Pochopení souladu SOC 1 vs SOC 2 vs SOC 3

autor:
Tweet
Share
Share
Pin

Dodržování platných norem a předpisů má zásadní význam pro úspěšný růst každé organizace.

Představte si, že provozujete softwarovou službu (SaaS) a zaměřujete se na středně velké firmy. V takovém případě je nezbytné, abyste se řídili aktuálními zákony a regulacemi a udržovali vysokou úroveň zabezpečení vaší společnosti.

Mnoho firem se pokouší obejít tyto požadavky pomocí bezpečnostních dotazníků.

Nicméně, když zákazník nebo klient vyžaduje certifikát SOC, uvědomíte si důležitost souladu s předpisy.

Soulad s normou Service Organization Control (SOC) je typ certifikace, kdy nezávislý auditor prověří, zda vaše organizace dodržuje stanovené kontrolní postupy. Shoda SOC se také vztahuje na dodavatelský řetězec a kybernetickou bezpečnost.

V dubnu 2010 Americký institut certifikovaných veřejných účetních (AICPA) oznámil změnu standardu SAS 70. Nový a vylepšený auditorský standard byl nazván Statement on Standards for Attestation Engagements (SSAE 16).

Spolu s auditem SSAE 16 vznikly další tři zprávy, které se zabývají kontrolami servisní organizace. Tyto zprávy jsou označovány jako zprávy SOC a zahrnují tři typy – SOC 1, SOC 2 a SOC 3, přičemž každá má odlišné cíle.

V tomto článku probereme jednotlivé zprávy SOC, jejich využití a roli v IT bezpečnosti.

Začínáme!

Co je vlastně zpráva SOC?

Zprávy SOC lze považovat za konkurenční výhodu, která organizaci přináší úsporu času i peněz. Externí a nezávislí auditoři prověřují různé aspekty organizace, například:

  • Dostupnost
  • Důvěrnost
  • Ochrana soukromí
  • Integrita zpracování dat
  • Bezpečnost
  • Kontroly spojené s kybernetickou bezpečností
  • Kontroly související s účetním výkaznictvím

Zprávy SOC poskytují firmám jistotu, že potenciální poskytovatelé služeb jednají v souladu s předpisy a eticky. Ačkoliv audity mohou být náročné, přinášejí vysokou úroveň bezpečnosti a důvěry. Zprávy SOC pomáhají budovat důvěryhodnost a spolehlivost poskytovatelů služeb.

Zprávy SOC jsou užitečné také pro:

  • Programy pro správu dodavatelů
  • Dohled nad organizací
  • Regulační dohled
  • Proces řízení rizik a vnitřní podnikové řízení

Proč je zpráva SOC nezbytná?

Řada servisních organizací, jako jsou datová centra, poskytovatelé SaaS, poskytovatelé úvěrů a zpracovatelé pojistných událostí, musí projít auditem SOC. Tyto organizace musí uchovávat finanční nebo citlivá data svých klientů či uživatelů.

Obecně platí, že každá společnost, která poskytuje služby jiným firmám nebo uživatelům, může z auditu SOC profitovat. Zpráva SOC nejenže informuje potenciální klienty o legitimitě společnosti, ale také odhaluje nedostatky a slabá místa ve vašich kontrolách a klientech prostřednictvím hodnotících procesů.

Co můžete očekávat od hodnocení SOC?

Než se pustíte do procesu hodnocení SOC, je třeba si ujasnit, jaký typ zprávy SOC je pro vaši organizaci nejvhodnější. Následně začne oficiální proces s hodnocením připravenosti.

Servisní organizace se na audit připravují identifikací potenciálních rizik, nedostatků, mezer a dalších problémů. Tímto způsobem může společnost lépe porozumět možnostem, jak tyto nedostatky a slabá místa odstranit.

Kdo může provádět audit SOC?

Audity SOC provádějí nezávislí certifikovaní veřejní účetní (CPA) nebo účetní firmy.

AICPA stanovuje odborné standardy pro regulaci práce auditorů SOC. Kromě toho musí organizace dodržovat určité pokyny týkající se provádění, plánování a dohledu.

Každý audit AICPA podléhá peer review. Organizace nebo firmy CPA také angažují odborníky bez CPA, kteří mají znalosti v oblasti informačních technologií a zabezpečení, aby se na audit SOC připravili. Závěrečná zpráva však musí být přezkoumána a publikována CPA.

Pojďme si projít každou zprávu zvlášť, abychom pochopili, jak fungují.

Co je SOC 1?

Hlavním cílem SOC 1 je kontrola cílů v rámci dokumentů SOC 1 a procesních oblastí vnitřních kontrol, které jsou relevantní pro audit účetní závěrky uživatelské entity.

