携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第10天,点击查看活动详情
信息安全是所有组织关注的一个原因,包括那些将关键业务运营外包给第三方供应商(例如SaaS,云计算提供商)的组织。这是理所当然的,因为处理不当的数据(尤其是应用程序和网络安全提供商的数据)可能会使企业容易受到攻击,例如数据盗窃、勒索和恶意软件安装。
SOC 2 是一种审核程序,可确保您的服务提供商安全地管理您的数据,以保护组织的利益及其客户的隐私。对于注重安全的企业,在考虑SaaS提供商时,SOC 2合规性是最低要求。
什么是 SOC 2
SOC 2 由美国注册会计师协会 (AICPA) 开发,根据五项“信任服务原则”(安全性、可用性、处理完整性、机密性和隐私性)定义了管理客户数据的标准。
!SOC 2 认证标准
与具有非常严格的要求的 PCI DSS 不同,SOC 2 报告对于每个组织都是唯一的。根据特定的业务实践,每个都设计自己的控件以符合一个或多个信任原则。
这些内部报告为您提供(以及监管机构、业务合作伙伴、供应商等)有关服务提供商如何管理数据的重要信息。
有两种类型的 SOC 报告:
- 类型I描述了供应商的系统及其设计是否适合满足相关的信任原则。
- 第二类详述了这些系统的运作效力。
SOC 2 认证
SOC 2 认证由外部审核员颁发。他们根据现有的系统和流程评估供应商遵守五项信任原则中的一项或多项的程度。
信任原则分解如下:
1. 安全
安全原则是指保护系统资源免受未经授权的访问。访问控制有助于防止潜在的系统滥用、数据被盗或未经授权的删除、软件的滥用以及信息的不当更改或披露。
IT 安全工具(如网络和 Web 应用程序防火墙 (WAF)、双因素身份验证和入侵检测)可用于防止可能导致未经授权访问系统和数据的安全漏洞。
2. 可用性
可用性原则是指合同或服务水平协议(SLA)规定的系统,产品或服务的可访问性。因此,系统可用性的最低可接受性能级别由双方设置。
此原则不涉及系统功能和可用性,但确实涉及可能影响可用性的安全相关标准。在这种情况下,监视网络性能和可用性、站点故障转移和安全事件处理至关重要。
3. 加工完整性
处理完整性原则解决了系统是否实现了其目的(即,在正确的时间以正确的价格提供正确的数据)。因此,数据处理必须完整、有效、准确、及时和授权。
但是,处理完整性并不一定意味着数据完整性。如果数据在输入系统之前包含错误,则检测它们通常不是处理实体的责任。监控数据处理,加上质量保证程序,可以帮助确保处理的完整性。
4. 保密
如果数据的访问和披露仅限于一组特定的个人或组织,则数据被视为机密。示例可能包括仅供公司人员使用的数据,以及业务计划、知识产权、内部价目表和其他类型的敏感财务信息。
加密是保护传输过程中机密性的重要控制措施。网络和应用程序防火墙以及严格的访问控制可用于保护正在处理或存储在计算机系统上的信息。
5. 隐私
隐私原则涉及系统根据组织的隐私声明以及AICPA普遍接受的隐私原则(GAPP)中规定的标准收集,使用,保留,披露和处置个人信息。
个人身份信息(PII)是指可以区分个人的详细信息(例如,姓名,地址,社会安全号码)。一些与健康、种族、性和宗教有关的个人数据也被认为是敏感的,通常需要额外的保护。必须实施控制措施,以保护所有 PII 免遭未经授权的访问。
