Блог

SOC 2
IT 04.05.23

SOC 2 – что это, и нужен ли он?

SOC 2 – это отчёт, который получают сервисные организации (SaaS-компании), для гарантии безопасного хранения и использования данных клиентов.


История SOC 2

Аббревиатура SOC расшифровывается как Service and Organization Controls. SOC 2 разработан Американским институтом дипломированных присяжных бухгалтеров (AICPA) основываясь на критериях Trust Services Criteria (TSC). Впервые был запущен в 2010 году вместе с SOC 1 и SOC 3 в соответствии с SSAE 16. Спустя семь лет SSAE 16 был заменён на SSAE 18, который на данный момент используется для этих трёх отчётов.


Выделяют два типа отчётов SOC:

  • Тип I (Описывает системы у поставщика услуг и подходят ли они для соблюдения соответствий);
  • Тип II (Описывает же операционную эффективность систем).

Отчёты второго типа считаются более полезными, поскольку проверяется надлежащая работа всех средств контроля в течении определенного периода времени.

Отчёт SOC 2 выдаётся внешними аудиторами, которыми производится оценка степени соответствия принципам доверия на основе уже имеющихся процессов и систем.


Категории управления данными на основе “принципах доверительного обслуживания”:

  • Безопасность;
  • Доступность;
  • Целостность обработки;
  • Конфиденциальность;
  • Приватность.

Разберём подробно каждый из принципов доверия:

Безопасность

Принцип безопасности относится к защите данных и ресурсов от несанкционированного доступа. Здесь средства контроля безопасности помогают предотвратить или обнаружить нарушения, которые могут привести к несанкционированному удаление данных, их изменению или краже.

Доступность

Этот принцип играет важную роль в доступности системы, продуктов или услуг в соответствии с условиями контракта или соглашения об уровне обслуживания. Он не затрагивает удобство использования системы или функциональность. Однако, в нём рассматривается вопрос о том, включают ли системы элементы управления для поддержки доступности эксплуатации, мониторинга, обслуживания.

Целостность обработки

Здесь больше всего обращается внимание на то, может ли система предоставить нужные данные в соответствии с требованиями. Иначе говоря, для обработки данных важна её полнота, достоверность, точность и своевременность.

Конфиденциальность

Если доступ к данным ограничен определённым кругом лиц или организаций, то такие данные можно назвать конфиденциальными. Здесь важно учитывать, что даже их передача должна быть защищена. Принцип рассматривает способность организации защищать информацию, обозначенную как “конфиденциальная”. Она должна безопасно храниться и использоваться с момента сбора или создания до окончательного распоряжения и выведения из-под контроля компании в соответствии с целями руководства.

Приватность

Этот принцип касается использования личной информации: как её хранить, раскрывать и удалять. Личная информация относится к тем деталям, которые могут указывать на определённого человека, поэтому нужно обеспечить к ней должный контроль, чтобы защитить от несанкционированного доступа.


Кому подходит SOC 2?

В большинстве своём отчёты SOC 2 получают сервисные организации, которые обрабатывают и хранят ты или иные данные своих клиентов.

SOC 2 получил широкое признание в сфере информационной безопасности, в результате чего его получают

  • консалтинговые компании,
  • аутсорсинговые IT-компании,
  • организации, которые занимаются интернет-сервисами,
  • компании из сферы здравоохранения,
  • организации, работающие в финансовой сфере.

Преимущества соответствия SOC 2:

  • Возможность выделиться среди конкурентов;
  • Определить элементы управления и протестировать их работу;
  • Разрабатываются более структурированные и контролируемые процессы и системы;
  • Выход на новые рынки.

Это означает, что вы можете предоставить всю необходимую информацию и гарантии в отношении обработки данных пользователей.

Также SOC 2 может играть важную роль в программах управления поставщиками, процессах внутреннего корпоративного управления и управления рисками и регуляторном надзоре.

Соответствие SOC 2 помогает продемонстрировать доверие к средствам контроля информационной безопасности на вашем рынке.

Обращайтесь в Изи Штандарт, чтобы получить SOC 2 и не отставать на рынке своих услуг!