Uyumluluğu Anlama SOC 1 - SOC 2 - SOC 3

Yayınlanan: 2022-09-06

Uyum, kuruluşunuzun büyümesinin çok önemli bir yönüdür.

Bir SaaS işi yürütmek ve orta ölçekli müşterileri hedeflemek istediğinizi varsayalım. Bu durumda, geçerli kural ve düzenlemelere uymanız ve şirketiniz için daha güçlü bir güvenlik duruşu sürdürmeniz gerekir.

Birçok kuruluş, güvenlik anketleri uygulayarak bu gereksinimleri atlamaya çalışır.

Bu nedenle, bir müşteri veya müşteri SOC sertifikası talep ettiğinde, yönetmeliklere uymanın ne kadar önemli olduğunu anlayabilirsiniz.

Hizmet Kuruluşu Kontrolü (SOC) uyumluluğu, bir kuruluşun, kuruluşunuzun sahip olduğu belirli kontrolleri gösteren bir üçüncü taraf denetimini tamamladığı bir tür sertifikasyon anlamına gelir. SOC uyumluluğu, tedarik zinciri ve SOC siber güvenliği için de geçerlidir.

Nisan 2010'da, Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA), SAS 70'in değişikliğini duyurdu. İyileştirilmiş ve yeni denetim standardı, Onaylama Görevleri için Standartlar Bildirisi (SSAE 16) olarak adlandırıldı.

SSAE 16 denetiminin yanı sıra, bir hizmet kuruluşunun kontrollerini incelemek için üç rapor daha oluşturulmuştur. Bunlara üç rapor içeren SOC raporları denir - farklı hedefler taşıyan SOC 1, SOC 2 ve SOC 3 raporları.

Bu makalede, her bir SOC raporundan ve bunların nereye uygulanacağından ve BT güvenliğine nasıl uyduklarından bahsedeceğim.

İşte başlıyoruz!

SOC Raporu Tam Olarak Nedir?

SOC Raporu Tam Olarak Nedir?

SOC raporları, bir kuruluşa para ve zaman açısından fayda sağlayan bir rekabet avantajı olarak düşünülebilir. Bir kuruluşun farklı yönlerini incelemek için aşağıdakiler dahil üçüncü taraf ve bağımsız denetçilerden yararlanır:

  • kullanılabilirlik
  • Gizlilik
  • Mahremiyet
  • İşleme bütünlüğü
  • Güvenlik
  • Siber güvenlikle ilgili kontroller
  • Finansal raporlamayla ilgili kontroller

SOC raporları, bir şirketin potansiyel hizmet sağlayıcıların uyumlu ve etik bir şekilde çalıştığından emin olmasını sağlar. Denetimler yanıltıcı olabilse de, muazzam bir güvenlik ve güven sunabilirler. SOC raporları, bir hizmet sağlayıcının güvenilirliğini ve güvenilirliğini belirlemeye yardımcı olur.

Ayrıca, SOC raporları aşağıdakiler için yararlıdır:

  • Satıcı yönetimi programları
  • Organizasyonun gözetimi
  • Düzenleyici gözetim
  • Risk yönetimi süreci ve iç kurumsal yönetişim

SOC Raporu Neden Gereklidir?

Veri merkezi şirketleri, SaaS sağlayıcıları, kredi sağlayıcıları ve talep işlemcileri gibi çeşitli hizmet kuruluşlarının SOC incelemesinden geçmesi gerekir. Bu kuruluşların, müşterilerinin veya kullanıcı kuruluşlarının finansal verilerini veya hassas verilerini saklaması gerekir.

SOC Raporu Neden Gereklidir?

Dolayısıyla diğer şirketlere veya kullanıcılara hizmet veren her şirket SOC sınavından faydalanabilir. Bir SOC raporu, potansiyel müşterilerinizin şirketin meşru olduğunu bilmesini sağlamakla kalmaz, aynı zamanda değerlendirme süreçleri aracılığıyla kontrollerinizin veya müşterilerinizin kusurlarını ve zayıflıklarını da önünüzde ortaya çıkarır.

