Dodržování průmyslových standardů shody, jako je SOC 2, se stalo pro podniky v této éře rizik zabezpečení a ochrany soukromí zásadní.
S digitální transformací se potřeba aplikací hostovaných v cloudu mnohonásobně zvýšila.
Ukládání dat na web však přináší rizika, protože útočníci přicházejí s novými způsoby, jak odhalit mezery v zabezpečení cloudové infrastruktury a získat přístup k datům.
To je důvod, proč je potřeba chránit vaše data, zejména pro podniky, které nakládají s finančními a citlivými zákaznickými daty.
Pokud dodržujete předpisy SOC 2, můžete lépe chránit svá data a zároveň zmírňovat rizika narušení dat.
V tomto článku budu hovořit o tom, co je shoda se SOC 2, a seznámím vás s obsáhlým kontrolním seznamem shody se SOC 2, který vám pomůže připravit se na audity.
Začněme!
Table of Contents
Co je soulad se SOC 2?
Shoda SOC 2, řízená a navržená Americkým institutem certifikovaných veřejných účetních (AICPA), slouží jako dobrovolná norma shody určená pro organizace založené na službách.
Systémové a organizační kontroly (SOC) 2 sestávají ze sady pokynů, které musí organizace dodržovat, aby prokázaly, že dodržují, jak spravují data svých zákazníků. A aby prokázali shodu, musí během auditů předkládat požadované zprávy.
SOC2 je založeno na kritériích Trust Services – zabezpečení, soukromí, důvěrnost, integrita zpracování a dostupnost jejich cloudového prostředí. Každá organizace, která se snaží dosáhnout souladu s touto normou, tedy musí zavést určité postupy a servisní kontroly, aby zajistila splnění těchto kritérií.
Kromě toho SOC 2 zajišťuje, aby podniky dodržovaly osvědčené postupy pro ochranu dat a správné zacházení s nimi. Organizace splňující požadavky SOC 2 mohou svým klientům ukázat, jak dodržují nejlepší průmyslový bezpečnostní standard pro zabezpečení zákaznických dat. Zákazníci si tak mohou být jisti, že jejich data jsou zabezpečena organizací.
Aby prokázala, že konkrétní organizace je v souladu se SOC 2, volí audity souladu se SOC 2. Když úspěšně projdou auditem shody SOC 2, použijí zprávu k prokázání, že používají nejlepší postupy a kontroly k zabezpečení zákaznických dat.
Organizace patřící do odvětví financí, zdravotnictví, vzdělávání a elektronického obchodování přísně dodržují soulad se SOC 2, aby chránily svá data. I když je soulad se SOC 2 drahý a časově náročný regulační proces, je zásadní pro udržení důvěry zákazníků a zajištění bezpečnosti dat a soukromí.
Pokud však dojde k přípravě na audit a prokázání, že podnik splňuje požadavky SOC 2, můžete použít kontrolní seznam souladu se SOC 2.
Význam dodržování SOC 2 pro podniky
V dnešní době jsou zákazníci citlivější na to, jak sdílejí své osobní a finanční údaje, a to při pohledu na bující kybernetické útoky.
Pro organizace, zejména ty, které využívají cloudové služby, se tedy stalo důležité získat důvěru svých zákazníků dodržováním SOC 2. Zde jsou některé z hlavních důvodů, proč je pro vaši organizaci důležité dodržovat SOC 2.
Jasnější bezpečnostní politika
Když vaše firma dosáhne souladu se SOC 2, pomůže jim to poskytnout svým klientům podrobnou bezpečnostní politiku. Umožňuje jim to také prokázat, že jsou plně v souladu se SOC 2 a používají osvědčené postupy k ochraně dat svých klientů.
Efektivní řízení rizik
Pokud se objeví problém se zabezpečením dat, bude pro vás snazší situaci efektivně zvládnout Proces shody SOC 2 zajistí, že vaše organizace takovou situaci zvládne. Všechny nouzové postupy jsou jasně vysvětleny a zaměstnanci mohou dodržovat všechny kroky postupu, aby byla zachována bezpečnost dat.
