Pochopení souladu SOC 1 vs SOC 2 vs SOC 3

autor:
Tweet
Share
Share
Pin

Dodržování předpisů je zásadním aspektem růstu vaší organizace.

Předpokládejme, že chcete provozovat službu SaaS a cílit na středně velké zákazníky. V takovém případě musíte dodržovat platná pravidla a předpisy a udržovat pro svou společnost silnější bezpečnostní pozici.

Mnoho organizací se snaží tyto požadavky obejít aplikací bezpečnostních dotazníků.

Když tedy zákazník nebo klient požaduje certifikát SOC, můžete si uvědomit, jak důležité je dodržovat předpisy.

Soulad se službou Service Organization Control (SOC) se týká typu certifikace, ve které organizace dokončí audit třetí strany, který ukazuje určité kontroly, které vaše organizace má. Shoda SOC se vztahuje také na dodavatelský řetězec a kybernetickou bezpečnost SOC.

V dubnu 2010 americký institut certifikovaných veřejných účetních (AICPA) oznámil změnu SAS 70. Vylepšený a nový auditorský standard se jmenuje Statement on Standards for Atestation Engagements (SSAE 16).

Spolu s auditem SSAE 16 byly také vytvořeny tři další zprávy, které prověřují kontroly servisní organizace. Tyto zprávy se nazývají zprávy SOC, které obsahují tři zprávy – zprávy SOC 1, SOC 2 a SOC 3 nesoucí různé cíle.

V tomto článku se zmíním o každé zprávě SOC a o tom, kde je použít a jak zapadají do bezpečnosti IT.

Tady jsme!

Co přesně je zpráva SOC?

Zprávy SOC lze považovat za konkurenční výhodu prospěšnou organizaci z hlediska peněz a času. Využívá externí auditory a nezávislé auditory ke zkoumání různých aspektů organizace, včetně:

  • Dostupnost
  • Důvěrnost
  • Soukromí
  • Integrita zpracování
  • Bezpečnostní
  • Kontroly související s kybernetickou bezpečností
  • Kontroly související s účetním výkaznictvím

Zprávy SOC umožňují společnosti cítit jistotu, že potenciální poskytovatelé služeb fungují v souladu a eticky. Přestože audity mohou být složité, mohou nabídnout nesmírnou bezpečnost a důvěru. Zprávy SOC pomáhají stanovit důvěryhodnost a důvěryhodnost poskytovatele služeb.

Kromě toho jsou zprávy SOC užitečné pro:

  • Programy pro správu prodejců
  • Dohled nad organizací
  • Regulační dohled
  • Proces řízení rizik a vnitřní podnikové řízení

Proč je zpráva SOC nezbytná?

Několik servisních organizací, jako jsou společnosti s datovými centry, poskytovatelé SaaS, poskytovatelé půjček a zpracovatelé nároků, musí projít zkouškou SOC. Tyto organizace potřebují uchovávat finanční údaje nebo citlivá data svých klientů nebo uživatelských subjektů.

Takže každá společnost poskytující služby jiným společnostem nebo uživatelům může mít prospěch ze zkoušky SOC. Zpráva SOC nejen dává vašim potenciálním klientům vědět, že společnost je legitimní, ale také před vámi odhaluje nedostatky a slabé stránky vašich kontrol nebo klientů prostřednictvím hodnotících procesů.

Co můžete očekávat od hodnocení SOC?

Než projdete procesem hodnocení SOC, musíte určit, jaký typ zprávy SOC potřebujete, který bude vaší organizaci nejvíce vyhovovat. Dále bude zahájen oficiální proces s hodnocením připravenosti.

Servisní organizace se na zkoušku připravují identifikací potenciálních varovných signálů, mezer, nedostatků a dalších. Tímto způsobem může společnost porozumět dostupným možnostem k nápravě těchto nedostatků a slabin.

  6 nejlepších zprostředkovatelů zpráv pro moderní aplikace

Kdo může provádět audit SOC?

Audity SOC provádějí nezávislí certifikovaní veřejní účetní (CPA) nebo účetní firmy.

AICPA zavádí profesionální standardy, které mají regulovat práci auditorů SOC. Kromě toho musí organizace dodržovat určité pokyny týkající se provádění, plánování a dohledu.

Každý audit AICPA pak prochází peer review. Organizace nebo firmy CPA také najímají odborníky bez CPA s informačními technologiemi a bezpečnostními dovednostmi, aby se připravili na audit SOC. Závěrečná zpráva však musí být zkontrolována a zveřejněna CPA.

Pojďme si projít každý přehled zvlášť, abychom pochopili, jak fungují.