Bir SOC Değerlendirmesinden Ne Bekleyebilirsiniz?

Bir SOC değerlendirme sürecinden geçmeden önce, kuruluşunuza en uygun SOC raporuna ihtiyacınız olduğunu belirlemelisiniz. Ardından, hazırlık değerlendirmesiyle birlikte resmi bir süreç başlayacak.

Hizmet kuruluşları, olası tehlike işaretlerini, boşlukları, eksiklikleri ve daha fazlasını belirleyerek kendilerini sınava hazırlar. Bu şekilde şirket, bu kusurları ve zayıflıkları onarmak için mevcut seçenekleri anlayabilir.

SOC Denetimini Kimler Yapabilir?

SOC denetimleri, bağımsız Yeminli Mali Müşavirler (CPA) veya muhasebe firmaları tarafından gerçekleştirilir.

AICPA, SOC denetçilerinin çalışmalarını düzenlemeye yönelik profesyonel standartlar oluşturur. Buna ek olarak, organizasyonlar tarafından yürütme, planlama ve gözetim ile ilgili belirli yönergelere uyulmalıdır.

SOC Denetimini Kimler Yapabilir?

Her AICPA denetimi daha sonra meslektaş incelemesinden geçer. CPA kuruluşları veya firmaları, bir SOC denetimine hazırlanmak için bilgi teknolojisi ve güvenlik becerilerine sahip CPA olmayan profesyonelleri de işe alır. Ancak nihai raporun EBM tarafından kontrol edilmesi ve açıklanması gerekir.

Nasıl çalıştıklarını anlamak için her raporu ayrı ayrı inceleyelim.

SOC 1 Nedir?

SOC1

SOC 1'in ana hedefi, kullanıcı kuruluşun mali tablolarının denetimiyle ilgili olan SOC 1 belgeleri ve iç kontrollerin süreç alanlarındaki hedefleri kontrol etmektir.

Basitçe söylemek gerekirse, kuruluşun hizmetlerinin kullanıcı kuruluşun mali raporlamasını ne zaman etkilediğini size söyler.

SOC 1 Raporu Nedir?

Bir SOC 1 raporu, hizmet alan işletmenin finansal raporlama üzerindeki kontrolüne uygulanabilir hizmet kuruluşu kontrolünü belirler. Kullanıcı varlıklarının taleplerini karşılamak için tasarlanmıştır. Bunda muhasebeciler, hizmet kuruluşunun iç kontrollerinin etkinliğini değerlendirir.

İki tür SOC 1 raporu vardır:

  • SOC 1 Tip 1: Bu rapor genellikle bir hizmet kuruluşunun sistemine odaklanır ve belirtilen tarihteki açıklama ile birlikte kontrol hedeflerine ulaşmak için sistem kontrollerinin uygunluğunu kontrol eder.

SOC 1 Tip 1 raporları yalnızca denetçiler, yöneticiler ve kullanıcı kuruluşlarla sınırlıdır, tipik olarak hizmet sağlayıcılar herhangi bir hizmet kuruluşuna aittir. Bir hizmet denetçisi, SSAE 16'nın tüm gerekliliklerini kapsayan raporu belirler.

  • SOC 1 Tip 2 : Bu rapor, SOC 1 Tip 1 raporu ile benzer görüş ve analizlere sahiptir. Ancak, belirli bir süre boyunca tüm kontrol hedeflerini elde etmek için tasarlanmış önceden oluşturulmuş kontrollerin etkinliğine ilişkin görüşleri içerir.