Zjednodušeně řečeno, určuje, zda služby organizace mají vliv na účetní výkaznictví uživatelské entity.

Co je zpráva SOC 1?

Zpráva SOC 1 identifikuje kontrolní mechanismy servisní organizace relevantní pro kontrolu účetního výkaznictví uživatelské entity. Je navržena tak, aby splňovala požadavky uživatelských subjektů. Účetní přitom hodnotí účinnost interních kontrol servisní organizace.

Existují dva typy zpráv SOC 1:

  • SOC 1 Typ 1: Tato zpráva se zaměřuje na systém servisní organizace a kontroluje vhodnost kontrolních mechanismů k dosažení kontrolních cílů, a to včetně popisu ke stanovenému datu.

Zprávy SOC 1 typu 1 jsou určeny pouze pro auditory, management a uživatelské subjekty, poskytovatelé služeb obvykle patří do jakékoli servisní organizace. Servisní auditor připraví zprávu, která splňuje všechny požadavky SSAE 16.

  • SOC 1 Typ 2: Tato zpráva obsahuje podobné názory a analýzy jako zpráva SOC 1 Typ 1. Navíc zahrnuje hodnocení účinnosti předem stanovených kontrol navržených k dosažení všech kontrolních cílů za určité období.

V rámci zprávy SOC 1 typu 2 jsou kontrolní cíle vázány na potenciální rizika, která má interní kontrola zmírnit. Rozsah zahrnuje příslušné kontrolní oblasti a poskytuje přiměřenou záruku. Také udává, že existuje omezení pouze na provádění povolených a vhodných akcí.

Jaký je účel SOC 1?

Jak již bylo zmíněno, SOC 1 je první částí série Service Organization Control, která se zaměřuje na interní kontroly v účetním výkaznictví. Používá se u podniků, které přímo pracují s finančními daty partnerů a zákazníků.

Zabezpečuje tak interakci organizace, ukládání finančních dat uživatelů a jejich přenos. Zpráva SOC 1 však pomáhá investorům, zákazníkům, auditorům a managementu vyhodnotit interní kontroly týkající se finančního výkaznictví v rámci pokynů AICPA.

Jak udržovat soulad se SOC 1?

Shoda SOC 1 popisuje proces správy všech kontrol SOC 1 uvedených ve zprávě SOC 1 za dané období. Zajišťuje efektivní fungování pravidel SOC 1.

Kontroly jsou obecně IT kontroly, kontroly obchodních procesů atd., které se používají k poskytování přiměřené jistoty na základě kontrolních cílů.

Co je SOC 2?

SOC 2, vyvinutá organizací AICPA, definuje kritéria pro kontrolu nebo správu informací o zákaznících, založená na 5 principech poskytování důvěryhodných služeb. Těmito principy jsou:

  • Dostupnost: Zahrnuje obnovu po havárii, řešení bezpečnostních incidentů a sledování výkonu.
  • Ochrana soukromí: Zahrnuje šifrování, dvoufaktorové ověřování (2FA) a řízení přístupu.
  • Bezpečnost: Zahrnuje detekci průniku, dvoufaktorové ověřování a síťové i aplikační firewally.
  • Důvěrnost: Zahrnuje řízení přístupu, šifrování a aplikační firewally.
  • Integrita zpracování: Zahrnuje monitorování zpracování a zajištění kvality.

SOC 2 je na rozdíl od PCI DSS jedinečný pro každou organizaci díky svým přísným požadavkům. Každá kontrola je upravena tak, aby vyhovovala specifickým obchodním praktikám a splňovala různé zásady důvěry.

Co je zpráva SOC 2?

Zpráva SOC 2 umožňuje servisním organizacím přijímat a sdílet s relevantními stranami zprávu popisující obecné IT kontroly, které jsou zavedeny pro zabezpečení dat.

Existují dva typy zpráv SOC 2:

  • SOC 2 Typ 1: Popisuje systémy dodavatele a posuzuje, zda je návrh dodavatele vhodný pro splnění zásad důvěry.
  • SOC 2 Typ 2: Zahrnuje podrobnosti o provozní efektivitě systémů dodavatele.

SOC 2 se liší v závislosti na organizaci, pokud jde o rámce a standardy zabezpečení informací, protože neexistují žádné striktní požadavky. AICPA poskytuje kritéria, která si servisní organizace vybírá, aby prokázala zavedení kontrol, které mají za úkol chránit nabízené služby.

Jaký je účel SOC 2?