Co je SOC 1?

Hlavním cílem SOC 1 je kontrola cílů v rámci dokumentů SOC 1 a procesních oblastí vnitřních kontrol, které jsou relevantní pro audit účetní závěrky uživatelské účetní jednotky.

Jednoduše řečeno, řekne vám, kdy služby organizace ovlivňují účetní výkaznictví uživatelské entity.

Co je zpráva SOC 1?

Zpráva SOC 1 určuje kontrolu servisní organizace použitelnou pro kontrolu uživatelské účetní jednotky nad účetním výkaznictvím. Je navržen tak, aby splňoval požadavky uživatelských subjektů. Účetní přitom hodnotí účinnost vnitřních kontrol servisní organizace.

Existují dva typy zpráv SOC 1:

  • SOC 1 Typ 1: Tato zpráva se obecně soustředí na systém servisní organizace a kontroluje vhodnost systémových kontrol k dosažení kontrolních cílů spolu s popisem ke stanovenému datu.

Zprávy SOC 1 typu 1 jsou omezeny pouze na auditory, manažery a uživatelské subjekty, poskytovatelé služeb obvykle patří do jakékoli servisní organizace. Servisní auditor stanoví zprávu, která pokrývá všechny požadavky SSAE 16.

  • SOC 1 Typ 2: Tato zpráva má podobné názory a analýzy jako ve zprávě SOC 1 Typ 1. Zahrnuje však názory na účinnost předem stanovených kontrol navržených k dosažení všech kontrolních cílů za určité období.

Ve zprávě SOC 1 typu 2 vedou kontrolní cíle k potenciálním rizikům, která chce vnitřní kontrola zmírnit. Rozsah zahrnuje příslušné kontrolní domény a nabízí přiměřené záruky. Také říká, že existuje omezení na provádění pouze oprávněných a vhodných akcí.

Jaký je účel SOC 1?

Jak jsme již diskutovali, SOC 1 je první částí série Service Organization Control, která se zabývá vnitřními kontrolami napříč účetním výkaznictvím. Je použitelný pro podniky, které přímo interagují s finančními daty partnerů a zákazníků.

Zabezpečuje tak interakci organizace, uchovává finanční výkazy uživatelů a přenáší je. Zpráva SOC 1 však pomáhá investorům, zákazníkům, auditorům a managementu vyhodnotit vnitřní kontroly týkající se finančního výkaznictví v rámci směrnic AICPA.

Jak udržovat soulad se SOC 1?

Shoda SOC 1 definuje proces správy všech kontrol SOC 1 přidaných do zprávy SOC 1 za definované období. Zajišťuje efektivitu fungování pravidel SOC 1.

Kontroly jsou obecně kontroly IT, kontroly obchodních procesů atd., které se používají k poskytování přiměřené jistoty na základě cílů kontroly.

Co je SOC 2?

SOC 2, vyvinutý AICPA, popisuje kritéria pro kontrolu nebo správu informací o zákaznících založená na 5 principech poskytování důvěryhodných služeb: Tyto principy jsou:

  • Dostupnost zahrnuje zotavení po havárii, řešení bezpečnostních incidentů a monitorování výkonu.
  • Soukromí: Zahrnuje šifrování, dvoufaktorové ověřování (2FA) a řízení přístupu.
  • Zabezpečení: Zahrnuje detekci narušení, dvoufaktorové ověřování a síťové nebo aplikační brány firewall.
  • Důvěrnost: Zahrnuje řízení přístupu, šifrování a aplikační brány firewall.
  • Integrita zpracování: Zahrnuje monitorování zpracování a zajištění kvality.

SOC 2 je na rozdíl od PCI DSS jedinečný pro každou organizaci díky svým přísným požadavkům. Díky specifickým obchodním praktikám má každý návrh kontrolu, aby vyhovoval několika zásadám důvěry.

  Jak zajistit, aby aplikace KDE vypadaly normálně v Gnome s motivem Adwaita-Qt

Co je zpráva SOC 2?

Zpráva SOC 2 umožňuje servisním organizacím přijímat a sdílet zprávu se zúčastněnými stranami, která popisuje obecné; IT kontroly, které jsou na místě bezpečné.

Existují dva typy zpráv SOC 2:

  • SOC 2 Typ 1: Popisuje systémy dodavatele a říká, zda je návrh dodavatele vhodný pro splnění zásad důvěry.
  • SOC 2 Typ 2: Sdílí podrobnosti o provozní efektivitě systémů prodejce.

