Voor veel beveiligingsbewuste bedrijven die op zoek zijn naar een SaaS-leverancier, is SOC 2-naleving een minimale vereiste. Helaas weten veel providers niet zeker hoe ze de SOC 2-compliance-eisen moeten implementeren, omdat deze van nature vaag zijn.
In dit artikel leggen we uit wat SOC 2 is en wat de essentiële SOC 2-compliance-eisen zijn, zodat uw bedrijf kan doen wat nodig is om vertrouwen op te bouwen bij zowel auditors als klanten.
Wat is SOC 2-compliance?
Service Organization Control (SOC) 2 is een reeks compliance-eisen en auditprocessen die bedoeld zijn voor third-party service providers. Het is ontwikkeld om bedrijven te helpen bepalen of hun zakelijke partners en leveranciers gegevens veilig kunnen beheren en de belangen en privacy van hun klanten kunnen beschermen.
SOC 2 is ontwikkeld door het American Institute of Certified Public Accountants (AICPA). Binnen de procedures zijn er twee soorten SOC 2-rapporten:
- SOC 2 Type 1 geeft een gedetailleerd overzicht van de systemen en controles die u hebt ingesteld voor de naleving van beveiligingsnormen. Auditors controleren op bewijs en gaan na of u voldoet aan de relevante vertrouwensbeginselen. Zie het als een point-in-time verificatie van controles.
- SOC 2 Type 2 beoordeelt hoe effectief uw processen zijn in het bieden van het gewenste niveau van gegevensbeveiliging en -beheer over een periode van tijd.
Wat zijn de essentiële SOC 2 compliance-eisen?
SOC 2 compliance is gebaseerd op specifieke criteria voor het correct beheren van klantgegevens, die bestaat uit vijf Trust Services Categories: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid, en privacy.
Veiligheid is de basis voor SOC 2 compliance, die bestaat uit brede criteria die gemeenschappelijk zijn voor alle vijf de trust service categorieën.
Het beveiligingsprincipe richt zich op de bescherming van de activa en gegevens van de service in het kader van SOC 2 compliance tegen ongeoorloofd gebruik. U kunt toegangscontroles implementeren om kwaadwillige aanvallen of ongeoorloofde verwijdering van gegevens, misbruik van bedrijfssoftware, ongeoorloofde wijzigingen of openbaarmaking van bedrijfsinformatie te voorkomen.
Wat beveiliging betreft, is de meest elementaire SOC 2 compliance checklist (die een auditor tevreden zal stellen) gedetailleerd in het Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy Document, en zou deze controles moeten behandelen:
- Logische en fysieke toegangscontroles – Hoe u logische en fysieke toegang beperkt en beheert, om ongeoorloofde toegang te voorkomen
- Systeembeheer – Hoe u uw systeembeheer uitvoert om afwijkingen van ingestelde procedures op te sporen en te beperken
- Wijzigingsbeheer – Hoe u een gecontroleerd wijzigingsbeheerproces implementeert en ongeoorloofde wijzigingen voorkomt
- Risicobeperking – Hoe u risicobeperkende activiteiten identificeert en ontwikkelt bij het omgaan met bedrijfsstoringen en het gebruik van eventuele leveranciersdiensten
Sommige SOC 2 criteria zijn zeer breed en meer beleidsgedreven, terwijl sommige technisch zijn – maar zelfs de technische criteria zullen u niet precies vertellen wat u moet doen. Als zodanig zijn de SOC 2 criteria enigszins open voor interpretatie. Het is aan elke onderneming om het doel van elk criterium te bereiken door verschillende controles uit te voeren. Het Trust Services Criteria document bevat verschillende “aandachtspunten” om u te begeleiden.
Om bijvoorbeeld te voldoen aan de criteria voor Logical and Physical Access Controls, kan het ene bedrijf nieuwe onboarding processen implementeren, twee-factor authenticatie, en systemen om het downloaden van klantgegevens te voorkomen tijdens het uitvoeren van support, terwijl een ander bedrijf de toegang tot datacenters kan beperken, elk kwartaal een controle van de machtigingen kan uitvoeren, en strikt kan controleren wat er op productiesystemen wordt gedaan. Geen enkele combinatie is perfect, of zelfs maar specifiek vereist. Wat nodig is, is het bereiken van de door de criteria gewenste eindtoestand.
Als u de bovengenoemde gemeenschappelijke criteria aanpakt, dekt u de beveiligingsprincipes, wat de minimumeis is om SOC 2 compliant te worden.
Wat zijn de andere SOC 2 Compliance-eisen?
Als de beveiliging is afgedekt, zou u in staat moeten zijn om business aan te trekken. Als u echter in de financiële of bancaire sector opereert, of in een andere sector waar privacy en vertrouwelijkheid van het grootste belang zijn, dan moet u een hogere norm voor compliance bereiken. Veel bedrijven zijn op zoek naar leveranciers die volledig compliant zijn, omdat dit vertrouwen wekt en laat zien dat u zich inzet voor het minimaliseren van risico’s.
U kunt verder gaan dan de basis beveiligingsprincipes om compliant te worden voor aanvullende criteria in de andere trust services categorieën hieronder.
Beschikbaarheid
Het beschikbaarheidsbeginsel richt zich op de toegankelijkheid van uw systeem, in die zin dat u uw infrastructuur, software en gegevens bewaakt en onderhoudt om ervoor te zorgen dat u beschikt over de verwerkingscapaciteit en systeemcomponenten die nodig zijn om aan uw zakelijke doelstellingen te voldoen.
