Az SOC 1 vs SOC 2 vs SOC 3 megfelelőség megértése

Szerző:
Tweet
Share
Share
Pin

A megfelelőség a szervezet növekedésének döntő része.

Tegyük fel, hogy SaaS-üzletet szeretne működtetni, és közepes piaci értékű ügyfeleket szeretne megcélozni. Ebben az esetben meg kell felelnie a vonatkozó szabályoknak és előírásoknak, és meg kell őriznie vállalata számára erősebb biztonsági pozíciót.

Sok szervezet biztonsági kérdőívek alkalmazásával próbálja megkerülni ezeket a követelményeket.

Tehát amikor egy ügyfél vagy egy ügyfél SOC tanúsítványt kér, akkor ráébredhet, mennyire fontos az előírásoknak való megfelelés.

A Service Organization Control (SOC) megfelelés egy olyan típusú tanúsítványra utal, amelyben a szervezet elvégzi a harmadik fél által végzett auditot, amely megmutatja, hogy a szervezet bizonyos ellenőrzéseket gyakorol. Az SOC-megfelelés az ellátási láncra és az SOC-kiberbiztonságra is vonatkozik.

2010 áprilisában az American Institute of Certified Public Accountants (AICPA) bejelentette a SAS 70 megváltoztatását. A finomított és új könyvvizsgálati standard a Statement on Standards for Attestation Engagements (SSAE 16) nevet kapta.

Az SSAE 16 audit mellett három másik jelentés is készült egy szolgáltató szervezet ellenőrzésének vizsgálatára. Ezeket SOC jelentéseknek nevezzük, amelyek három jelentést tartalmaznak – SOC 1, SOC 2 és SOC 3 jelentéseket, amelyek különböző célokat hordoznak.

Ebben a cikkben megemlítem az egyes SOC-jelentéseket, valamint azt, hogy hol kell alkalmazni őket, és hogyan illeszkednek az IT-biztonságba.

Essünk neki!

Mi is pontosan az SOC jelentés?

Az SOC jelentések versenyelőnynek tekinthetők, amely pénz és idő tekintetében előnyös a szervezet számára. Harmadik felek és független auditorok segítségével vizsgálja meg a szervezet különböző aspektusait, beleértve:

  • Elérhetőség
  • Titoktartás
  • Magánélet
  • A feldolgozás integritása
  • Biztonság
  • A kiberbiztonsággal kapcsolatos ellenőrzések
  • Pénzügyi beszámolással kapcsolatos kontrollok

Az SOC jelentések lehetővé teszik a vállalat számára, hogy megbizonyosodjon arról, hogy a potenciális szolgáltatók megfelelően és etikusan működnek. Bár az auditok trükkösek lehetnek, óriási biztonságot és bizalmat kínálhatnak. Az SOC jelentések segítenek a szolgáltató megbízhatóságának és hitelességének megalapozásában.

Ezenkívül az SOC jelentések hasznosak:

  • Szállítómenedzsment programok
  • A szervezet felügyelete
  • Szabályozási felügyelet
  • Kockázatkezelési folyamat és belső vállalatirányítás

Miért elengedhetetlen az SOC-jelentés?

Számos szolgáltató szervezetnek, például adatközpont-cégeknek, SaaS-szolgáltatóknak, hitelszolgáltatóknak és követelésfeldolgozóknak kell alávetni az SOC-vizsgálatot. Ezeknek a szervezeteknek tárolniuk kell ügyfeleik vagy felhasználói entitásaik pénzügyi vagy érzékeny adatait.

Tehát minden más cégnek vagy felhasználónak szolgáltatást nyújtó cég bekerülhet az SOC vizsgálatba. Az SOC-jelentés nemcsak arról tájékoztatja potenciális ügyfeleit, hogy a vállalat jogos, hanem az értékelési folyamatokon keresztül felfedi Ön előtt az Ön vezérlőinek vagy ügyfeleinek hibáit és gyengeségeit.

Mit várhat el egy SOC-értékeléstől?

Mielőtt végigmenne egy SOC-értékelési folyamaton, meg kell határoznia, hogy milyen típusú SOC-jelentésre van szüksége, amely leginkább megfelel az Ön szervezetének. Ezután hivatalos folyamat kezdődik a készenléti felméréssel.

A szolgáltató szervezetek a lehetséges piros zászlók, hiányosságok, hiányosságok és egyebek azonosításával készülnek fel a vizsgálatra. Így a vállalat megértheti, hogy milyen lehetőségek állnak rendelkezésre e hibák és gyengeségek kijavítására.