Bir SOC 1 Tip 2 raporunda, kontrol hedefleri, iç kontrolün azaltmak istediği potansiyel risklere yol açar. Kapsam, ilgili kontrol alanlarını içerir ve makul güvenceler sunar. Ayrıca, yalnızca yetkili ve uygun eylemleri gerçekleştirme konusunda bir sınır olduğunu söylüyor.

SOC 1'in Amacı Nedir?

Daha önce tartıştığımız gibi, SOC 1, finansal raporlama genelinde iç kontrolleri ele alan Hizmet Organizasyonu Kontrol serisinin ilk bölümüdür. Ortaklar ve müşteriler için finansal verilerle doğrudan etkileşime giren işletmeler için geçerlidir.

Böylece, bir kuruluşun etkileşimini güvence altına alır, kullanıcıların mali tablolarını saklar ve iletir. Ancak, SOC 1 raporu, yatırımcıların, müşterilerin, denetçilerin ve yönetimin, AICPA yönergeleri kapsamında finansal raporlamayla ilgili iç kontrolleri değerlendirmesine yardımcı olur.

SOC 1 Uyumluluğu Nasıl Korunur?

SOC 1 uyumluluğu, belirli bir süre boyunca SOC 1 raporuna eklenen tüm SOC 1 kontrollerini yönetme sürecini tanımlar. SOC 1 kurallarının işleyişinin etkinliğini sağlar.

SOC 1 Uyumluluğu Nasıl Korunur?

Kontroller genellikle kontrol hedeflerine dayalı olarak makul bir güvence sunmak için kullanılan BT kontrolleri, iş süreci kontrolleri vb.dir.

SOC 2 Nedir?

soc2

AICPA tarafından geliştirilen SOC 2, güvenilir hizmetler sunmak için 5 ilkeye dayalı olarak müşteri bilgilerini kontrol etme veya yönetme kriterlerini açıklar: Bu ilkeler şunlardır:

  • Kullanılabilirlik , olağanüstü durum kurtarma, güvenlik olayı işleme ve performans izlemeyi içerir.
  • Gizlilik : Şifreleme, iki faktörlü kimlik doğrulama (2FA) ve erişim kontrolünü içerir.
  • Güvenlik : İzinsiz giriş tespiti, iki faktörlü kimlik doğrulama ve ağ veya uygulama güvenlik duvarlarını içerir.
  • Gizlilik : Erişim kontrollerini, şifrelemeyi ve uygulama güvenlik duvarlarını içerir.
  • İşleme bütünlüğü : İşlem izleme ve kalite güvencesini içerir.

SOC 2, PCI DSS'den farklı olarak katı gereksinimleri nedeniyle her kuruluş için benzersizdir. Belirli iş uygulamalarıyla, her tasarımın çoklu güven ilkelerine uyma kontrolü vardır.

SOC 2 Raporu Nedir?

Bir SOC 2 raporu, hizmet kuruluşlarının geneli tanımlamak için bir rapor almasına ve paydaşlarla paylaşmasına olanak tanır; Yerinde güvenli olan BT kontrolleri.

SOC 2 Raporu Nedir?

İki tür SOC 2 raporu vardır:

  • SOC 2 Tip 1 : Satıcının sistemlerini tanımlar ve satıcının tasarımının güven ilkelerini karşılamaya uygun olup olmadığını söyler.
  • SOC 2 Tip 2 : Satıcının sistemlerinin operasyonel etkinliğinin ayrıntılarını paylaşır.

SOC 2, tanımlanmış gereksinimler olmadığı için bilgi güvenliği çerçeveleri ve standartları konusunda kuruluştan kuruluşa farklılık gösterir. AICPA, bir hizmet kuruluşunun, sunulan hizmetleri korumak için sahip olduğu kontrolleri göstermek için seçtiği kriterleri sağlar.

SOC 2'nin Amacı Nedir?

SOC 2'ye uygunluk, kuruluşun yüksek bir bilgi güvenliği seviyesini kontrol ettiğini ve koruduğunu gösterir. Sıkı uyumluluk, kuruluşların kritik bilgilerinin güvende olduğundan emin olmalarını sağlar.