SOC 2 se liší organizace od organizace, pokud jde o rámce a standardy bezpečnosti informací, protože neexistují žádné definované požadavky. AICPA poskytuje kritéria, která si servisní organizace vybírá, aby prokázala kontroly, které mají k ochraně nabízených služeb.

Jaký je účel SOC 2?

Soulad s SOC 2 naznačuje, že organizace kontroluje a udržuje vysokou úroveň zabezpečení informací. Přísné dodržování předpisů umožňuje organizacím zajistit, aby jejich kritické informace byly v bezpečí.

Splněním SOC 2 získáte:

  • Vylepšené postupy zabezpečení dat, kdy se organizace brání kybernetickým útokům a narušení bezpečnosti.
  • Konkurenční výhoda, protože zákazníci chtějí spolupracovat s poskytovateli služeb se solidními postupy zabezpečení dat, zejména pro cloudové a IT služby.

Omezuje neoprávněné použití dat a aktiv, se kterými organizace nakládá. Zásady zabezpečení vyžadují, aby organizace přidaly kontroly přístupu k zabezpečení dat před škodlivými útoky, zneužitím, neoprávněným zveřejněním nebo pozměněním firemních informací a neoprávněným vymazáním dat.

Jak udržovat soulad se SOC 2?

Shoda SOC 2 je dobrovolný standard vyvinutý organizací AICPA, který specifikuje, jak organizace spravuje informace o svých zákaznících. Standard je popsán pomocí pěti kritérií Trust Services, tj. zabezpečení, integrita zpracování, důvěrnost, soukromí a dostupnost.

Shoda SOC je přizpůsobena potřebám každé organizace. V závislosti na obchodních postupech si organizace může vybrat ovládací prvky návrhu, které by se měly řídit jedním nebo více principy důvěryhodných služeb. Rozšiřuje se na všechny služby, včetně ochrany DDoS, vyvažování zátěže, analýzy útoků, zabezpečení webových aplikací, doručování obsahu prostřednictvím CDN a dalších.

Jednoduše řečeno, soulad se SOC 2 není popisný seznam nástrojů, procesů nebo ovládacích prvků; místo toho uvádí potřebu kritérií rozhodujících pro zachování bezpečnosti informací. To umožňuje každé organizaci přijmout ty nejlepší procesy a postupy relevantní pro její operace a cíle.

Níže je uveden kontrolní seznam základní shody SOC 2:

  • Řízení přístupu
  • Operace systému
  • Zmírnění rizika
  • Řízení změn

Co je SOC 3?

SOC 3 je postup auditu, který AICPA vyvíjí k definování síly interní kontroly servisní organizace nad datovými centry a zabezpečením cloudu. Rámec SOC 3 je také založen na kritériích důvěryhodných služeb, která zahrnují:

  • Zabezpečení: Systémy a informace jsou zabezpečeny proti neoprávněnému prozrazení, neoprávněnému přístupu a poškození systémů.
  • Integrita procesu: Systémové zpracování je platné, přesné, autorizované, včasné a úplné, aby vyhovovalo požadavkům subjektu.
  • Dostupnost: Systémy a informace jsou k dispozici pro použití a provoz, aby vyhovovaly požadavkům subjektu.
  • Soukromí: Osobní údaje se používají, zveřejňují, likvidují, uchovávají a shromažďují za účelem splnění požadavků subjektu.
  • Důvěrnost: Informace označené jako kritické jsou chráněny tak, aby splňovaly požadavky subjektu.

S pomocí SOC 3 servisní organizace určují, která z těchto kritérií důvěryhodných služeb platí pro službu, kterou nabízejí zákazníkům. V prohlášeních o standardech také naleznete další výkazy, požadavky na výkon a pokyny k aplikaci.

Co je zpráva SOC 3?

Zprávy SOC 3 mají stejné informace jako SOC 2, ale liší se z hlediska publika. Zpráva SOC 3 je určena pouze pro širokou veřejnost. Tyto zprávy jsou krátké a neobsahují přesně stejná data jako zpráva SOC 2. Jsou vytvořeny tak, aby byly vhodné pro zúčastněné strany a informované publikum.

  Jak zrychlit video na iPhone a iPad

Protože zpráva SOC 3 je obecnější, lze ji rychle a otevřeně sdílet na webových stránkách společnosti spolu s pečetí popisující její shodu. Pomáhá držet krok s mezinárodními účetními standardy.

Například AWS umožňuje veřejné stahování zprávy SOC 3.

Jaký je účel SOC 3?

Společnosti, zejména malé nebo začínající, obvykle nemají dostatek zdrojů na to, aby řídily nebo udržovaly určité základní služby interně. Tyto společnosti proto často zadávají služby poskytovatelům třetích stran, místo aby investovaly další úsilí nebo peníze do budování nového oddělení pro tyto služby.