Získání důvěry nových zákazníků
S dodržováním SOC 2 implementovaným ve vašich podnicích vám pomůže získat důvěru potenciálních zákazníků. Když vaši potenciální klienti zkontrolují váš obchodní návrh, soulad se SOC 2 jim ukáže, že považujete zabezpečení dat za důležitý obchodní aspekt. Navíc ukazuje, že jste schopni zvládnout všechna jejich očekávání a požadavky na shodu.
Odpovězte efektivně na všechny dotazníky
Pro vaše podniky je naprosto nezbytné, aby byly v souladu se SOC 2, protože vám to pomůže efektivně reagovat na všechny bezpečnostní dotazníky od klientů. Pokud má váš klient nebo zákazník nějaké dotazníky o zabezpečení dat a IT pro vaši firmu, můžete na ně efektivně odpovědět všemi dokumenty, které máte z auditu SOC 2.
Úplný klid mysli
Zavedení souladu se SOC 2 vám poskytne naprostý klid, že vaše firma splňuje všechny nezbytné standardy pro ochranu dat vašich klientů. Když dosáhnete souladu, můžete si být jisti, že všechny vaše bezpečnostní kontroly pro ochranu dat fungují efektivně.
Správná dokumentace
Soulad se SOC 2 vyžaduje, abyste měli úplnou a přesnou dokumentaci zabezpečení. Tuto dokumentaci může organizace využít nejen k tomu, aby prošla auditem SOC 2, ale také k tomu, aby pomohla zaměstnancům dozvědět se o požadavcích vaší organizace na udržení optimálního zabezpečení. Dokumentace také ukazuje integritu vaší organizace a způsob, jakým je každá kontrola zabezpečení prověřena.
Kontrolní seznam shody SOC 2
Je velmi důležité řádně připravit vaši organizaci na shodu se SOC 2, abyste mohli standardem úspěšně projít.
Přestože AICPA neposkytuje žádný oficiální kontrolní seznam shody SOC 2, existuje několik dobře známých kroků, které pomohly mnoha organizacím splnit standard shody. Zde je tedy kontrolní seznam shody SOC 2, který byste měli při přípravě na audit dodržovat.
#1. Stanovení vašeho cíle
Vaším prvním úkolem, než začnete pracovat na splnění požadavků SOC 2, je určit účel nebo požadavek na zprávu SOC 2. Budete muset určit hlavní cíl vašeho požadavku na dosažení souladu se SOC 2.
Ať už chcete, aby to zlepšilo vaši bezpečnost nebo získalo náskok před konkurencí, měli byste si správně vybrat cíl. I když vaši klienti nic nepožadují, je nejlepší dodržovat shody, abyste ochránili svá zákaznická data. Navíc vám pomůže přilákat nové zákazníky, kteří si ověřují přístup společnosti k bezpečnosti.
#2. Identifikujte typ zprávy SOC 2
V tomto kroku určete typ zprávy SOC 2, kterou potřebujete, protože se dodávají ve variantách typu 1 a typu 2. V závislosti na vašich potřebách zabezpečení, požadavcích zákazníků nebo obchodních pracovních postupech vyberte typ zprávy SOC 2.
- Zpráva SOC 2 typu 1 ukazuje, že všechny vaše vnitřní kontroly účinně vyhovují požadavku na kontrolní seznam SOC 2 v konkrétní době auditu. Během auditu typu 1 auditoři řádně posoudí všechny vaše kontroly, zásady a postupy, aby určili, že vaše kontroly jsou navrženy tak, aby vyhovovaly kritériím SOC 2.
- Zpráva SOC 2 typu 2 definuje, že všechny vaše vnitřní kontroly po určitou dobu efektivně fungují, aby splnily všechna příslušná kritéria SOC 2. Jedná se o přísný proces hodnocení, kdy auditor nejen kontroluje, zda jsou kontroly vhodně navrženy, ale také posuzuje, zda kontroly fungují efektivně.
