Zrozumienie zgodności SOC 1 vs SOC 2 vs SOC 3

Opublikowany: 2022-09-06

Zgodność jest kluczowym aspektem rozwoju Twojej organizacji.

Załóżmy, że chcesz prowadzić działalność SaaS i kierować reklamy do klientów ze średniej półki. W takim przypadku musisz przestrzegać obowiązujących zasad i przepisów oraz utrzymywać silniejszą postawę bezpieczeństwa dla swojej firmy.

Wiele organizacji próbuje ominąć te wymagania, stosując kwestionariusze bezpieczeństwa.

Tak więc, gdy klient lub klient żąda certyfikatu SOC, możesz zdać sobie sprawę, jak ważna jest zgodność z przepisami.

Zgodność z kontrolą organizacji usługowej (SOC) odnosi się do rodzaju certyfikacji, w ramach której organizacja przeprowadza audyt strony trzeciej, który pokazuje, że pewne kontrole posiada Twoja organizacja. Zgodność z SOC ma również zastosowanie do łańcucha dostaw i cyberbezpieczeństwa SOC.

W kwietniu 2010 r. Amerykański Instytut Biegłych Rewidentów (AICPA) ogłosił zmianę SAS 70. Udoskonalony i nowy standard audytu nosi nazwę Statement on Standards for Atestation Engagements (SSAE 16).

Wraz z audytem SSAE 16 sporządzono również trzy inne raporty w celu zbadania kontroli organizacji usługowej. Są to tak zwane raporty SOC, które zawierają trzy raporty – SOC 1, SOC 2 i SOC 3 o różnych celach.

W tym artykule wspomnę o każdym raporcie SOC i o tym, gdzie je zastosować i jak wpisują się w bezpieczeństwo IT.

No to ruszamy!

Czym dokładnie jest raport SOC?

Czym dokładnie jest raport SOC

Raporty SOC można uznać za przewagę konkurencyjną przynoszącą organizacji korzyści pod względem czasu i pieniędzy. Wykorzystuje zewnętrznych i niezależnych audytorów do badania różnych aspektów organizacji, w tym:

  • Dostępność
  • Poufność
  • Prywatność
  • Integralność przetwarzania
  • Bezpieczeństwo
  • Kontrole związane z cyberbezpieczeństwem
  • Kontrole związane ze sprawozdawczością finansową

Raporty SOC dają firmie pewność, że potencjalni usługodawcy działają zgodnie i etycznie. Chociaż audyty mogą być trudne, oferują ogromne bezpieczeństwo i zaufanie. Raporty SOC pomagają ustalić wiarygodność i wiarygodność usługodawcy.

Ponadto raporty SOC są przydatne do:

  • Programy zarządzania dostawcami
  • Nadzór nad organizacją
  • Nadzór regulacyjny
  • Proces zarządzania ryzykiem i wewnętrzny ład korporacyjny

Dlaczego raport SOC jest niezbędny?

Kilka organizacji usługowych, takich jak centra danych, dostawcy SaaS, podmioty obsługujące pożyczki i podmioty przetwarzające roszczenia, muszą przejść badanie SOC. Organizacje te muszą przechowywać dane finansowe lub dane wrażliwe swoich klientów lub podmiotów będących użytkownikami.

Dlaczego raport SOC jest niezbędny?

Tak więc każda firma świadcząca usługi innym firmom lub użytkownikom może zostać przypisana do egzaminu SOC. Raport SOC nie tylko informuje potencjalnych klientów, że firma jest legalna, ale także ujawnia przed Tobą wady i słabości kontroli lub klientów poprzez procesy oceny.

Czego można się spodziewać po ocenie SOC?

Zanim przejdziesz przez proces oceny SOC, musisz określić, jakiego rodzaju raportu SOC potrzebujesz, który najbardziej odpowiada Twojej organizacji. Następnie rozpocznie się oficjalny proces z oceną gotowości.

Organizacje usługowe przygotowują się do egzaminu, identyfikując potencjalne sygnały ostrzegawcze, luki, braki i nie tylko. W ten sposób firma może zrozumieć dostępne opcje naprawy tych wad i słabości.

Kto może przeprowadzić audyt SOC?