Soulad s normou SOC 2 ukazuje, že organizace kontroluje a udržuje vysokou úroveň zabezpečení informací. Přísné dodržování předpisů umožňuje organizacím zajistit, aby jejich důležité informace byly v bezpečí.

Dosažením souladu se SOC 2 získáte:

  • Vylepšené postupy zabezpečení dat, které chrání organizace před kybernetickými útoky a narušením bezpečnosti.
  • Konkurenční výhodu, protože zákazníci chtějí spolupracovat s poskytovateli služeb, kteří mají solidní postupy zabezpečení dat, zejména pro cloudové a IT služby.

Omezuje neoprávněné použití dat a aktiv, se kterými organizace pracuje. Zásady zabezpečení vyžadují, aby organizace přidaly kontroly přístupu k ochraně dat před škodlivými útoky, zneužitím, neoprávněným zveřejněním nebo pozměněním firemních informací a neoprávněným smazáním dat.

Jak udržovat soulad se SOC 2?

Shoda SOC 2 je dobrovolný standard vyvinutý organizací AICPA, který specifikuje, jak organizace spravuje informace o svých zákaznících. Standard je definován pomocí pěti kritérií Trust Services, tj. zabezpečení, integrita zpracování, důvěrnost, ochrana soukromí a dostupnost.

Shoda SOC je přizpůsobena potřebám každé organizace. V závislosti na obchodních postupech si organizace může vybrat návrh kontrol, které se mají řídit jedním nebo více principy důvěryhodných služeb. Rozšiřuje se na všechny služby, včetně ochrany DDoS, vyvažování zátěže, analýzy útoků, zabezpečení webových aplikací, doručování obsahu prostřednictvím CDN a dalších.

Zjednodušeně řečeno, soulad se SOC 2 není popisný seznam nástrojů, procesů nebo kontrol. Spíše stanovuje potřebu kritérií, která jsou zásadní pro zachování bezpečnosti informací. To umožňuje každé organizaci přijmout nejlepší procesy a postupy, které jsou relevantní pro její provoz a cíle.

Níže je uveden kontrolní seznam základní shody SOC 2:

  • Řízení přístupu
  • Provoz systémů
  • Zmírňování rizik
  • Řízení změn

Co je SOC 3?

SOC 3 je postup auditu, který AICPA vyvíjí za účelem definování síly interní kontroly servisní organizace nad datovými centry a zabezpečením cloudu. Rámec SOC 3 je také založen na kritériích důvěryhodných služeb, která zahrnují:

  • Bezpečnost: Systémy a informace jsou zabezpečeny před neoprávněným prozrazením, neoprávněným přístupem a poškozením systémů.
  • Integrita procesu: Systémové zpracování je platné, přesné, autorizované, včasné a úplné, aby splňovalo požadavky subjektu.
  • Dostupnost: Systémy a informace jsou k dispozici pro použití a provoz, aby vyhovovaly požadavkům subjektu.
  • Ochrana soukromí: Osobní údaje se používají, zveřejňují, likvidují, uchovávají a shromažďují za účelem splnění požadavků subjektu.
  • Důvěrnost: Informace označené jako kritické jsou chráněny tak, aby splňovaly požadavky subjektu.

S pomocí SOC 3 servisní organizace určují, která z těchto kritérií důvěryhodných služeb platí pro službu, kterou nabízejí zákazníkům. V prohlášeních o standardech naleznete také další výkazy, požadavky na výkon a pokyny k aplikaci.

Co je zpráva SOC 3?

Zprávy SOC 3 obsahují stejné informace jako zprávy SOC 2, ale liší se z hlediska cílové skupiny. Zpráva SOC 3 je určena pro širokou veřejnost. Tyto zprávy jsou stručné a neobsahují přesně stejné detaily jako zprávy SOC 2. Jsou navrženy tak, aby byly srozumitelné pro zainteresované strany a informovanou veřejnost.

Zpráva SOC 3 je obecnější, proto ji lze rychle a otevřeně sdílet na webových stránkách společnosti spolu s pečetí potvrzující její soulad. Pomáhá dodržovat mezinárodní účetní standardy.

Například AWS umožňuje veřejné stažení zprávy SOC 3.

Jaký je účel SOC 3?

Společnosti, zejména ty menší nebo začínající, obvykle nemají dostatek zdrojů pro interní řízení nebo údržbu určitých základních služeb. Proto často zadávají tyto služby externím poskytovatelům, namísto aby investovaly další úsilí nebo peníze do budování nového oddělení pro dané služby.

Outsourcing je lepší volbou, ale může být riskantní. Důvodem je to, že organizace sdílí zákaznická data nebo citlivé informace s poskytovateli třetích stran v závislosti na službách, pro které se rozhodne outsourcing použít.