# 3. Určete svůj rozsah
Určení rozsahu vašeho auditu SOC 2 je zásadní kontrolní seznam, který byste měli mít na paměti. Když definujete rozsah, ukazuje to vaše hluboké znalosti týkající se zabezpečení dat vaší organizace. Při určování rozsahu vašeho auditu byste měli zvolit správné TSC, které se vztahuje na typ dat, která vaše firma uchovává nebo provádí transakce.
Zabezpečení jako TSC je povinné, protože definuje, že všechna zákaznická data musí být chráněna proti neoprávněnému použití.
- Pokud váš zákazník vyžaduje ujištění ohledně dostupnosti informací a systému pro jeho provoz, můžete definovat rozsah vašeho auditu výběrem „Dostupnost“.
- Pokud uchováváte citlivé informace o svých klientech, které jsou důvěrné nebo mají smlouvy o mlčenlivosti, měli byste jako TSC zvolit „Důvěrnost“. Zajistí, že tato data budou zcela chráněna, aby splnila cíl vašeho klienta.
- Při definování rozsahu můžete také přidat „Soukromí“, pokud se zabýváte mnoha osobními údaji svých klientů pro obchodní operace.
- Pokud zpracováváte a autorizujete mnoho životně důležitých zákaznických operací, jako jsou mzdy a finanční workflow, měli byste v rozsahu vybrat „Integrita zpracování“.
Při definování rozsahu nemusíte zahrnout všech pět TSC. Obecně platí, že „Dostupnost“ a „Důvěrnost“ jsou většinou zahrnuty spolu se „Zabezpečením“.
#4. Provádějte interní hodnocení rizik
Jedním z důležitých kontrolních seznamů pro vaši cestu splnění požadavků SOC 2 je provádění interního zmírňování a hodnocení rizik. Při provádění hodnocení byste měli hledat rizika související s umístěním, osvědčenými postupy infosec a růstem. Dále uveďte tato rizika z potenciální zranitelnosti a hrozeb.
Po posouzení byste měli zavést všechny nezbytné bezpečnostní kontroly nebo opatření k vyřešení těchto rizik podle kontrolního seznamu SOC 2. Pokud však během procesu vyhodnocení rizik dojde k nějakému nedopatření nebo výpadku, může to vést k zranitelnosti, která může vážně narušit váš proces dodržování SOC 2.
#5. Proveďte analýzu a sanaci mezer
V této fázi proveďte analýzu nedostatků posouzením všech praktik a postupů vašeho podnikání. Při jejich analýze musíte porovnat jejich stav shody s kontrolním seznamem shody SOC 2 a standardními průmyslovými postupy.
Když provádíte analýzu, můžete identifikovat ovládací prvky, zásady a postupy, které vaše organizace již používá, a zkontrolovat, jak splňují požadavky SOC 2. Pomohlo by, kdybyste okamžitě odstranili mezery pomocí nových nebo upravených ovládacích prvků, které se mohou objevit během analýzy mezer.
Navíc možná budete muset upravit pracovní postup a vytvořit novou řídicí dokumentaci pro sanaci mezer. Měli byste zahrnout hodnocení rizika, abyste mohli napravit mezeru podle priority.
Ujistěte se, že si uchováváte všechny protokolové zprávy, snímky obrazovky a bezpečnostní procesy a postupy jako důkaz, který budete muset předložit jako důkaz o dodržování SOC 2.
#6. Nasaďte ovládací prvky vhodné pro fázi
V závislosti na TSC vyberete, zarovnáte a nainstalujete ovládací prvky pro generování zpráv o tom, jak vaše organizace zajišťuje soulad se SOC 2. Musíte nainstalovat interní ovládací prvky pro každé kritérium TSC, pro které se rozhodnete při definování svého rozsahu.
Kromě toho budete muset zavést tyto vnitřní kontroly prostřednictvím zásad a postupů, které splňují všechna kritéria TSC. Při zavádění vnitřních kontrol zajistěte, aby byly přiměřené. Přestože různé organizace mohou implementovat různé vnitřní kontroly, všechny splňují kritéria SOC 2.
