde trit med internationale regnskabsstandarder.

  Sådan tager du dit smarthome med udenfor

For eksempel tillader AWS offentlige downloads af SOC 3-rapporten.

Hvad er formålet med SOC 3?

Virksomheder, især små eller nystartede, har normalt ikke nok ressourcer til at kontrollere eller vedligeholde visse væsentlige tjenester internt. Derfor outsourcer disse virksomheder ofte tjenesterne til tredjepartsudbydere i stedet for at investere ekstra indsats eller penge i at bygge en ny afdeling til disse tjenester.

Outsourcing er således en bedre mulighed, men kan være risikabelt. Årsagen er, at en organisation deler kundedata eller følsomme oplysninger med tredjepartsudbydere afhængigt af de tjenester, organisationen vælger at outsource.

Organisationer må dog kun samarbejde med leverandører, der viser SOC 3-overensstemmelse.

Overholdelse af SOC 3 er baseret på AT-C Section 205 og AT-C Section 105 i SSAE 18. Den omfatter de grundlæggende oplysninger i den uafhængige ledelses beskrivelse og revisionspåtegning. Det gælder for alle tjenesteudbydere, der gemmer kundeoplysninger i skyen, inklusive PaaS-, IaaS- og SaaS-udbydere.

Hvordan opretholder man SOC 3-overensstemmelse?

SOC 3 er den efterfølgende version af SOC 2, så revisionsproceduren er den samme. Servicerevisorer søger følgende politikker og kontroller:

Når revisionen er afsluttet, genererer revisor en rapport baseret på resultaterne. Men en SOC 3-rapport er langt mindre detaljeret, da den kun deler den information, der er nødvendig for offentligheden. Serviceorganisationen deler frit resultaterne efter afsluttet slutrevision til markedsføringsøjemed. Den fortæller dig, hvad du skal fokusere på for at bestå revisionen. Så serviceorganisationen rådes til at:

  • Vælg omhyggeligt kontrollerne.
  • Udfør en vurdering for at identificere huller i kontrollerne
  • Find ud af den almindelige aktivitet
  • Beskriv de næste trin for alarmering af hændelser
  • Søg efter en kvalificeret servicerevisor til at udføre den afsluttende eksamen

Nu hvor du har en ide om hver type overholdelse, lad os forstå forskellene mellem de tre for at vide, hvordan de hjælper enhver virksomhed med at stå på markedet.

SOC 1 vs SOC 2 vs SOC 3: Forskelle

Følgende tabel beskriver formålene og fordelene ved hver SOC-rapport.

SOC 1SOC 2SOC 3Den giver udtalelser om type 1 design og type 2 design eller drift, herunder testprocedurer og resultater. En enkelt leverance til at imødekomme krav fra partnere om organisationens drift, herunder resultater og procedurer. Ligner SOC 2 overholdelse, men indeholder mindre information . Det inkluderer ikke testprocedurer, resultater eller kontroller. Det kontrollerer krav, der er væsentlige for de interne kontroller omkring finansiel rapportering. Ikke-finansielle kontroller vurderes med de fem tillidsprincipper, der er vigtige for emnet. Det afhænger også af de fem tillidstjenester Kriterier.Begrænset distribution til kunder og revisorer Begrænsede distributionsregulatorer, kunder og revisorer vil blive defineret i rapporten. Assistere i kundemarkedsføring. Ubegrænset distribution Opretholder gennemsigtighed om systemets beskrivelse, kontrol, procedure og resultat. Det giver et niveau af gennemsigtighed, der nøjagtigt svarer til SOC 1Generel distribution af rapporterne til markedsføringsfordele. Den fokuserer på økonomiske kontroller. Den fokuserer på operationelle kontroller. Den ligner SOC 2, men med mindre information. Den beskriver serviceorganisationens systemer. Den beskriver også serviceorganisationens systemer. Den beskriver CPA’s mening om enhedens tilstrækkelige kontroller over system.Det rapporterer interne kontroller.Det rapporterer tilgængelighed, privatliv, fortrolighed, behandlingsintegritet og sikkerhedskontroller. I lighed med SOC 2 bruger controllerens kontor og brugerrevisor SOC 1. Det deles under NDA af regulatorer, ledelse og andre. Det er tilgængeligt for offentligheden. De fleste revisorer er “Need to Know”. De fleste interessenter og kunder “Need to Know .”Generel offentlighedEksempel: behandlere af medicinske krav.Eksempel: cloud-lagervirksomhed.Eksempel: en offentlig virksomhed.

Konklusion

At beslutte, hvilken SOC-compliance, der vil være den bedst egnede for din organisation, kræver, at du visualiserer den type information, du har med at gøre, uanset om det er dine kunders data eller dine.

Hvis du tilbyder lønbehandlingstjenester, vil du måske bruge SOC 1. Hvis du behandler eller hoster kundedata, skal du muligvis have en SOC 2-rapport. På samme måde, hvis du har brug for mindre formel overholdelse, hvilket er bedst til markedsføringsformål, kan du måske gå med en SOC 3-rapport.