信息安全是所有組織關(guān)注的一個原因,包括那些將關(guān)鍵業(yè)務(wù)運營外包給第三方供應(yīng)商(例如,SaaS、云計算提供商)的組織。這是正確的,因為數(shù)據(jù)處理不當(dāng)(尤其是應(yīng)用程序和網(wǎng)絡(luò)安全提供商處理不當(dāng))會使企業(yè)容易受到攻擊,例如數(shù)據(jù)盜竊、勒索和惡意軟件安裝。SOC 2 是一種審計程序,可確保您的服務(wù)提供商安全地管理您的數(shù)據(jù),以保護您的組織的利益及其客戶的隱私。對于注重安全的企業(yè),在考慮 SaaS 提供商時,SOC 2 合規(guī)性是最低要求。
什么是 SOC 2
SOC 2由美國注冊會計師協(xié)會 (?AICPA?) 開發(fā),基于五項“信任服務(wù)原則”——安全性、可用性、處理完整性、機密性和隱私——定義了管理客戶數(shù)據(jù)的標準。與?具有非常嚴格要求的PCI DSS不同,SOC 2 報告對于每個組織都是獨一無二的。根據(jù)特定的商業(yè)慣例,每個人都設(shè)計自己的控制以遵守一項或多項信任原則。這些內(nèi)部報告為您(以及監(jiān)管機構(gòu)、業(yè)務(wù)合作伙伴、供應(yīng)商等)提供有關(guān)您的服務(wù)提供商如何管理數(shù)據(jù)的重要信息。
SOC 報告有兩種類型:
- 類型 I 描述了供應(yīng)商的系統(tǒng)以及他們的設(shè)計是否適合滿足相關(guān)的信任原則。
- 類型 II 詳細說明了這些系統(tǒng)的運行有效性。
SOC 2認證
SOC 2 認證由外部審核員頒發(fā)。他們評估供應(yīng)商在多大程度上遵守基于現(xiàn)有系統(tǒng)和流程的五項信任原則中的一項或多項。
信任原則細分如下:
1. 安全
安全原則是指保護系統(tǒng)資源免受未經(jīng)授權(quán)的訪問。?訪問控制?有助于防止?jié)撛诘南到y(tǒng)濫用、盜竊或未經(jīng)授權(quán)的數(shù)據(jù)刪除、軟件濫用以及信息的不當(dāng)更改或泄露。網(wǎng)絡(luò)和Web 應(yīng)用程序防火墻 (WAF)、?雙因素身份驗證?和?入侵檢測等 IT 安全工具??可用于防止可能導(dǎo)致未經(jīng)授權(quán)訪問系統(tǒng)和數(shù)據(jù)的安全漏洞。
2.可用性
可用性原則是指合同或服務(wù)水平協(xié)議(SLA)所規(guī)定的系統(tǒng)、產(chǎn)品或服務(wù)的可訪問性。因此,系統(tǒng)可用性的最低可接受性能級別由雙方設(shè)定。該原則不涉及系統(tǒng)功能和可用性,但確實涉及可能影響可用性的安全相關(guān)標準。在這種情況下,監(jiān)控網(wǎng)絡(luò)性能和可用性、?站點故障轉(zhuǎn)移?和安全事件處理至關(guān)重要。
3.加工完整性
處理完整性原則解決了系統(tǒng)是否達到其目的(即,在正確的時間以正確的價格提供正確的數(shù)據(jù))。因此,數(shù)據(jù)處理必須完整、有效、準確、及時和授權(quán)。然而,處理完整性并不一定意味著數(shù)據(jù)完整性。如果數(shù)據(jù)在輸入系統(tǒng)之前包含錯誤,檢測它們通常不是處理實體的責(zé)任。數(shù)據(jù)處理的監(jiān)控與質(zhì)量保證程序相結(jié)合,有助于確保處理的完整性。
4.保密
如果數(shù)據(jù)的訪問和披露僅限于一組特定的個人或組織,則數(shù)據(jù)被視為機密。示例可能包括僅供公司人員使用的數(shù)據(jù),以及商業(yè)計劃、知識產(chǎn)權(quán)、內(nèi)部價目表和其他類型的敏感財務(wù)信息。加密是傳輸過程中保護機密性的重要控制。網(wǎng)絡(luò)和應(yīng)用程序防火墻,連同嚴格的訪問控制,可用于保護正在處理或存儲在計算機系統(tǒng)上的信息。
5.隱私
隱私原則涉及系統(tǒng)根據(jù)組織的隱私聲明以及 AICPA 普遍接受的隱私原則 (GAPP) 中規(guī)定的標準收集、使用、保留、披露和處置個人信息。個人身份信息 (PII) 是指可以區(qū)分個人的詳細信息(例如,姓名、地址、社會安全號碼)。一些與健康、種族、性和宗教有關(guān)的個人數(shù)據(jù)也被認為是敏感數(shù)據(jù),通常需要額外的保護。必須實施控制措施以保護所有 PII 免受未經(jīng)授權(quán)的訪問。
SOC 2 合規(guī)性的重要性
雖然 SOC 2 合規(guī)性不是 SaaS 和云計算供應(yīng)商的要求,但它在保護數(shù)據(jù)方面的作用怎么強調(diào)都不為過。
文章鏈接: http://www.qzkangyuan.com/13505.html
文章標題:在考慮SaaS提供商時,SOC 2合規(guī)性是最低要求
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