Audyty SOC są przeprowadzane przez niezależnych biegłych rewidentów (CPA) lub firmy księgowe.

AICPA ustanawia standardy zawodowe, które mają regulować pracę audytorów SOC. Oprócz tego organizacje muszą przestrzegać pewnych wytycznych dotyczących realizacji, planowania i nadzoru.

Kto może przeprowadzić audyt SOC?

Każdy audyt AICPA jest następnie poddawany wzajemnej ocenie. Organizacje lub firmy CPA zatrudniają również specjalistów spoza CPA z umiejętnościami informatycznymi i bezpieczeństwa, aby przygotować się do audytu SOC. Ale raport końcowy musi zostać sprawdzony i ujawniony przez CPA.

Przeanalizujmy każdy raport osobno, aby zrozumieć, jak działają.

Co to jest SOC 1?

SOC1

Głównym celem SOC 1 jest kontrolowanie celów zawartych w dokumentach SOC 1 i procesowych obszarów kontroli wewnętrznych, które są istotne dla badania sprawozdań finansowych jednostki korzystającej.

Mówiąc najprościej, informuje, kiedy usługi organizacji wpływają na sprawozdawczość finansową jednostki użytkownika.

Co to jest raport SOC 1?

Raport SOC 1 określa kontrolę organizacji usługowej mającą zastosowanie do kontroli jednostki korzystającej z sprawozdawczości finansowej. Został zaprojektowany, aby sprostać wymaganiom użytkowników. W tym celu księgowi oceniają skuteczność kontroli wewnętrznych organizacji usługowej.

Istnieją dwa rodzaje raportów SOC 1:

  • SOC 1 Typ 1: Raport ten zasadniczo koncentruje się na systemie organizacji usługowej i sprawdza przydatność mechanizmów kontroli systemu do osiągnięcia celów kontroli wraz z opisem w określonym dniu.

Raporty SOC 1 Typu 1 są ograniczone tylko do audytorów, menedżerów i jednostek użytkowników, zazwyczaj usługodawcy należą do dowolnej organizacji usługowej. Audytor usług ustala raport, który obejmuje wszystkie wymagania SSAE 16.

  • SOC 1 Typ 2 : Ten raport zawiera podobne opinie i analizy jak w raporcie SOC 1 Typ 1. Zawiera jednak poglądy na temat skuteczności wcześniej ustanowionych kontroli, zaprojektowanych w celu osiągnięcia wszystkich celów kontroli w określonym okresie.

W raporcie SOC 1 Typ 2 cele kontroli prowadzą do potencjalnych ryzyk, które kontrola wewnętrzna chce złagodzić. Zakres obejmuje odpowiednie dziedziny kontroli i zapewnia uzasadnione gwarancje. Mówi również, że istnieje limit wykonywania tylko autoryzowanych i odpowiednich działań.

Jaki jest cel SOC 1?

Jak już omówiliśmy, SOC 1 jest pierwszą częścią serii Kontroli organizacji usługowej, która dotyczy kontroli wewnętrznych w sprawozdawczości finansowej. Ma zastosowanie do firm, które bezpośrednio wchodzą w interakcję z danymi finansowymi partnerów i klientów.

W ten sposób zabezpiecza interakcję organizacji, przechowując sprawozdania finansowe użytkowników i przesyłając je. Jednak raport SOC 1 pomaga inwestorom, klientom, audytorom i kierownictwu ocenić wewnętrzne kontrole dotyczące sprawozdawczości finansowej w ramach wytycznych AICPA.

Jak zachować zgodność z SOC 1?

Zgodność z SOC 1 definiuje proces zarządzania wszystkimi kontrolami SOC 1 dodanymi w raporcie SOC 1 przez określony czas. Zapewnia skuteczność działania reguł SOC 1.

Jak zachować zgodność z SOC 1?

Kontrole są na ogół kontrolami IT, kontrolami procesów biznesowych itp., stosowanymi w celu zapewnienia wystarczającej pewności opartej na celach kontroli.

