VING doo
Bulevar Oslobođenja 60A/75
21000 Novi Sad, Srbija
Tel: +381 21 455 044
Mob: +381 64 64 19 792
Mob: +381 65 22 64 600
E-mail: info@ving.co.rs
Šta je SOC 2?
SOC 2 je bezbednosni okvir koji određuje kako organizacije treba da zaštite podatke kupaca od neovlašćenog pristupa, bezbednosnih incidenata i drugih ranjivosti. Američki institut ovlašćenih javnih računovođa razvio je SOC 2 oko pet kriterijuma usluga poverenja: bezbednost, dostupnost, integritet obrade, poverljivost i privatnost.
SOC 2 je osmišljen da pruži revizorima smernice za procenu operativne efikasnosti bezbednosnih protokola organizacije. Bezbednosni okvir SOC 2 pokriva kako organizacija treba da rukuje podacima o klijentima koji se čuvaju u oblaku.
Kome je namenjen SOC 2?
SOC 2 izveštaji su jedinstveni za svaku organizaciju. U skladu sa specifičnim poslovnim praksama, svaka organizacija osmišljava sopstvene kontrole kako bi se uskladila sa jednim ili više principa poverenja. Ovi interni izveštaji pružaju vama (zajedno sa regulatorima, poslovnim partnerima, dobavljačima itd.) važne informacije o tome kako vaš dobavljač usluga upravlja podacima.
Postoje dve vrste izveštaja o poverenju:
- Tip I opisuje sisteme dobavljača i da li je njihov dizajn pogodan za ispunjavanje relevantnih principa poverenja.
- Tip II detaljno opisuje operativnu efikasnost tih sistema.
Izveštaji SOC 2 su stoga namenjeni da zadovolje potrebe širokog spektra korisnika kojima su potrebne detaljne informacije i uveravanja o kontrolama u servisnoj organizaciji koje se odnose na bezbednost, dostupnost i integritet obrade sistema koje servisna organizacija koristi za obradu podataka korisnika, kao i poverljivost i privatnost informacija koje obrađuju ovi sistemi. Izveštaji SOC 2 igraju vitalnu ulogu u nadzoru organizacije, programa upravljanja dobavljačima, procesa korporativnog upravljanja i upravljanja rizicima, nadzora usklađenosti sa propisima i još mnogo toga.
Šta je to sertifikacija SOC 2?
SOC 2 sertifikaciju izdaju spoljni revizori. Oni procenjuju u kojoj meri se dobavljač pridržava jednog ili više od pet principa poverenja na osnovu sistema i procesa koji su na snazi.
Principi poverenja su podeljeni na sledeći način:
- Bezbednost
Princip bezbednosti se odnosi na zaštitu sistemskih resursa od neovlašćenog pristupa. Kontrole pristupa pomažu u sprečavanju potencijalne zloupotrebe sistema, krađe ili neovlašćenog uklanjanja podataka, zloupotrebe softvera i nepravilne izmene ili otkrivanja informacija.
IT bezbednosni alati kao što su mrežni i veb aplikacijski zaštitni zidovi, dvofaktorska autentifikacija i detekcija upada korisni su u sprečavanju kršenja bezbednosti koja mogu dovesti do neovlašćenog pristupa sistemima i podacima.
- Dostupnost
Princip dostupnosti se odnosi na dostupnost sistema, proizvoda ili usluga kako je predviđeno ugovorom ili sporazumom o nivou usluge. Kao takav, minimalni prihvatljivi nivo performansi za dostupnost sistema postavljaju obe strane.
Ovaj princip se ne bavi funkcionalnošću i upotrebljivošću sistema, ali uključuje kriterijume vezane za bezbednost koji mogu uticati na dostupnost. Praćenje performansi i dostupnosti mreže, prebacivanje lokacije u slučaju otkaza i rešavanje bezbednosnih incidenata su ključni u ovom kontekstu.
- Integritet obrade
Princip integriteta obrade se odnosi na to da li sistem postiže svoju svrhu (tj. da li isporučuje prave podatke po pravoj ceni u pravo vreme). Shodno tome, obrada podataka mora biti potpuna, validna, tačna, blagovremena i ovlašćena.