SOC 2'ye uyarak şunları elde edersiniz:

  • Kuruluşun kendisini siber saldırılara ve güvenlik ihlallerine karşı koruduğu gelişmiş veri güvenliği uygulamaları.
  • Müşteriler, özellikle bulut ve BT hizmetleri için sağlam veri güvenliği uygulamalarına sahip hizmet sağlayıcılarla çalışmak istediğinden rekabet avantajı.
SOC 2'nin Amacı Nedir?

Bir kuruluşun kullandığı verilerin ve varlıkların yetkisiz kullanımını kısıtlar. Güvenlik ilkeleri, kuruluşların verileri kötü niyetli saldırılara, kötüye kullanıma, şirket bilgilerinin yetkisiz ifşasına veya değiştirilmesine ve yetkisiz veri silinmesine karşı korumak için erişim denetimleri eklemesini gerektirir.

SOC 2 Uyumluluğu Nasıl Korunur?

SOC 2 uyumluluğu, bir kuruluşun müşteri bilgilerini nasıl yönettiğini belirten, AICPA tarafından geliştirilen gönüllü bir standarttır. Standart, güvenlik, işlem bütünlüğü, gizlilik, mahremiyet ve kullanılabilirlik olmak üzere beş Güven Hizmetleri Kriteri ile tanımlanır.

SOC uyumluluğu her organizasyonun ihtiyaçlarına göre uyarlanır. İş uygulamalarına bağlı olarak bir kuruluş, bir veya daha fazla Güven Hizmeti İlkesine uyması gereken tasarım kontrollerini seçebilir. DDoS koruması, yük dengeleme, saldırı analitiği, web uygulaması güvenliği, CDN aracılığıyla içerik teslimi ve daha fazlasını içeren tüm hizmetleri kapsar.

SOC 2 Uyumluluğu Nasıl Korunur?

Basit bir ifadeyle, SOC 2 uyumluluğu, açıklayıcı bir araç, süreç veya kontrol listesi değildir; bunun yerine, bilgi güvenliğini sağlamak için çok önemli olan kriterlere duyulan ihtiyacı belirtir. Bu, her kuruluşun operasyonları ve hedefleri ile ilgili en iyi süreçleri ve uygulamaları benimsemesine olanak tanır.

Aşağıda temel SOC 2 uyumluluğunun kontrol listesi bulunmaktadır:

  • Erişim kontrolleri
  • Sistem işlemleri
  • Riski azaltma
  • Yönetimi değiştir

SOC 3 Nedir?

soc3-1

SOC 3, bir hizmet kuruluşunun veri merkezleri ve bulut güvenliği üzerindeki iç kontrolünün gücünü tanımlamak için AICPA'nın geliştirdiği bir denetim prosedürüdür. Bir SOC 3 çerçevesi ayrıca aşağıdakileri içeren Güven Hizmetleri Kriterlerini temel alır:

  • Güvenlik : Sistemler ve bilgiler yetkisiz ifşaya, yetkisiz erişime ve sistemlerin zarar görmesine karşı güvendedir.
  • Süreç Bütünlüğü : Sistem işlemenin geçerli, doğru, yetkilendirilmiş, zamanında ve kurumun taleplerini karşılayacak şekilde eksiksiz olmasıdır.
  • Kullanılabilirlik : Kuruluşun taleplerini karşılamak için kullanım ve operasyon için sistemler ve bilgiler mevcuttur.
  • Gizlilik : Kişisel bilgiler, işletmenin taleplerini karşılamak için kullanılır, ifşa edilir, imha edilir, saklanır ve toplanır.
  • Gizlilik : Kritik olarak belirlenen bilgiler, kurumun gereksinimlerini karşılamak için korunur.