Co to jest SOC 2?

soc2

SOC 2, opracowany przez AICPA, opisuje kryteria kontrolowania lub zarządzania informacjami o klientach w oparciu o 5 zasad świadczenia zaufanych usług: Zasady te to:

  • Dostępność obejmuje odzyskiwanie po awarii, obsługę incydentów związanych z bezpieczeństwem i monitorowanie wydajności.
  • Prywatność : Obejmuje szyfrowanie, uwierzytelnianie dwuskładnikowe (2FA) i kontrolę dostępu.
  • Bezpieczeństwo : obejmuje wykrywanie włamań, uwierzytelnianie dwuskładnikowe oraz zapory sieciowe lub aplikacyjne.
  • Poufność : obejmuje kontrolę dostępu, szyfrowanie i zapory sieciowe aplikacji.
  • Integralność przetwarzania : obejmuje monitorowanie przetwarzania i zapewnienie jakości.

SOC 2 jest unikalny dla każdej organizacji ze względu na sztywne wymagania, w przeciwieństwie do PCI DSS. Dzięki określonym praktykom biznesowym każdy projekt ma kontrolę nad zgodnością z wieloma zasadami zaufania.

Co to jest raport SOC 2?

Raport SOC 2 umożliwia organizacjom usługowym otrzymywanie i udostępnianie raportu interesariuszom w celu ogólnego opisania; Kontrole IT, które są bezpieczne na miejscu.

Co to jest raport SOC 2

Istnieją dwa rodzaje raportów SOC 2:

  • SOC 2 Typ 1 : Opisuje systemy dostawcy i mówi, czy projekt dostawcy jest odpowiedni do spełnienia zasad zaufania.
  • SOC 2 Typ 2 : Udostępnia szczegóły skuteczności operacyjnej systemów dostawcy.

SOC 2 różni się w zależności od organizacji pod względem ram i standardów bezpieczeństwa informacji, ponieważ nie ma zdefiniowanych wymagań. AICPA zapewnia kryteria, które organizacja usługowa wybiera w celu wykazania kontroli, jakie posiada w celu zabezpieczenia oferowanych usług.

Jaki jest cel SOC 2?

Zgodność z SOC 2 wskazuje, że organizacja kontroluje i utrzymuje wysoki poziom bezpieczeństwa informacji. Ścisła zgodność umożliwia organizacjom zapewnienie, że ich krytyczne informacje są bezpieczne.

Przestrzegając SOC 2, otrzymasz:

  • Ulepszone praktyki bezpieczeństwa danych, w których organizacja broni się przed cyberatakami i naruszeniami bezpieczeństwa.
  • Przewaga konkurencyjna, ponieważ klienci chcą współpracować z dostawcami usług stosującymi solidne praktyki bezpieczeństwa danych, zwłaszcza w przypadku usług chmurowych i IT.
Jaki jest cel SOC 2?

Ogranicza nieautoryzowane wykorzystanie danych i zasobów, którymi zarządza organizacja. Zasady bezpieczeństwa wymagają od organizacji dodania kontroli dostępu w celu zabezpieczenia danych przed złośliwymi atakami, niewłaściwym użyciem, nieuprawnionym ujawnieniem lub zmianą informacji firmowych oraz nieuprawnionym usunięciem danych.

Jak zachować zgodność z SOC 2?

Zgodność z SOC 2 to dobrowolny standard opracowany przez AICPA, który określa, w jaki sposób organizacja zarządza informacjami o klientach. Standard opisuje pięć kryteriów usług zaufania, tj. bezpieczeństwo, integralność przetwarzania, poufność, prywatność i dostępność.

Zgodność z SOC jest dostosowana do potrzeb każdej organizacji. W zależności od praktyk biznesowych organizacja może wybrać kontrole projektu, które powinny być zgodne z jedną lub kilkoma zasadami usługi zaufania. Obejmuje wszystkie usługi, w tym ochronę przed atakami DDoS, równoważenie obciążenia, analizę ataków, bezpieczeństwo aplikacji internetowych, dostarczanie treści przez CDN i wiele innych.

Jak zachować zgodność z SOC 2?

Mówiąc prościej, zgodność z SOC 2 nie jest opisową listą narzędzi, procesów lub kontroli; zamiast tego wskazuje na potrzebę kryteriów kluczowych dla utrzymania bezpieczeństwa informacji. Pozwala to każdej organizacji na przyjęcie najlepszych procesów i praktyk związanych z jej działalnością i celami.