Međutim, integritet obrade ne podrazumeva nužno integritet podataka. Ako podaci sadrže greške pre nego što budu uneti u sistem, njihovo otkrivanje obično nije odgovornost entiteta za obradu. Praćenje obrade podataka, zajedno sa procedurama obezbeđivanja kvaliteta, može pomoći u obezbeđivanju integriteta obrade.
- Poverljivost
Podaci se smatraju poverljivim ako je njihov pristup i otkrivanje ograničeno na određeni skup osoba ili organizacija. Primeri mogu uključivati podatke namenjene samo osoblju kompanije, kao i poslovne planove, intelektualnu svojinu, interne cenovnike i druge vrste osetljivih finansijskih informacija.
Šifrovanje je važna kontrola za zaštitu poverljivosti tokom prenosa. Mrežni i aplikacijski zaštitni zidovi, zajedno sa rigoroznim kontrolama pristupa, mogu se koristiti za zaštitu informacija koje se obrađuju ili čuvaju na računarskim sistemima.
- Privatnost
Princip privatnosti se odnosi na prikupljanje, korišćenje, čuvanje, otkrivanje i odlaganje ličnih podataka od strane sistema u skladu sa obaveštenjem o privatnosti organizacije, kao i sa kriterijumima utvrđenim u opšteprihvaćenim principima privatnosti.
Lični podaci koji mogu da identifikuju pojedinca (npr. ime, adresa, broj socijalnog osiguranja). Neki lični podaci koji se odnose na zdravlje, rasu, seksualnost i religiju takođe se smatraju osetljivim i generalno zahtevaju dodatni nivo zaštite. Moraju se uspostaviti kontrole kako bi se svi lični podaci zaštitili od neovlašćenog pristupa.
Kontrole i izveštaji o atestaciji su jedinstveni za svaku organizaciju.
Svaka kompanija dizajnira sopstvene kontrole kako bi bila u skladu sa svojim kriterijumima za usluge poverenja.
Zatim se angažuje nezavisni revizor da proveri da li kontrole kompanije zadovoljavaju zahteve SOC 2.
Nakon revizije, revizor piše izveštaj o tome koliko dobro sistemi i procesi kompanije ispunjavaju SOC 2.
Svaka organizacija koja završi SOC 2 reviziju dobija izveštaj, bez obzira na to da li je prošla reviziju.
Evo termina koje revizori koriste da opišu rezultate revizije:
- Nekvalifikovano: Organizacija je prošla reviziju.
- Kvalifikovano: Organizacija je prošla, ali neka područja zahtevaju pažnju.
- Negativno: Organizacija nije prošla reviziju.
- Odricanje od mišljenja: Revizor nema dovoljno informacija da donese pravedan zaključak.
Postoje dve vrste izveštaja SOC 2:
- Izveštaji SOC 2 tipa I procenjuju kontrole kompanije u jednom trenutku. Odgovaraju na pitanje: da li su bezbednosne kontrole pravilno dizajnirane?
- Izveštaji SOC 2 tipa II procenjuju kako te kontrole funkcionišu tokom određenog vremenskog perioda, generalno 3-12 meseci. Odgovaraju na pitanje: da li bezbednosne kontrole koje kompanija ima funkcionišu kako je predviđeno?
Da biste izabrali između ova dva, razmotrite svoje ciljeve, troškove i vremenska ograničenja.
Izveštaj tipa I može se brže postići, ali izveštaj tipa II nudi veću sigurnost vašim klijentima.
Preporučujemo da odmah pređete na izveštaj SOC 2 tipa II.
Mnogi klijenti odbijaju izveštaje tipa I i verovatno će vam u nekom trenutku biti potreban izveštaj tipa II. Odmahom prelazeći na izveštaj tipa II, možete uštedeti vreme i novac tako što ćete obaviti jednu reviziju.
Ako vam je potreban izveštaj SOC 2 što pre, izveštaj tipa II koji pokriva kraći period pregleda od 3 meseca može biti idealno rešenje.