  Hogyan némíthatja el magát egy zoomhívás során

Ki végezhet SOC auditot?

Az SOC auditokat független okleveles könyvelők (CPA) vagy könyvelő cégek végzik.

Az AICPA szakmai standardokat hoz létre, amelyek az SOC auditorok munkáját szabályozzák. Ezen túlmenően a szervezeteknek be kell tartaniuk bizonyos irányelveket a végrehajtásra, tervezésre és felügyeletre vonatkozóan.

Ezután minden AICPA audit szakértői értékelésen esik át. A CPA-szervezetek és -cégek informatikai és biztonsági ismeretekkel rendelkező, nem CPA-szakembereket is felvesznek az SOC auditra való felkészüléshez. A végső jelentést azonban a CPA-nak ellenőriznie kell és közzé kell tennie.

Nézzük meg mindegyik jelentést külön-külön, hogy megértsük, hogyan működnek.

Mi az a SOC 1?

Az SOC 1 fő célja az SOC 1 dokumentumokon belüli célkitűzések ellenőrzése és a belső kontrollok azon területeinek feldolgozása, amelyek relevánsak a felhasználói entitás pénzügyi kimutatásainak könyvvizsgálata szempontjából.

Egyszerűen fogalmazva, megmondja, hogy a szervezet szolgáltatásai mikor vannak hatással a felhasználói entitás pénzügyi jelentésére.

Mi az a SOC 1 jelentés?

A SOC 1 jelentés meghatározza a szolgáltatás-szervezési irányítást, amely a felhasználói entitás pénzügyi jelentések feletti ellenőrzésére vonatkozik. Úgy tervezték, hogy megfeleljen a felhasználói entitások igényeinek. Ebben a könyvelők a szolgáltató szervezet belső kontrolljainak hatékonyságát értékelik.

Kétféle SOC 1 jelentés létezik:

  • SOC 1 1. típus: Ez a jelentés általában a szolgáltató szervezet rendszerére koncentrál, és a megadott dátum leírásával együtt ellenőrzi a rendszervezérlők alkalmasságát az ellenőrzési célok elérésére.

Az SOC 1 1. típusú jelentések csak auditorokra, menedzserekre és felhasználói entitásokra korlátozódnak, jellemzően a szolgáltatók bármely szolgáltató szervezethez tartoznak. A szolgáltatási auditor határozza meg azt a jelentést, amely lefedi az SSAE 16 összes követelményét.

  • SOC 1 Type 2: Ez a jelentés hasonló véleményeket és elemzéseket tartalmaz, mint az SOC 1 Type 1 jelentésben. De tartalmaz nézeteket az előre meghatározott ellenőrzések hatékonyságáról, amelyek célja az összes ellenőrzési cél elérése egy adott időszakban.

A SOC 1 Type 2 jelentésben az ellenőrzési célok olyan potenciális kockázatokhoz vezetnek, amelyeket a belső ellenőrzés mérsékelni kíván. A hatókör kiterjed a vonatkozó szabályozási tartományokra, és ésszerű biztosítékokat kínál. Azt is mondja, hogy csak engedélyezett és megfelelő műveletek végrehajtása korlátozott.

Mi a SOC 1 célja?

Amint azt már megbeszéltük, a SOC 1 a szolgáltatásszervezési felügyeleti sorozat első része, amely a pénzügyi jelentéstétel belső ellenőrzésével foglalkozik. Azokra a vállalkozásokra vonatkozik, amelyek közvetlenül érintkeznek a partnerek és ügyfelek pénzügyi adataival.

Így biztosítja a szervezet interakcióját, tárolja a felhasználók pénzügyi kimutatásait és továbbítja azokat. Az SOC 1 jelentés azonban segít a befektetőknek, az ügyfeleknek, a könyvvizsgálóknak és a menedzsmentnek értékelni a pénzügyi beszámolással kapcsolatos belső ellenőrzéseket az AICPA irányelvei szerint.

Hogyan lehet fenntartani az SOC 1 megfelelőséget?

Az SOC 1 megfelelősége meghatározza az SOC 1 jelentésben szereplő összes SOC 1 vezérlő kezelésének folyamatát egy meghatározott időszak alatt. Biztosítja az SOC 1 szabályok működésének hatékonyságát.

A kontrollok általában informatikai vezérlők, üzleti folyamatvezérlők stb., amelyek az ellenőrzési célokon alapuló ésszerű biztosítékot nyújtanak.