SOC 2 compliance-vereisten in deze categorie omvatten:
- Meet het huidige gebruik – Stel een basislijn vast voor capaciteitsbeheer, die u kunt gebruiken om het risico van verminderde beschikbaarheid als gevolg van capaciteitsbeperkingen te evalueren.
- Identificeer bedreigingen voor de omgeving – Beoordeel bedreigingen voor de omgeving die van invloed kunnen zijn op de beschikbaarheid van het systeem, zoals slecht weer, brand, stroomuitval of uitval van omgevingscontrolesystemen.
Verwerkingsintegriteit
Het principe van verwerkingsintegriteit richt zich op het leveren van de juiste gegevens tegen de juiste prijs op het juiste moment. De gegevensverwerking moet niet alleen tijdig en accuraat zijn, maar ook geldig en geautoriseerd.
SOC 2 compliance-eisen in deze categorie omvatten:
- Maken en bijhouden van registraties van systeeminputs -Samenstellen van nauwkeurige registraties van systeeminputactiviteiten.
- Stelt verwerkingsactiviteiten vast -Stelt verwerkingsactiviteiten vast om ervoor te zorgen dat producten of diensten aan de specificaties voldoen.
Vertrouwelijkheid
Het vertrouwelijkheidsbeginsel richt zich op het beperken van de toegang tot en de openbaarmaking van privégegevens, zodat alleen specifieke personen of organisaties deze kunnen inzien. Vertrouwelijke gegevens kunnen gevoelige financiële informatie, bedrijfsplannen, klantgegevens in het algemeen, of intellectueel eigendom omvatten.
SOC 2-nalevingseisen in deze categorie omvatten:
- Vertrouwelijke informatie identificeren-Implementeer procedures om vertrouwelijke informatie te identificeren wanneer deze wordt ontvangen of gecreëerd, en bepaal hoe lang deze moet worden bewaard.
- Vernietig vertrouwelijke informatie – Implementeer procedures om vertrouwelijke informatie te wissen nadat is vastgesteld dat deze moet worden vernietigd.
Privacy
Het privacybeginsel richt zich op de naleving door het systeem van het privacybeleid van de klant en de algemeen aanvaarde privacybeginselen (GAPP) van de AICPA. Deze categorie van SOC beschouwt methoden die worden gebruikt voor het verzamelen, gebruiken en bewaren van persoonlijke informatie, evenals het proces voor openbaarmaking en verwijdering van gegevens.
SOC 2-compliance-eisen in deze categorie omvatten:
- Gebruik duidelijke en opvallende taal – De taal in de privacykennisgeving van het bedrijf is duidelijk en coherent, en laat geen ruimte voor misinterpretatie.
- Verzamel informatie uit betrouwbare bronnen-Het bedrijf bevestigt dat gegevensbronnen van derden betrouwbaar zijn en het gegevensverzamelingsproces eerlijk en legaal uitvoert.
Kunt u software gebruiken om SOC 2-naleving te versnellen?
SOC 2 is primair gericht op beleid en processen, in plaats van op technische taken. Daarom is er geen speciale, geautomatiseerde tool die uw onderneming snel SOC 2-compliant kan maken.
Omdat de SOC 2-vereisten niet dwingend zijn, moet u processen en strikte controles voor SOC 2-compliance ontwikkelen en vervolgens tools gebruiken die het eenvoudig maken om de controles te implementeren. (Tweet dit!) Op deze manier heeft u een systeem dat monitort en u waarschuwt wanneer een specifieke technische controle faalt.
Bijv. een van uw controles is bedoeld om de toegang tot Linux-systemen te beperken tot een paar specifieke beheerders. U kunt een hulpmiddel gebruiken om de status van de machtigingen op een systeem in realtime te volgen en op te vragen.
Voor elke controle die u implementeert, moet u bedenken welk bewijs u aan een auditor zou kunnen presenteren. Vergeet niet dat het hebben van een controle slechts een deel van de SOC 2 compliance-eisen is – u moet ook kunnen aantonen dat het effectief werkt.
Hoe Uptycs u kan helpen SOC 2 Compliant te worden
Uptycs is een osquery-gebaseerde security analytics oplossing die u helpt met audit en compliance, omdat u:
- De configuratiestatus en de netwerkactiviteit op hostniveau voor werkstations en server-eindpunten kunt volgen, evenals de activiteit over uw Amazon Web Services.
- Informatie over uw IT-middelen ophalen voor uw SOC 2 audit. U kunt bijvoorbeeld Uptycs gebruiken om netwerk activiteit op uw systemen te analyseren om er zeker van te zijn dat uw firewall werkt zoals verwacht.
- Voer bestandsintegriteit monitoring uit om scheiding van taken te implementeren en om te detecteren of deze wordt geschonden. Bijvoorbeeld, als iemand met servertoegangsrechten encrypties op een database uitschakelt, kunt u dit in bijna real-time volgen.
Daarnaast fungeert Uptycs, met zijn ingebouwde dreigingsinformatie, als een inbraakdetectiesysteem voor Mac, Linux en Windows, waardoor u de tool zelf kunt inzetten als een van uw SOC 2-controles.
Ontdek meer over hoe Uptycs u kan helpen met audit- en compliance-eisen door een korte demovideo te bekijken of een gratis proefversie aan te vragen.