Outsourcing je tedy lepší možností, ale může být riskantní. Důvodem je to, že organizace sdílí zákaznická data nebo citlivé informace s poskytovateli třetích stran v závislosti na službách, které se organizace rozhodne outsourcovat.

Organizace však musí spolupracovat pouze s dodavateli, kteří prokáží shodu se SOC 3.

Shoda se SOC 3 vychází z AT-C oddílu 205 a AT-C oddílu 105 SSAE 18. Obsahuje základní informace z popisu nezávislého vedení a zprávy auditora. Vztahuje se na všechny poskytovatele služeb, kteří ukládají informace o zákaznících v cloudu, včetně poskytovatelů PaaS, IaaS a SaaS.

Jak udržovat soulad se SOC 3?

SOC 3 je následná verze SOC 2, takže postup auditu je stejný. Servisní auditoři hledají následující zásady a kontroly:

Po dokončení auditu vygeneruje auditor na základě zjištění zprávu. Zpráva SOC 3 je však mnohem méně podrobná, protože sdílí pouze informace nezbytné pro veřejnost. Servisní organizace výsledky po dokončení závěrečného auditu volně sdílí pro marketingové účely. Říká vám, na co se zaměřit, abyste prošli auditem. Servisní organizaci se tedy doporučuje:

  • Opatrně vyberte ovládací prvky.
  • Proveďte hodnocení, abyste zjistili mezery v kontrolách
  • Zvažte pravidelnou činnost
  • Popište další kroky pro upozornění na incidenty
  • Vyhledejte kvalifikovaného servisního auditora, který provede závěrečnou zkoušku

Nyní, když máte určitou představu o každém typu souladu, pojďme pochopit rozdíly mezi těmito třemi, abychom věděli, jak pomáhají každé firmě obstát na trhu.

SOC 1 vs SOC 2 vs SOC 3: Rozdíly

Následující tabulka popisuje účely a výhody každé zprávy SOC.

SOC 1SOC 2SOC 3Poskytuje názory na návrh typu 1 a návrh nebo provoz typu 2, včetně testovacích postupů a výsledků.Jediný výstup, který řeší požadavky partnerů na provoz organizace, včetně výsledků a postupů.Podobný splnění SOC 2, ale obsahuje méně informací . Nezahrnuje testovací postupy, výsledky ani kontroly. Kontroluje požadavky nezbytné pro vnitřní kontroly týkající se finančního výkaznictví. Nefinanční kontroly se posuzují podle pěti zásad důvěry, které jsou nezbytné pro daný předmět. Závisí také na pěti službách důvěryhodnosti Kritéria.Omezená distribuce zákazníkům a auditorůmOmezené distribuční regulační orgány, zákazníci a auditoři budou definováni ve zprávě. Pomoc při marketingu klientů. Neomezená distribuce Udržuje transparentnost popisu systému, ovládání, postupu a výsledku. Poskytuje úroveň transparentnosti přesně podobnou SOC 1 Obecná distribuce zpráv pro marketingové výhody. Zaměřuje se na finanční kontroly. Zaměřuje se na provozní kontroly. Je podobný SOC 2, ale obsahuje méně informací. Popisuje systémy servisní organizace. Popisuje také systémy servisní organizace. Popisuje názor CPA na přiměřené kontroly účetní jednotky nad system.It hlásí interní kontroly.It hlásí dostupnost, soukromí, důvěrnost, integritu zpracování a bezpečnostní kontroly. Podobně jako u SOC 2Kancelář kontrolorů uživatelů a uživatelský auditor používají SOC 1. Sdílí jej pod NDA regulační orgány, management a další. Je k dispozici veřejnosti. Většina auditorů je „Potřebuje vědět“. Většina zúčastněných stran a zákazníků „Potřebuje vědět .“Obecná veřejnostPříklad: zpracovatelé lékařských nároků.Příklad: společnost cloudového úložiště.Příklad: veřejný podnik.

Závěr

Rozhodnutí, která shoda SOC bude pro vaši organizaci nejvhodnější, vyžaduje, abyste si vizualizovali typ informací, se kterými pracujete, ať už se jedná o data vašich zákazníků nebo vaše.

Pokud nabízíte služby zpracování mezd, možná budete chtít použít SOC 1. Pokud zpracováváte nebo hostujete zákaznická data, možná budete potřebovat zprávu SOC 2. Podobně, pokud potřebujete méně formální shodu, což je nejlepší pro marketingové účely, možná budete chtít použít zprávu SOC 3.