Per molte aziende attente alla sicurezza che cercano un provider SaaS, la conformità SOC 2 è un requisito minimo. Sfortunatamente, molti fornitori non sono sicuri di come implementare i requisiti di conformità SOC 2, in quanto sono intrinsecamente vaghi.
In questo articolo, scopriremo cos’è il SOC 2 e spiegheremo i requisiti essenziali di conformità SOC 2 in modo che la vostra azienda possa fare ciò che è necessario per creare fiducia con i revisori e i clienti.
Cos’è la conformità SOC 2?
Service Organization Control (SOC) 2 è un insieme di requisiti di conformità e processi di audit mirati per i fornitori di servizi di terze parti. È stato sviluppato per aiutare le aziende a determinare se i loro partner commerciali e fornitori possono gestire in modo sicuro i dati e proteggere gli interessi e la privacy dei loro clienti.
SOC 2 è stato sviluppato dall’American Institute of Certified Public Accountants (AICPA). All’interno delle sue procedure, ci sono due tipi di rapporti SOC 2:
- SOC 2 Tipo 1 dettaglia i sistemi e i controlli che avete in atto per la conformità della sicurezza. I revisori controllano le prove e verificano se soddisfate i principi di fiducia pertinenti. Pensatelo come una verifica point-in-time dei controlli.
- SOC 2 Type 2 valuta l’efficacia dei vostri processi nel fornire il livello desiderato di sicurezza e gestione dei dati per un periodo di tempo.
Quali sono i requisiti essenziali di conformità SOC 2?
La conformità SOC 2 si basa su criteri specifici per la corretta gestione dei dati dei clienti, che consiste in cinque categorie di servizi fiduciari: sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy.
La sicurezza è la linea di base per la conformità SOC 2, che consiste in ampi criteri comuni a tutte e cinque le categorie di servizi fiduciari.
Il principio della sicurezza si concentra sulla protezione degli asset e dei dati del servizio in ambito di conformità SOC 2 contro l’uso non autorizzato. È possibile implementare controlli di accesso per prevenire attacchi malevoli o la rimozione non autorizzata di dati, l’uso improprio del software aziendale, alterazioni non autorizzate o la divulgazione di informazioni aziendali.
Quando si tratta di sicurezza, la lista di controllo di conformità SOC 2 più basilare (che soddisferà un revisore) è dettagliata nel documento Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy, e dovrebbe affrontare questi controlli:
- Controlli dell’accesso logico e fisico – Come si limita e si gestisce l’accesso logico e fisico, per prevenire qualsiasi accesso non autorizzato
- Operazioni di sistema-Come si gestiscono le operazioni di sistema per rilevare e mitigare le deviazioni dalle procedure stabilite
- Gestione delle modifiche-Come si implementa un processo controllato di gestione delle modifiche e si prevengono le modifiche non autorizzate
- Mitigazione del rischio-Come si identificano e si sviluppano le attività di mitigazione del rischio quando si affrontano le interruzioni del business e l’uso di qualsiasi servizio del fornitore
Alcuni criteri SOC 2 sono molto ampi e più orientati alle politiche, mentre altri sono tecnici, ma anche i criteri tecnici non vi diranno esattamente cosa dovete fare. Come tali, i criteri SOC 2 sono in qualche modo aperti all’interpretazione. Sta ad ogni azienda raggiungere l’obiettivo di ogni criterio implementando vari controlli. Il documento Trust Services Criteria include vari “punti di attenzione” per guidarvi.
Per esempio, per soddisfare i criteri per i controlli di accesso logico e fisico, un’azienda può implementare nuovi processi di onboarding, autenticazione a due fattori e sistemi per impedire il download dei dati dei clienti durante l’esecuzione del supporto, mentre un’altra può limitare l’accesso ai data center, condurre revisioni trimestrali delle autorizzazioni e controllare rigorosamente ciò che viene fatto sui sistemi di produzione. Nessuna combinazione è perfetta, o anche specificamente richiesta. Ciò che è richiesto è di raggiungere lo stato finale desiderato dai criteri.
Quando si affrontano i criteri comuni di cui sopra, si coprono i principi di sicurezza, che è il requisito minimo per diventare conformi al SOC 2.
Quali sono gli altri requisiti di conformità SOC 2?
Con la sicurezza coperta, si dovrebbe essere in grado di attirare l’attività. Tuttavia, se si opera nel settore finanziario o bancario – o in qualsiasi altro settore in cui la privacy e la riservatezza sono fondamentali – allora è necessario raggiungere uno standard più elevato di conformità. Molte aziende cercano venditori che siano pienamente conformi, in quanto ciò infonde fiducia e dimostra l’impegno a ridurre al minimo i rischi.
È possibile andare oltre i principi di sicurezza di base per ottenere la conformità ai criteri aggiuntivi nelle altre categorie di servizi fiduciari che seguono.
Disponibilità
Il principio di disponibilità si concentra sull’accessibilità del vostro sistema, nel senso che monitorate e mantenete la vostra infrastruttura, il software e i dati per garantire di avere la capacità di elaborazione e i componenti di sistema necessari per soddisfare i vostri obiettivi aziendali.