Poniżej znajduje się lista kontrolna podstawowej zgodności z SOC 2:

  • Kontrola dostępu
  • Operacje systemowe
  • Ograniczanie ryzyka
  • Zarządzanie zmianami

Co to jest SOC 3?

soc3-1

SOC 3 to procedura audytu opracowana przez AICPA w celu określenia siły wewnętrznej kontroli organizacji usługowej nad centrami danych i bezpieczeństwem chmury. Struktura SOC 3 opiera się również na kryteriach usług zaufania, które obejmują:

  • Bezpieczeństwo : systemy i informacje są zabezpieczone przed nieautoryzowanym ujawnieniem, nieautoryzowanym dostępem i uszkodzeniem systemów.
  • Integralność procesu : przetwarzanie w systemie jest prawidłowe, dokładne, autoryzowane, terminowe i kompletne, aby spełnić wymagania jednostki.
  • Dostępność : systemy i informacje są dostępne do użytku i działania w celu spełnienia wymagań jednostki.
  • Prywatność : Dane osobowe są wykorzystywane, ujawniane, usuwane, przechowywane i gromadzone w celu spełnienia wymagań podmiotu.
  • Poufność : Informacje oznaczone jako krytyczne są chronione w celu spełnienia wymagań podmiotu.

Za pomocą SOC 3 organizacje usługowe określają, które z tych kryteriów Usług zaufania mają zastosowanie do usług, które oferują klientom. W Oświadczeniach w sprawie standardów znajdziesz również dodatkowe wymogi dotyczące raportowania, wydajności i zastosowania.

Co to jest raport SOC 3?

Co to jest raport SOC 3

Raporty SOC 3 zawierają te same informacje co SOC 2, ale różnią się pod względem odbiorców. Raport SOC 3 jest przeznaczony wyłącznie dla ogółu odbiorców. Raporty te są krótkie i nie zawierają dokładnie tych samych danych, co raport SOC 2. Są zbudowane odpowiednio dla interesariuszy i poinformowanych odbiorców.

Ponieważ raport SOC 3 jest bardziej ogólny, można go szybko i otwarcie udostępnić na stronie internetowej firmy wraz z pieczęcią opisującą jego zgodność. Pomaga w nadążaniu za międzynarodowymi standardami rachunkowości.

Na przykład AWS umożliwia publiczne pobieranie raportu SOC 3.

Jaki jest cel SOC 3?

Firmy, zwłaszcza małe lub start-upy, zwykle nie mają wystarczających zasobów, aby samodzielnie kontrolować lub utrzymywać niektóre kluczowe usługi. Dlatego firmy te często zlecają usługi zewnętrznym dostawcom, zamiast inwestować dodatkowy wysiłek lub pieniądze w budowę nowego działu dla tych usług.

Tak więc outsourcing jest lepszą opcją, ale może być ryzykowny. Powodem jest to, że organizacja udostępnia dane klientów lub poufne informacje zewnętrznym dostawcom w zależności od usług, które organizacja zdecyduje się zlecić na zewnątrz.

Jaki jest cel SOC 3?

Jednak organizacje muszą współpracować tylko z dostawcami, którzy wykazują zgodność z SOC 3.

Zgodność z SOC 3 opiera się na AT-C Sekcja 205 i AT-C Sekcja 105 SSAE 18. Zawiera on podstawowe informacje z opisu niezależnego kierownictwa i raportu audytora. Dotyczy wszystkich dostawców usług przechowujących informacje o klientach w chmurze, w tym dostawców PaaS, IaaS i SaaS.

Jak zachować zgodność z SOC 3?

SOC 3 to kolejna wersja SOC 2, więc procedura audytu jest taka sama. Biegli rewidenci usług poszukują następujących zasad i kontroli:

  • Odzyskiwanie po awarii
  • Wykrywanie włamań
  • Monitoring wydajności
  • Zapewnienie jakości
  • Uwierzytelnianie dwuskładnikowe
  • Obsługa incydentów bezpieczeństwa
  • Monitorowanie przetwarzania
  • Szyfrowanie
  • Kontrola dostępu
  • Zapory sieciowe i aplikacyjne
Jak zachować zgodność z SOC 3?

