March 8, 2026
Patarimai

Kas yra SOC 2 | SOC 2 atitikties ir sertifikavimo vadovas

tomas

Informacijos saugumas kelia susirūpinimą visoms organizacijoms, įskaitant tas, kurios perduoda pagrindinę verslo operaciją trečiųjų šalių tiekėjams (pvz., „SaaS“, debesų kompiuterijos tiekėjams). Teisingai, nes netinkamai tvarkomi duomenys, ypač programų ir tinklo saugos teikėjų, gali palikti įmones pažeidžiamas atakų, tokių kaip duomenų vagystės, turto prievartavimas ir kenkėjiškų programų diegimas.

SOC 2 yra audito procedūra, užtikrinanti, kad jūsų paslaugų teikėjai saugiai tvarkys jūsų duomenis, kad apsaugotų jūsų organizacijos interesus ir jos klientų privatumą. Verslui, besirūpinančiam saugumu, SOC 2 laikymasis yra minimalus reikalavimas, atsižvelgiant į „SaaS“ teikėją.

Kas yra SOC 2

Amerikos CPA instituto (AICPA) sukurtas SOC 2 apibrėžia klientų duomenų valdymo kriterijus, pagrįstus penkiais „pasitikėjimo paslaugų principais“ – saugumu, prieinamumu, apdorojimo vientisumu, konfidencialumu ir privatumu.

SOC 2 sertifikavimo kriterijai

Skirtingai nuo PCI DSS, kuriai keliami labai griežti reikalavimai, SOC 2 ataskaitos yra unikalios kiekvienai organizacijai. Laikydamiesi konkrečios verslo praktikos, kiekvienas sukuria savo kontrolę, kad atitiktų vieną ar kelis pasitikėjimo principus.

Šios vidinės ataskaitos suteikia jums (kartu su reguliavimo institucijomis, verslo partneriais, tiekėjais ir kt.) Svarbią informaciją apie tai, kaip jūsų paslaugų teikėjas tvarko duomenis.

Yra dviejų tipų SOC ataskaitos:

  • I tipas apibūdina tiekėjo sistemas ir tai, ar jų dizainas yra tinkamas atitikti svarbius pasitikėjimo principus.
  • II tipas apibūdina tų sistemų veikimo efektyvumą.

SOC 2 sertifikatas

SOC 2 sertifikatą išduoda išorės auditoriai. Jie vertina, kiek pardavėjas laikosi vieno ar daugiau iš penkių pasitikėjimo principų, pagrįstų esamomis sistemomis ir procesais.

Pasitikėjimo principai yra suskirstyti taip:

1. Saugumas

Saugumo principas reiškia sistemos išteklių apsaugą nuo neteisėtos prieigos. Prieigos valdikliai padeda išvengti galimo piktnaudžiavimo sistema, vagystės ar neteisėto duomenų pašalinimo, netinkamo programinės įrangos naudojimo ir netinkamo informacijos pakeitimo ar atskleidimo.

IT saugos priemonės, tokios kaip tinklo ir žiniatinklio programų užkardos (WAF), dviejų veiksnių autentifikavimas ir įsibrovimo aptikimas, yra naudingos siekiant užkirsti kelią saugumo pažeidimams, kurie gali sukelti neteisėtą prieigą prie sistemų ir duomenų.

2. Prieinamumas

Prieinamumo principas reiškia sistemos, produktų ar paslaugų prieinamumą, kaip numatyta sutartyje ar paslaugų lygio susitarime (SLA). Minimalų priimtiną sistemos pasiekiamumo lygį nustato abi šalys.

Šis principas nėra susijęs su sistemos funkcionalumu ir tinkamumu naudoti, tačiau apima su saugumu susijusius kriterijus, kurie gali turėti įtakos prieinamumui. Tinklo našumo ir prieinamumo stebėjimas, svetainės perjungimas ir saugos incidentų tvarkymas yra labai svarbūs šiame kontekste.

3. Apdorojimo vientisumas

Apdorojimo vientisumo principas nurodo, ar sistema pasiekia savo paskirtį (ty pateikia reikiamus duomenis tinkama kaina tinkamu laiku). Atitinkamai, duomenų tvarkymas turi būti išsamus, pagrįstas, tikslus, savalaikis ir patvirtintas.

Tačiau vientisumo apdorojimas nebūtinai reiškia duomenų vientisumą. Jei duomenyse yra klaidų prieš juos įvedant į sistemą, už jų aptikimą paprastai nėra atsakingas apdorojimo subjektas. Duomenų apdorojimo stebėjimas kartu su kokybės užtikrinimo procedūromis gali padėti užtikrinti tvarkymo vientisumą.

4. Konfidencialumas

Duomenys laikomi konfidencialiais, jei prieiga prie jų ir atskleidimas yra ribojamas nurodytų asmenų ar organizacijų. Pavyzdžiai gali būti duomenys, skirti tik įmonės personalui, taip pat verslo planai, intelektinė nuosavybė, vidiniai kainoraščiai ir kita neskelbtina finansinė informacija.

Šifravimas yra svarbi kontrolė siekiant apsaugoti konfidencialumą perdavimo metu. Tinklo ir programų ugniasienės kartu su griežta prieigos kontrole gali būti naudojamos apsaugoti kompiuteriuose apdorojamą ar saugomą informaciją.

5. Privatumas

Privatumo principas apima sistemos asmeninės informacijos rinkimą, naudojimą, saugojimą, atskleidimą ir šalinimą laikantis organizacijos privatumo pranešimo, taip pat kriterijų, nustatytų AICPA visuotinai priimtuose privatumo principuose (GAPP).

Asmenį identifikuojanti informacija (PII) reiškia informaciją, kuria galima atskirti asmenį (pvz., Vardas, adresas, socialinio draudimo numeris). Kai kurie asmens duomenys, susiję su sveikata, rase, seksualumu ir religija, taip pat laikomi neskelbtinais ir paprastai reikalauja papildomo apsaugos lygio. Turi būti įdiegtos kontrolės priemonės, kad būtų apsaugoti visi AII nuo neteisėtos prieigos.

globos sonaro internetinis seminaras 550x295 1

Sužinokite, kaip „Imperva“ duomenų apsauga gali padėti laikytis SOC 2.

SOC 2 laikymosi svarba

Nors „SaaS“ ir debesų kompiuterijos tiekėjams SOC 2 laikymasis nėra reikalavimas, jo vaidmens užtikrinant jūsų duomenis negalima pervertinti.

„Imperva“ reguliariai tikrina, ar laikomasi kiekvieno iš penkių pasitikėjimo principų reikalavimų ir ar mes toliau laikomės SOC 2 reikalavimų. Atitikimas taikomas visoms mūsų teikiamoms paslaugoms, įskaitant žiniatinklio programų saugumą, DDoS apsaugą, turinio pristatymą per mūsų CDN, apkrovos balansavimą ir „Attack Analytics“.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Previous post https://www.socialmediaexaminer.com/linkedin-website-demographics-what-marketers-need-to-know/
Next post Ką turėtų skaityti jūsų mokytojų knygų klubas?

More Stories

Recent Post

Top Category

Lietuva

Apie viską

Lietuviški

Mityba