I requisiti di conformità del SOC 2 in questa categoria includono:
- Misurare l’uso corrente – stabilire una linea di base per la gestione della capacità, che potete usare per valutare il rischio di disponibilità compromessa derivante da vincoli di capacità.
- Identificare le minacce ambientali – Valutare le minacce ambientali che possono avere un impatto sulla disponibilità del sistema, come condizioni meteorologiche avverse, incendi, interruzioni di corrente o guasti ai sistemi di controllo ambientale.
Integrità di elaborazione
Il principio dell’integrità di elaborazione si concentra sulla consegna dei dati giusti al prezzo giusto e al momento giusto. L’elaborazione dei dati non solo deve essere tempestiva e accurata, ma deve anche essere valida e autorizzata.
I requisiti di conformità del SOC 2 in questa categoria includono:
- Creare e mantenere registrazioni degli input del sistema-Compilare registrazioni accurate delle attività di input del sistema.
- Definisce le attività di elaborazione-Definisce le attività di elaborazione per assicurare che i prodotti o i servizi soddisfino le specifiche.
Confidenzialità
Il principio di confidenzialità si concentra sulla limitazione dell’accesso e della divulgazione dei dati privati in modo che solo persone o organizzazioni specifiche possano vederli. I dati riservati possono includere informazioni finanziarie sensibili, piani aziendali, dati sui clienti in generale o proprietà intellettuale.
I requisiti di conformità del COI 2 in questa categoria includono:
- Identificare le informazioni riservate-Implementare procedure per identificare le informazioni riservate quando vengono ricevute o create, e determinare per quanto tempo devono essere conservate.
- Distruggere le informazioni riservate – Implementare procedure per cancellare le informazioni riservate dopo che sono state identificate per la distruzione.
Privacy
Il principio della privacy si concentra sull’aderenza del sistema alle politiche sulla privacy del cliente e ai principi sulla privacy generalmente accettati (GAPP) dall’AICPA. Questa categoria del SOC considera i metodi usati per raccogliere, usare e conservare le informazioni personali, così come il processo di divulgazione e smaltimento dei dati.
I requisiti di conformità del SOC 2 in questa categoria includono:
- Usare un linguaggio chiaro e ben visibile – Il linguaggio dell’avviso sulla privacy dell’azienda è chiaro e coerente, non lascia spazio a interpretazioni errate.
- Raccogliere informazioni da fonti affidabili-La società conferma che le fonti di dati di terze parti sono affidabili e gestisce il suo processo di raccolta dati in modo equo e legale.
Puoi usare un software per accelerare la conformità SOC 2?
SOC 2 si concentra principalmente su politiche e processi, piuttosto che su attività tecniche. Pertanto, non esiste uno strumento dedicato e automatizzato che possa rendere la vostra azienda rapidamente conforme al SOC 2.
Siccome i requisiti del SOC 2 non sono prescrittivi, dovreste ideare processi e controlli rigorosi per la conformità al SOC 2, e poi utilizzare strumenti che rendano facile l’implementazione dei controlli. (Tweet this!) In questo modo, avrete un sistema che monitora e vi avvisa ogni volta che uno specifico controllo tecnico fallisce.
Per esempio, diciamo che uno dei vostri controlli intende limitare l’accesso ai sistemi Linux a pochi amministratori specifici. Potete usare uno strumento per tracciare e recuperare lo stato dei permessi su un sistema in tempo reale.
Per ogni controllo che implementate, pensate alla prova che presentereste ad un revisore. Ricordate che avere un controllo è solo una parte dei requisiti di conformità SOC 2 – dovete anche essere in grado di dimostrare che funziona efficacemente.
Come Uptycs può aiutarvi a diventare conformi al SOC 2
Uptycs è una soluzione di analisi della sicurezza alimentata da osquery che vi aiuta nell’audit e nella conformità, in quanto potete:
- Tracciare lo stato della configurazione e l’attività di rete a livello di host per le workstation e gli endpoint dei server, nonché monitorare l’attività attraverso i vostri Amazon Web Services.
- Recuperare informazioni sulle vostre risorse IT per il vostro audit SOC 2. Ad esempio, è possibile utilizzare Uptycs per analizzare l’attività di rete sui vostri sistemi per garantire che il firewall stia agendo come previsto.
- Eseguire il monitoraggio dell’integrità dei file per implementare la segregazione dei compiti e per rilevare se questa viene violata. Per esempio, se qualcuno con il permesso di accesso al server disattiva le crittografie su un database, è possibile tracciare questo in tempo quasi reale.
Inoltre, con i suoi dati integrati di threat intelligence, Uptycs agisce come un sistema di rilevamento delle intrusioni per Mac, Linux e Windows, permettendovi di sfruttare lo strumento stesso come uno dei vostri controlli SOC 2.
Scopri di più su come Uptycs può aiutarti con i requisiti di audit e conformità guardando un breve video demo o richiedendo una prova gratuita.