Mi az a SOC 2?

Az AICPA által kifejlesztett SOC 2 5 alapelv alapján írja le az ügyféladatok ellenőrzésének vagy kezelésének kritériumait a megbízható szolgáltatások nyújtásához: Ezek az alapelvek:

  • Az elérhetőség magában foglalja a katasztrófa utáni helyreállítást, a biztonsági események kezelését és a teljesítményfigyelést.
  • Adatvédelem: Ez magában foglalja a titkosítást, a kétfaktoros hitelesítést (2FA) és a hozzáférés-vezérlést.
  • Biztonság: Tartalmazza a behatolásészlelést, a kéttényezős hitelesítést és a hálózati vagy alkalmazási tűzfalakat.
  • Bizalmasság: Tartalmazza a hozzáférés-szabályozást, a titkosítást és az alkalmazástűzfalakat.
  • A feldolgozás integritása: magában foglalja a feldolgozás felügyeletét és a minőségbiztosítást.

A SOC 2 szigorú követelményei miatt minden szervezet számára egyedi, ellentétben a PCI DSS-sel. Különleges üzleti gyakorlatok esetén minden tervnek megvan az irányítása, hogy megfeleljen több bizalmi elvnek.

  Hozzon létre vendégfiókot iPhone-ján a GuestMode segítségével

Mi az a SOC 2 jelentés?

A SOC 2 jelentés lehetővé teszi a szolgáltató szervezetek számára, hogy jelentést kapjanak, és megosszák az érdekelt felekkel az általános leírás érdekében; IT vezérlők, amelyek biztonságosak a helyszínen.

Kétféle SOC 2 jelentés létezik:

  • SOC 2 Type 1: Leírja a szállító rendszereit, és megmondja, hogy a szállító tervezése megfelel-e a bizalom elveinek.
  • SOC 2 Type 2: Megosztja a szállító rendszereinek működési hatékonyságának részleteit.

Az SOC 2 szervezetenként eltérő az információbiztonsági keretrendszerek és szabványok tekintetében, mivel nincsenek meghatározott követelmények. Az AICPA kritériumokat határoz meg, amelyeket a szolgáltató szervezet választ ki, hogy bemutassa a kínált szolgáltatások védelmét szolgáló ellenőrzéseket.

Mi a SOC 2 célja?

Az SOC 2-nek való megfelelés azt jelzi, hogy a szervezet magas szintű információbiztonsági szintet ellenőriz és tart fenn. A szigorú megfelelés lehetővé teszi a szervezetek számára, hogy biztosítsák kritikus információik biztonságát.

Az SOC 2 betartásával a következőket kapja:

  • Továbbfejlesztett adatbiztonsági gyakorlatok, ahol a szervezet megvédi magát a számítógépes támadásoktól és a biztonsági résektől.
  • Versenyelőny, mivel az ügyfelek szilárd adatbiztonsági gyakorlattal rendelkező szolgáltatókkal szeretnének együttműködni, különösen a felhő- és IT-szolgáltatások terén.

Korlátozza a szervezet által kezelt adatok és eszközök jogosulatlan felhasználását. A biztonsági alapelvek előírják, hogy a szervezetek hozzáférés-szabályozást adnak hozzá, hogy megvédjék az adatokat a rosszindulatú támadásoktól, a visszaélésektől, a vállalati információk jogosulatlan nyilvánosságra hozatalától vagy megváltoztatásától, valamint az adatok jogosulatlan törlésétől.

Hogyan lehet fenntartani az SOC 2 megfelelőséget?

Az SOC 2 megfelelés az AICPA által kidolgozott önkéntes szabvány, amely meghatározza, hogy egy szervezet hogyan kezelje ügyfélinformációit. A szabványt öt megbízhatósági szolgáltatáskritérium írja le, azaz a biztonság, a feldolgozás integritása, a titkosság, az adatvédelem és a rendelkezésre állás.

Az SOC-megfelelőség minden szervezet igényeihez igazodik. Az üzleti gyakorlattól függően a szervezet választhat olyan tervezési vezérlőket, amelyeknek egy vagy több megbízhatósági szolgáltatási elvet kell követniük. Az összes szolgáltatásra kiterjed, beleértve a DDoS-védelmet, a terheléselosztást, a támadáselemzést, a webalkalmazások biztonságát, a CDN-n keresztüli tartalomszolgáltatást és még sok mást.