SOC 3'ün yardımıyla hizmet kuruluşları, müşterilere sundukları hizmet için bu Güven Hizmetleri kriterlerinden hangisinin geçerli olduğunu belirler. Ayrıca Standartlara İlişkin Açıklamalarda ek raporlama, performans gereksinimleri ve uygulama kılavuzu bulacaksınız.

SOC 3 Raporu Nedir?

SOC 3 Raporu Nedir?

SOC 3 raporları, SOC 2 ile aynı bilgilere sahiptir ancak hedef kitle açısından farklılık gösterir. Bir SOC 3 raporu yalnızca genel izleyicilere yöneliktir. Bu raporlar kısadır ve bir SOC 2 raporuyla tam olarak aynı verileri içermez. Paydaşlar ve bilgili izleyiciler için uygun olarak inşa edilirler.

SOC 3 raporu daha genel olduğundan, uyumluluğunu açıklayan bir mühürle birlikte bir şirketin web sitesinde hızlı ve açık bir şekilde paylaşılabilir. Uluslararası muhasebe standartlarına ayak uydurmaya yardımcı olur.

Örneğin, AWS, SOC 3 raporunun genel olarak indirilmesine izin verir.

SOC 3'ün Amacı Nedir?

Şirketler, özellikle küçük veya yeni başlayanlar, genellikle belirli temel hizmetleri şirket içinde kontrol etmek veya sürdürmek için yeterli kaynağa sahip değildir. Bu nedenle, bu şirketler, bu hizmetler için yeni bir departman oluşturmak için fazladan çaba veya para yatırmak yerine, genellikle hizmetleri üçüncü taraf sağlayıcılara dış kaynak olarak sağlar.

Bu nedenle, dış kaynak kullanımı daha iyi bir seçenektir ancak riskli olabilir. Bunun nedeni, bir kuruluşun dış kaynak kullanmayı seçtiği hizmetlere bağlı olarak müşteri verilerini veya hassas bilgileri üçüncü taraf sağlayıcılarla paylaşmasıdır.

SOC 3'ün Amacı Nedir?

Ancak, kuruluşlar yalnızca SOC 3 uyumluluğunu gösteren satıcılarla ortak olmalıdır.

SOC 3 uyumluluğu, SSAE 18'in AT-C Bölüm 205 ve AT-C Bölüm 105'ini temel alır. Bağımsız yönetimin tanımına ve denetçi raporuna ilişkin temel bilgileri içerir. PaaS, IaaS ve SaaS sağlayıcıları dahil olmak üzere müşteri bilgilerini bulutta depolayan tüm hizmet sağlayıcılar için geçerlidir.

SOC 3 Uyumluluğu Nasıl Korunur?

SOC 3, SOC 2'nin sonraki sürümüdür, dolayısıyla denetim prosedürü aynıdır. Hizmet denetçileri, aşağıdaki politikaları ve kontrolleri aramaktadır:

  • Olağanüstü durum kurtarma
  • İzinsiz giriş tespiti
  • Performans izleme
  • Kalite güvencesi
  • İki faktörlü kimlik doğrulama
  • Güvenlik olayı yönetimi
  • İşleme izleme
  • şifreleme
  • Erişim kontrolleri
  • Ağ ve uygulama güvenlik duvarları
SOC 3 Uyumluluğu Nasıl Korunur?

Denetim tamamlandıktan sonra denetçi, bulgulara dayalı olarak bir rapor oluşturur. Ancak bir SOC 3 raporu, yalnızca halk için gerekli bilgileri paylaştığı için çok daha az ayrıntılıdır. Hizmet kuruluşu, pazarlama amacıyla nihai denetimi tamamladıktan sonra sonuçları serbestçe paylaşır. Denetimi geçmek için neye odaklanmanız gerektiğini söyler. Bu nedenle, hizmet kuruluşuna şunlar tavsiye edilir:

  • Kontrolleri dikkatlice seçin.
  • Kontroller içindeki boşlukları belirlemek için bir değerlendirme yapın
  • Düzenli aktiviteyi anlayın
  • Olay uyarısı için sonraki adımları açıklayın
  • Nihai incelemeyi gerçekleştirmek için kalifiye bir hizmet denetçisi arayın

Artık her bir uyumluluk türü hakkında bir fikriniz olduğuna göre, her firmanın piyasada ayakta kalmasına nasıl yardımcı olduklarını bilmek için üçü arasındaki farkları anlayalım.