Například organizace nasadí bránu firewall pro zabezpečení, zatímco některé jiné organizace mohou implementovat dvoufaktorové ověřování.
#7. Posoudit připravenost
Proveďte posouzení připravenosti vašeho systému s pomocí auditora, kterým může být vaše společnost nebo nezávislý dodavatel. Auditor vám pomůže určit, zda vaše firma splňuje všechny minimální požadavky na shodu s SOC 2, než půjdete na závěrečný audit.
Během hodnocení byste se měli zaměřit na kontrolní matici, dokumentaci auditora, spolupráci s klientem a analýzu nedostatků. Jakmile je posouzení dokončeno, auditor předloží svou zprávu.
Na základě zprávy byste měli provést potřebné změny a napravit všechny problémy a mezery přemapováním. Pomůže vám vytvořit zprávu, která zvýší vaše šance na dosažení souladu se SOC 2.
#8. Proveďte audit SOC 2
Přichází závěrečná část. Budete si muset najmout certifikovaného auditora, který provede audit SOC 2 a poskytne zprávu. Vždy je nejlepší najmout si auditora, který je zkušený a známý pro provádění auditu vašeho typu podnikání. Proces auditu nejenže vyžaduje vysoké počáteční náklady, ale také zabere spoustu času.
Audit SOC 2 typu 1 může skončit rychle, ale u auditu SOC 2 typu 2 může jeho dokončení trvat jeden měsíc až šest měsíců.
- Audit typu 1 nezahrnuje žádné období sledování a auditor poskytuje pouze přehled všech kontrol a systémů vaší cloudové infrastruktury, aby byla splněna shoda se SOC 2.
- Doba pro dokončení auditu typu 2 závisí hodně na otázce, kterou auditor položí, dostupnosti zpráv a množství potřebných oprav. Obecně však audity typu 2 trvají minimálně tři měsíce pro monitorování.
Během tohoto období budete muset být neustále v kontaktu se svým auditorem, protože mu budete poskytovat důkazy, odpovídat na všechny jeho otázky a zjišťovat všechny neshody. To je důvod, proč mnoho klientů hledá zprávy SOC 2 typu 2, protože poskytují podrobnou zprávu o kontrole vaší infrastruktury a účinnosti bezpečnostních opatření.
# 10. Nepřetržité monitorování
Jakmile skončí audit SOC 2 a dosáhnete zprávy o shodě SOC 2, neměli byste u toho skončit. Je to jen začátek vaší cesty k dodržování předpisů a musíte provádět neustálé monitorování, abyste zajistili nepřetržité dodržování souladu se SOC 2 a zachovali bezpečnost dat a soukromí.
Při implementaci efektivního procesu nepřetržitého monitorování byste se měli ujistit, že je škálovatelný a neomezuje produktivitu, snadno shromažďuje důkazy a poskytuje upozornění, když není nasazena kontrola.
Závěr
Zůstat v souladu s předpisy, jako je SOC 2, se pro podniky, dodavatele SaaS a organizace pracující s cloudovými službami stalo nezbytností. To jim pomáhá efektivně spravovat a chránit zákaznická a obchodní data.
Dosažení souladu se SOC 2 pro vaši organizaci je náročný, ale velmi potřebný úkol. Vyžaduje, abyste neustále sledovali své ovládací prvky a systémy. Poskytuje vám nejen výhodu nad konkurencí, ale také nabízí zabezpečení dat a ochranu soukromí klientům a zákazníkům.
Ačkoli AICPA neposkytuje žádný oficiální kontrolní seznam shody SOC 2, výše uvedený kontrolní seznam shody SOC 2, který jsem zmínil výše, vám pomůže připravit se na SOC 2 a zvýší vaše šance na úspěch.
Můžete si také přečíst o shodě SOC 1 vs. SOC 2 vs. SOC 3.