Che cos'è la Conformità SOC 2?

SOC 2 è uno standard di conformità volontario per le organizzazioni di servizi, sviluppato dall'American Institute of CPAs (AICPA), che specifica come le organizzazioni devono gestire i dati dei clienti. Lo standard si basa sui seguenti criteri dei servizi fiduciari: sicurezza, disponibilità, integrità dell'elaborazione, riservatezza, privacy. Un rapporto SOC 2 è personalizzato in base alle esigenze uniche di ogni organizzazione. A seconda delle sue specifiche pratiche aziendali, ogni organizzazione può progettare controlli che seguano uno o più principi di fiducia. Questi rapporti interni forniscono alle organizzazioni e ai loro regolatori, partner commerciali e fornitori, informazioni importanti su come l'organizzazione gestisce i suoi dati. Esistono due tipi di rapporti SOC 2:

  • Il Tipo I descrive i sistemi dell'organizzazione e se il design del sistema è conforme ai principi fiduciari pertinenti.
  • Il Tipo II illustra nei dettagli l'efficienza operativa di questi sistemi.

Prova gratuita del CSPM Automatizzare la sua Conformità eBook

SOC 2 Compliance: the Basics and a 4-Step Compliance Checklist

Perché la conformità SOC 2 è importante?

La conformità ai requisiti SOC 2 indica che un'organizzazione mantiene un elevato livello di sicurezza delle informazioni. I rigorosi requisiti di Conformità (verificati attraverso audit in loco) possono aiutare a garantire che le informazioni sensibili siano gestite in modo responsabile.

 

La conformità al SOC 2 prevede:

  • Migliori pratiche di sicurezza informatica - grazie alle linee guida SOC 2, l'organizzazione può difendersi meglio da cyber attack e prevenire le violazioni.
  • Un vantaggio competitivo - perché i clienti preferiscono lavorare con fornitori di servizi che possono dimostrare di avere solide pratiche di sicurezza informatica, soprattutto per i servizi IT e cloud.

Chi può eseguire un audit SOC?

Gli audit SOC possono essere eseguiti solo da CPA (Certified Public Accountants) o società di contabilità indipendenti.

 

L'AICPA ha stabilito degli standard professionali volti a regolamentare il lavoro dei revisori SOC. Inoltre, devono essere seguite alcune linee guida relative alla pianificazione, all'esecuzione e alla supervisione dell'audit. Tutti gli audit dell'AICPA devono essere sottoposti a una revisione paritetica.

 

Le organizzazioni CPA possono assumere professionisti non CPA con competenze rilevanti in materia di tecnologia dell'informazione (IT) e sicurezza per preparare gli audit SOC, ma i rapporti finali devono essere forniti e divulgati dal CPA.

 

Se l'audit SOC condotto dal CPA ha successo, l'organizzazione di servizi può aggiungere il logo AICPA al proprio sito web.

Criterio di sicurezza SOC 2: una lista di controllo in 4 fasi

La sicurezza è la base della Conformità SOC 2 ed è un ampio standard comune a tutti e cinque i Criteri del Servizio Fiduciario.

 

I principi di sicurezza SOC 2 si concentrano sulla prevenzione dell'uso non autorizzato di beni e dati gestiti dall'organizzazione. Questo principio richiede alle organizzazioni di implementare controlli di accesso per prevenire attacchi maligni, cancellazione non autorizzata di dati, uso improprio, alterazione non autorizzata o divulgazione di informazioni aziendali.

 

Ecco una lista di controllo di base della Conformità SOC 2, che include controlli che coprono gli standard di sicurezza:

  1. Controlli di accesso:restrizioni logichee fisiche sulle risorse per impedire l'accesso da parte di personale non autorizzato.
  2. Gestione delle modifiche: unprocesso controllato per gestire le modifiche ai sistemi IT e i metodi per prevenire le modifiche non autorizzate.
  3. Operazioni di sistema: controlliin grado di monitorare le operazioni in corso, rilevare e risolvere eventuali deviazioni dalle procedure organizzative.
  4. Mitigazione del rischio: metodie attività che consentono all'organizzazione di identificare i rischi, nonché di rispondere e mitigarli, affrontando qualsiasi attività successiva.

 

Tenga presente che i criteri SOC 2 non prescrivono esattamente ciò che un'organizzazione deve fare: sono aperti all'interpretazione. Le aziende sono responsabili della selezione e dell'implementazione di misure di controllo che coprano ciascun principio.