Organizace by však měla spolupracovat pouze s dodavateli, kteří prokážou soulad se SOC 3.

Shoda se SOC 3 vychází z AT-C oddílu 205 a AT-C oddílu 105 SSAE 18. Obsahuje základní informace z popisu nezávislého vedení a zprávy auditora. Vztahuje se na všechny poskytovatele služeb, kteří uchovávají informace o zákaznících v cloudu, včetně poskytovatelů PaaS, IaaS a SaaS.

Jak udržovat soulad se SOC 3?

SOC 3 je pokračováním SOC 2, takže postup auditu je stejný. Servisní auditoři kontrolují následující principy a kontroly:

Po dokončení auditu auditor vytvoří zprávu na základě svých zjištění. Zpráva SOC 3 je však mnohem méně podrobná, protože sdílí pouze informace, které jsou relevantní pro veřejnost. Servisní organizace výsledky po dokončení závěrečného auditu volně sdílí pro marketingové účely. Zpráva vám dává návod, na co se zaměřit, abyste audit úspěšně prošli. Servisní organizaci se doporučuje:

  • Opatrně vybírat ovládací prvky.
  • Provést hodnocení s cílem identifikovat mezery v kontrolách.
  • Zvážit pravidelnou činnost.
  • Zpracovat postupy pro upozorňování na incidenty.
  • Vyhledat kvalifikovaného servisního auditora, který provede závěrečnou zkoušku.

Nyní, když máte představu o každém typu shody, pojďme pochopit rozdíly mezi těmito třemi, abychom věděli, jak pomáhají firmám na trhu.

SOC 1 vs SOC 2 vs SOC 3: Rozdíly

Následující tabulka popisuje účely a výhody každé zprávy SOC.

SOC 1 SOC 2 SOC 3
Popis Poskytuje stanoviska o typu 1 (návrh) a typu 2 (návrh a provoz), včetně testovacích postupů a výsledků. Jediný výstup, který řeší požadavky partnerů na provoz organizace, včetně výsledků a postupů. Podobné splnění SOC 2, ale obsahuje méně informací. Neobsahuje testovací postupy, výsledky ani kontroly.
Účel Kontroluje požadavky nezbytné pro vnitřní kontroly týkající se finančního výkaznictví. Nefinanční kontroly se posuzují podle pěti zásad důvěry, které jsou nezbytné pro daný předmět. Závisí také na pěti službách důvěryhodnosti. Závisí také na pěti kritériích důvěryhodnosti služeb.
Distribuce Omezená distribuce zákazníkům a auditorům Omezené distribuční regulační orgány, zákazníci a auditoři budou definováni ve zprávě. Pomoc při marketingu klientů. Neomezená distribuce.
Transparentnost Udržuje transparentnost popisu systému, ovládání, postupu a výsledku. Poskytuje úroveň transparentnosti přesně podobnou SOC 1. Obecná distribuce zpráv pro marketingové výhody.
Zaměření Zaměřuje se na finanční kontroly. Zaměřuje se na provozní kontroly. Je podobný SOC 2, ale obsahuje méně informací.
Systémy Popisuje systémy servisní organizace. Popisuje také systémy servisní organizace. Popisuje názor CPA na přiměřené kontroly účetní jednotky nad systémem.
Kontroly Zpráva o interních kontrolách. Zpráva o dostupnosti, ochraně soukromí, důvěrnosti, integritě zpracování a bezpečnosti. Podobně jako u SOC 2.
Cílová skupina Kancelář kontrolorů uživatelů a uživatelský auditor používají SOC 1. Sdílí se pod NDA s regulačními orgány, managementem a dalšími. Je k dispozici veřejnosti.
Požadavek „Potřebuje vědět“ Většina auditorů „Potřebuje vědět“. Většina zúčastněných stran a zákazníků „Potřebuje vědět“. Obecná veřejnost.
Příklad Příklad: zpracovatelé lékařských nároků. Příklad: společnost cloudového úložiště. Příklad: veřejný podnik.

Závěr

Rozhodnutí o tom, která shoda SOC je pro vaši organizaci nejvhodnější, vyžaduje vizualizaci typu informací, se kterými pracujete, ať už se jedná o data vašich zákazníků, nebo vaše vlastní.

Pokud nabízíte služby zpracování mezd, zvažte použití SOC 1. Pokud zpracováváte nebo hostujete zákaznická data, budete pravděpodobně potřebovat zprávu SOC 2. A konečně, pokud potřebujete méně formální shodu, která je vhodná pro marketingové účely, může být pro vás vhodná zpráva SOC 3.