Egyszerűen fogalmazva, az SOC 2-nek való megfelelés nem az eszközök, folyamatok vagy ellenőrzések leíró listája; ehelyett az információbiztonság fenntartása szempontjából kulcsfontosságú kritériumok szükségességére hivatkozik. Ez lehetővé teszi minden szervezet számára, hogy a működéséhez és céljaihoz kapcsolódó legjobb folyamatokat és gyakorlatokat alkalmazza.

Az alábbiakban az alapvető SOC 2 megfelelőség ellenőrző listája található:

  • Hozzáférés-vezérlés
  • Rendszerműveletek
  • Kockázat mérséklése
  • Változáskezelés

Mi az a SOC 3?

A SOC 3 egy auditálási eljárás, amelyet az AICPA fejleszt ki, hogy meghatározza a szolgáltató szervezet adatközpontok és felhőbiztonság feletti belső ellenőrzésének erősségét. A SOC 3 keretrendszer a megbízhatósági szolgáltatások kritériumain is alapul, amelyek a következőket tartalmazzák:

  • Biztonság: A rendszerek és az információk biztonságban vannak az illetéktelen nyilvánosságra hozatal, az illetéktelen hozzáférés és a rendszerek károsodása ellen.
  • Folyamatintegritás: A rendszer feldolgozása érvényes, pontos, engedélyezett, időszerű és teljes, hogy megfeleljen az entitás igényeinek.
  • Elérhetőség: A rendszerek és információk rendelkezésre állnak használatra és működtetésre, hogy megfeleljenek az entitás igényeinek.
  • Adatvédelem: A személyes adatok felhasználása, nyilvánosságra hozatala, megsemmisítése, megőrzése és gyűjtése a szervezet igényeinek kielégítése érdekében történik.
  • Titoktartás: A kritikusnak minősített információkat védjük, hogy megfeleljenek az entitás követelményeinek.

A SOC 3 segítségével a szolgáltató szervezetek meghatározzák, hogy ezen Trust Services kritériumok közül melyik vonatkozik az ügyfeleknek kínált szolgáltatásra. További jelentéstételi, teljesítménykövetelményeket és alkalmazási útmutatást is talál a Nyilatkozatokban a szabványokról.

Mi az a SOC 3 jelentés?

Az SOC 3 jelentések ugyanazokat az információkat tartalmazzák, mint a SOC 2, de különböznek a közönség tekintetében. A SOC 3 jelentés csak általános közönség számára készült. Ezek a jelentések rövidek, és nem tartalmazzák pontosan ugyanazokat az adatokat, mint egy SOC 2 jelentés. Az érintettek és a tájékozott közönség számára alkalmasak.

  FaceTime hívás rögzítése

Mivel a SOC 3 jelentés általánosabb, gyorsan és nyíltan megosztható a vállalat webhelyén, a megfelelőséget leíró pecséttel együtt. Segít lépést tartani a nemzetközi számviteli standardokkal.

Az AWS például lehetővé teszi az SOC 3 jelentés nyilvános letöltését.

Mi a SOC 3 célja?

A cégek – különösen a kisvállalkozások vagy az induló vállalkozások – általában nem rendelkeznek elegendő erőforrással bizonyos alapvető szolgáltatások házon belüli ellenőrzésére vagy karbantartására. Ezért ezek a vállalatok gyakran külső szolgáltatókra bízzák a szolgáltatásokat, ahelyett, hogy extra erőfeszítést vagy pénzt fektetnének egy új részleg felépítésébe a szolgáltatások számára.

Így az outsourcing jobb megoldás, de kockázatos is lehet. Ennek az az oka, hogy egy szervezet megosztja az ügyfelek adatait vagy érzékeny információkat külső szolgáltatókkal attól függően, hogy a szervezet milyen szolgáltatásokat választ ki.

A szervezetek azonban csak olyan szállítókkal léphetnek kapcsolatba, amelyek bizonyítják az SOC 3 megfelelőségét.

Az SOC 3 megfelelés az SSAE 18 AT-C 205. szakaszán és AT-C 105. szakaszán alapul. Tartalmazza a független vezetés leírásának és könyvvizsgálói jelentésének alapvető információit. Minden olyan szolgáltatóra vonatkozik, amely ügyféladatokat tárol a felhőben, beleértve a PaaS-, IaaS- és SaaS-szolgáltatókat is.

Hogyan lehet fenntartani az SOC 3 megfelelőséget?