SOC 1 vs SOC 2 vs SOC 3: Farklar

SOC 1 vs SOC 2 vs SOC 3: Farklar

Aşağıdaki tablo, her bir SOC raporunun amaçlarını ve faydalarını açıklamaktadır.

SOC 1 SOC 2 SOC 3
Test prosedürleri ve sonuçları dahil olmak üzere tip 1 tasarım ve tip 2 tasarım veya operasyon hakkında görüşler verir. Sonuçlar ve prosedürler de dahil olmak üzere, kuruluşun operasyonlarına ilişkin ortaklardan gelen talepleri karşılamak için tek bir çıktı. SOC 2 uyumluluğuna benzer ancak daha az bilgi içerir. Test prosedürlerini, sonuçları veya kontrolleri içermez.
Finansal raporlamaya ilişkin iç kontroller için gerekli olan gereklilikleri kontrol eder. Mali olmayan kontroller, konu için gerekli olan beş Güven İlkesi ile değerlendirilir. Aynı zamanda beş Güven Hizmetleri Kriterine de bağlıdır.
Müşterilere ve denetçilere sınırlı dağıtım Sınırlı dağıtım düzenleyicileri, müşteriler ve denetçiler raporda tanımlanacaktır. Müşteri pazarlamasına yardımcı olun. Sınırsız dağıtım
Sistemin tanımı, kontrolü, prosedürü ve sonucu hakkında şeffaflığı korur. SOC 1'e tam olarak benzer bir şeffaflık seviyesi sağlar Pazarlama faydaları için raporların genel dağıtımı.
Mali kontrollere odaklanır. Operasyonel kontrollere odaklanır. SOC 2'ye benzer ancak daha az bilgi içerir.
Hizmet organizasyonunun sistemlerini açıklar. Ayrıca hizmet organizasyonunun sistemlerini de açıklar. İşletmenin sistem üzerindeki yeterli kontrolleri hakkında CPA'nın görüşünü açıklar.
İç kontrolleri raporlar. Kullanılabilirliği, gizliliği, gizliliği, işlem bütünlüğünü ve güvenlik kontrollerini bildirir. SOC 2'ye benzer
Kullanıcı denetleyicisinin ofisi ve kullanıcı denetçisi SOC 1'i kullanır. NDA kapsamında düzenleyiciler, yönetim ve diğerleri tarafından paylaşılır. Halkın kullanımına açıktır.
Denetçilerin çoğu “Bilmesi Gerekenler”dir. Çoğu paydaş ve müşterinin “Bilmesi Gerekenler”. Kamuoyu
Örnek: tıbbi talep işlemcileri. Örnek: bulut depolama şirketi. Örnek: bir kamu kuruluşu.

Çözüm

Hangi SOC uyumluluğunun kuruluşunuz için en uygun olacağına karar vermek, müşterilerinizin veya sizin veriniz olsun, uğraştığınız bilgi türünü görselleştirmenizi gerektirir.

Bordro işleme hizmetleri sunuyorsanız, SOC 1'i kullanmak isteyebilirsiniz. Müşteri verilerini işliyor veya barındırıyorsanız, bir SOC 2 raporuna ihtiyacınız olabilir. Benzer şekilde, pazarlama amaçları için en iyisi olan daha az resmi uyumluluğa ihtiyacınız varsa, bir SOC 3 raporu ile gitmek isteyebilirsiniz.