Requisiti di conformità SOC 2: Altri criteri

La sicurezza copre le basi. Tuttavia, se la sua organizzazione opera nel settore finanziario o bancario, o in un settore in cui la privacy e la riservatezza sono fondamentali, potrebbe essere necessario soddisfare standard di Conformità più elevati.

 

I clienti preferiscono fornitori di servizi pienamente conformi a tutti e cinque i principi SOC 2. Questo dimostra che la sua organizzazione è fortemente impegnata nelle pratiche di sicurezza informatica.

 

Oltre ai principi di sicurezza di base, ecco come conformarsi ad altri principi SOC 2:

  • Disponibilità:il cliente puòaccedere al sistema secondo i termini di utilizzo e i livelli di servizio concordati?
  • Integrità dell'elaborazione: sel'azienda offre transazioni finanziarie o di eCommerce, il rapporto di audit deve includere dettagli amministrativi volti a proteggere la transazione. Ad esempio, la trasmissione è criptata? Se l'azienda fornisce servizi IT, come l'hosting e l'archiviazione dei dati, come viene mantenuta l'integrità dei dati all'interno di questi servizi?
  • Riservatezza:ci sono restrizioni sul modo in cui i dati vengono condivisi? Ad esempio, se la sua azienda ha istruzioni specifiche per l'elaborazione di informazioni di identificazione personale (PII) o di informazioni sanitarie protette (PHI), queste devono essere incluse nel documento di audit. Il documento deve specificare i metodi e le procedure di archiviazione, trasferimento e accesso dei dati per rispettare le politiche sulla privacy, come le procedure dei dipendenti.
  • Privacy: in che modol'organizzazione raccoglie e utilizza le informazioni dei clienti? La politica sulla privacy dell'azienda deve essere coerente con le procedure operative effettive. Ad esempio, se un'azienda dichiara di avvisare i clienti ogni volta che raccoglie dati, il documento di audit deve descrivere accuratamente il modo in cui gli avvisi vengono forniti sul sito web dell'azienda o su altri canali. La gestione dei dati personali deve, come minimo, seguire il Privacy Management Framework (PMF) dell'AICPA.

SOC 1 vs SOC 2

SOC 1 e SOC 2 sono due standard di Conformità diversi, con obiettivi diversi, entrambi regolamentati dall'AICPA. Il SOC 2 non è un "aggiornamento" del SOC 1. La tabella che segue spiega le differenze tra SOC 1 e SOC 2.

SOC 1 SOC 2
Scopo Aiuta un'organizzazione di servizi a riferire sui controlli interni che riguardano i bilanci dei suoi clienti. Aiuta un'organizzazione di servizi a riferire sui controlli interni che proteggono i dati dei clienti, in base ai cinque Criteri dei Servizi Fiduciari.
Obiettivi di controllo Un audit SOC 1 riguarda l'elaborazione e la protezione delle informazioni sui clienti attraverso i processi aziendali e informatici. Un audit SOC 2 copre tutte le combinazioni dei cinque principi. Alcune organizzazioni di servizi, ad esempio, si occupano di sicurezza e disponibilità, mentre altre possono implementare tutti e cinque i principi a causa della natura delle loro operazioni e dei requisiti normativi.
Audit destinato a Il CPA dei dirigenti dell'organizzazione sottoposta a revisione, dei revisori esterni, degli enti utilizzatori (clienti dell'organizzazione di servizi sottoposta a revisione) e dei CPA che revisionano i loro bilanci. Dirigenti, partner commerciali, prospect, supervisori della Conformità e revisori esterni dell'organizzazione sottoposta ad audit.
Audit utilizzato per Aiuta le entità utenti a comprendere l'impatto dei controlli delle organizzazioni di servizi sui loro bilanci. Supervisiona le organizzazioni di servizi, i piani di gestione dei fornitori, i processi interni di governance aziendale e di gestione del rischio e la supervisione normativa.

Conformità SOC 2 con Check Point

Molti prodotti di Check Point hanno soddisfatto i criteri di conformità SOC 2 applicabili ai servizi fiduciari, come CloudGuard Posture Management, CloudGuard Connect, Harmony Products, Infinity Portal e altri ancora. Consulti l'elenco completo qui.