A SOC 3 a SOC 2 következő verziója, így az auditálási eljárás ugyanaz. A szolgáltatási auditorok a következő irányelveket és ellenőrzéseket keresik:

Az ellenőrzés befejezése után a könyvvizsgáló a megállapítások alapján jelentést készít. A SOC 3 jelentés azonban sokkal kevésbé részletes, mivel csak a nyilvánosság számára szükséges információkat osztja meg. A szolgáltató szervezet az eredményeket a végső audit elvégzése után marketing célból szabadon megosztja. Megmondja, mire kell összpontosítania, hogy sikeres legyen az auditon. Tehát a szolgáltató szervezetnek javasoljuk, hogy:

  • Gondosan válassza ki a vezérlőket.
  • Végezzen értékelést a kontrollokon belüli hiányosságok azonosítására
  • Találja ki a rendszeres tevékenységet
  • Ismertesse az események riasztásának következő lépéseit
  • A záróvizsga lebonyolításához keressen képzett szerviz auditort

Most, hogy van némi elképzelése az egyes megfelelési típusokról, értsük meg a három közötti különbséget, hogy megtudjuk, hogyan segítenek minden cégnek megállni a piacon.

SOC 1 vs SOC 2 vs SOC 3: Különbségek

Az alábbi táblázat leírja az egyes SOC jelentések céljait és előnyeit.

SOC 1SOC 2SOC 3 Véleményt ad az 1-es típusú tervezésről és a 2-es típusú tervezésről vagy működésről, beleértve a tesztelési eljárásokat és eredményeket.Egyetlen leszállítás a partnerek szervezet működésével kapcsolatos igényeinek kielégítésére, beleértve az eredményeket és eljárásokat is.Hasonló az SOC 2 megfelelőséghez, de kevesebb információt tartalmaz . Nem tartalmaz teszteljárásokat, eredményeket vagy ellenőrzéseket. A pénzügyi jelentésekkel kapcsolatos belső kontrollokhoz elengedhetetlen követelményeket szabályozza. A nem pénzügyi kontrollokat a tárgyhoz elengedhetetlen öt bizalmi elv alapján értékelik. Ez az öt bizalmi szolgáltatástól is függ. Kritériumok.Korlátozott forgalmazás az ügyfelek és auditorok számára A korlátozott forgalmazási szabályozók, ügyfelek és könyvvizsgálók a jelentésben kerülnek meghatározásra. Segítségnyújtás ügyfélmarketingben. Korlátlan elosztás Fenntartja a rendszer leírásának, ellenőrzésének, eljárásának és eredményének átláthatóságát. Pontosan hasonló szintű átláthatóságot biztosít, mint az SOC 1 A jelentések általános elosztása a marketing előnyeiről. A pénzügyi ellenőrzésekre összpontosít.A működési ellenőrzésekre összpontosít.Hasonlít a SOC 2-höz, de kevesebb információval rendelkezik.Leírja a szolgáltató szervezet rendszereit.Leírja a szolgáltató szervezet rendszereit is.Leírja a CPA véleményét a szervezet megfelelő ellenőrzéseiről a Beszámol a belső ellenőrzésekről. Jelentést tesz a rendelkezésre állásról, az adatvédelemről, a titoktartásról, a feldolgozás integritásának és a biztonsági ellenőrzésekről. Hasonlóan az SOC 2-hez, a felhasználók ellenőrző irodája és felhasználói ellenőrei az SOC 1-et használják. Az NDA keretében megosztják a szabályozók, a menedzsment és mások. A nyilvánosság számára elérhető. A legtöbb auditor „tudni kell”. A legtöbb érdekelt fél és ügyfél „tudni kell”. .”Általános nyilvánosságPélda: orvosi követelésfeldolgozók.Példa: felhőalapú tárolási vállalat.Példa: közvállalkozás.

Következtetés

Annak eldöntéséhez, hogy melyik SOC-megfelelőség lesz a legmegfelelőbb a szervezete számára, meg kell jelenítenie, hogy milyen típusú információkkal foglalkozik, legyen az ügyfelei vagy az Ön adatai.

Ha bérfeldolgozási szolgáltatásokat kínál, érdemes lehet SOC 1-et használni. Ha ügyféladatokat dolgoz fel vagy tárol, szükség lehet SOC 2 jelentésre. Hasonlóképpen, ha kevésbé formális megfelelésre van szüksége, ami marketing célokra a legjobb, érdemes SOC 3 jelentést készíteni.

Tweet
Share
Share
Pin