Po zakończeniu audytu audytor generuje raport na podstawie ustaleń. Ale raport SOC 3 jest znacznie mniej szczegółowy, ponieważ udostępnia tylko informacje niezbędne opinii publicznej. Organizacja serwisowa swobodnie udostępnia wyniki po zakończeniu audytu końcowego w celach marketingowych. Podpowiada, na czym należy się skupić, aby przejść audyt. W związku z tym zaleca się, aby organizacja serwisowa:

  • Ostrożnie wybierz elementy sterujące.
  • Przeprowadź ocenę, aby zidentyfikować luki w kontrolach
  • Dowiedz się, jaka jest regularna aktywność
  • Opisz kolejne kroki powiadamiania o incydentach
  • Poszukaj wykwalifikowanego audytora usług do przeprowadzenia egzaminu końcowego

Teraz, gdy masz już pewne pojęcie o każdym typie zgodności, zrozummy różnice między tymi trzema, aby wiedzieć, w jaki sposób pomagają każdej firmie utrzymać się na rynku.

SOC 1 vs SOC 2 vs SOC 3: Różnice

SOC 1 vs SOC 2 vs SOC 3: Różnice

Poniższa tabela opisuje cele i korzyści każdego raportu SOC.

SOC 1 SOC 2 SOC 3
Opiniuje projekt typu 1 oraz projekt lub eksploatację typu 2, w tym procedury i wyniki badań. Pojedynczy element dostarczany w odpowiedzi na wymagania partnerów dotyczące działań organizacji, w tym wyniki i procedury. Podobny do zgodności z SOC 2, ale zawiera mniej informacji. Nie obejmuje procedur testowych, wyników ani kontroli.
Kontroluje wymagania niezbędne do kontroli wewnętrznej związanej ze sprawozdawczością finansową. Kontrole niefinansowe są oceniane zgodnie z pięcioma zasadami zaufania istotnymi dla przedmiotu zagadnienia. Zależy to również od pięciu kryteriów usług zaufania.
Ograniczona dystrybucja do klientów i audytorów W raporcie zostaną zdefiniowani regulatorzy dystrybucji ograniczonej, klienci i audytorzy. Pomoc w marketingu klienta. Dystrybucja nieograniczona
Utrzymuje przejrzystość opisu, kontroli, procedury i wyniku systemu. Zapewnia poziom przezroczystości dokładnie podobny do SOC 1 Ogólna dystrybucja raportów pod kątem korzyści marketingowych.
Koncentruje się na kontroli finansowej. Koncentruje się na kontrolach operacyjnych. Jest podobny do SOC 2, ale zawiera mniej informacji.
Opisuje systemy organizacji usługowej. Opisuje również systemy organizacji usługowej. Opisuje opinię CPA na temat odpowiednich kontroli jednostki nad systemem.
Raportuje kontrole wewnętrzne. Raportuje dostępność, prywatność, poufność, integralność przetwarzania i kontrole bezpieczeństwa. Podobny do SOC 2
Biuro administratora użytkowników i audytor użytkowników korzystają z SOC 1. Jest on udostępniany na mocy umowy NDA przez organy regulacyjne, kierownictwo i inne osoby. Jest dostępny dla publiczności.
Większość audytorów to „trzeba wiedzieć”. Większość interesariuszy i klientów „trzeba wiedzieć”. Ogółu społeczeństwa
Przykład: przetwarzający roszczenia medyczne. Przykład: firma zajmująca się przechowywaniem w chmurze. Przykład: przedsiębiorstwo publiczne.

Wniosek

Podjęcie decyzji, która zgodność z SOC będzie najbardziej odpowiednia dla Twojej organizacji, wymaga wizualizacji rodzaju informacji, z którymi masz do czynienia, niezależnie od tego, czy są to dane Twoich klientów, czy Twoje.

Jeśli oferujesz usługi przetwarzania płac, możesz użyć SOC 1. Jeśli przetwarzasz lub przechowujesz dane klientów, możesz potrzebować raportu SOC 2. Podobnie, jeśli potrzebujesz mniej formalnej zgodności, co jest najlepsze do celów marketingowych, możesz chcieć skorzystać z raportu SOC 3.