Para muitas empresas preocupadas com a segurança que procuram um fornecedor SaaS, a conformidade SOC 2 é um requisito mínimo. Infelizmente, muitos fornecedores não sabem como implementar os requisitos de conformidade SOC 2, pois são inerentemente vagos.
Neste artigo, vamos descobrir o que é SOC 2, e explicar os requisitos essenciais de conformidade SOC 2 para que a sua empresa possa fazer o que é necessário para criar confiança com auditores e clientes.
O que é conformidade SOC 2?
Controlo de Organização de Serviços (SOC) 2 é um conjunto de requisitos de conformidade e processos de auditoria dirigidos a fornecedores de serviços de terceiros. Foi desenvolvido para ajudar as empresas a determinar se os seus parceiros comerciais e fornecedores podem gerir com segurança os dados e proteger os interesses e a privacidade dos seus clientes.
SOC 2 foi desenvolvido pelo American Institute of Certified Public Accountants (AICPA). Dentro dos seus procedimentos, existem dois tipos de relatórios SOC 2:
- SOC 2 Tipo 1 detalha os sistemas e controlos que tem em vigor para a conformidade de segurança. Os auditores verificam a existência de provas e verificam se cumpre os princípios de confiança relevantes. Pense nisto como uma verificação pontual dos controlos.
- SOC 2 Tipo 2 avalia a eficácia dos seus processos para fornecer o nível desejado de segurança e gestão de dados durante um período de tempo.
Quais são os requisitos essenciais de conformidade SOC 2?
conformidade SOC 2 baseia-se em critérios específicos para gerir correctamente os dados dos clientes, que consistem em cinco categorias de serviços de confiança: segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade.
Segurança é a linha de base para a conformidade SOC 2, que consiste em critérios gerais comuns a todas as cinco categorias de serviços fiduciários.
O princípio da segurança centra-se na protecção dos bens e dados do serviço no âmbito da conformidade SOC 2 contra a utilização não autorizada. É possível implementar controlos de acesso para evitar ataques maliciosos ou remoção não autorizada de dados, utilização indevida de software da empresa, alterações não autorizadas, ou divulgação de informações da empresa.
Quando se trata de segurança, a lista de verificação de conformidade SOC 2 mais básica (que satisfará um auditor) é detalhada nos Critérios de Serviços de Confiança para Segurança, Disponibilidade, Integridade do Processamento, Confidencialidade e Documento de Privacidade, e deve abordar estes controlos:
- Controlos de acesso lógico e físico – como restringir e gerir o acesso lógico e físico, para prevenir qualquer acesso não autorizado
- Operações do sistema- Como gerir as operações do seu sistema para detectar e mitigar os desvios dos procedimentos definidos
- Gestão de alterações- Como implementar um processo de gestão de alterações controladas e prevenir alterações não autorizadas
- Mitigação de riscos- Como identificar e desenvolver actividades de mitigação de riscos quando se lida com perturbações do negócio e a utilização de quaisquer serviços de fornecedores
alguns critérios SOC 2 são muito amplos e mais orientados para as políticas, enquanto que alguns são técnicos – mas nem mesmo os critérios técnicos lhe dirão exactamente o que precisa de fazer. Como tal, os critérios SOC 2 são de certa forma abertos à interpretação. Cabe a cada empresa alcançar o objectivo de cada critério através da implementação de vários controlos. O documento Trust Services Criteria inclui vários “pontos de foco” para o orientar.
Por exemplo, para cumprir os critérios de Controlos de Acesso Lógico e Físico, uma empresa pode implementar novos processos de bordo, autenticação de dois factores, e sistemas para impedir o descarregamento de dados do cliente ao executar o suporte, enquanto outra pode restringir o acesso aos centros de dados, realizar revisões trimestrais das permissões, e auditar rigorosamente o que é feito nos sistemas de produção. Nenhuma combinação é perfeita, ou mesmo especificamente necessária. O que é necessário é atingir o estado final desejado pelos critérios.
Quando se abordam os critérios comuns acima mencionados, são cobertos os princípios de segurança, que é o requisito mínimo para se tornar compatível com SOC 2.
Quais são os outros Requisitos de Conformidade SOC 2?
Com a segurança coberta, deverá ser capaz de atrair negócios. Contudo, se operar no sector financeiro ou bancário – ou em qualquer indústria onde a privacidade e a confidencialidade são primordiais – então terá de alcançar um padrão de conformidade mais elevado. Muitas empresas procuram fornecedores que sejam totalmente cumpridores, uma vez que incute confiança e demonstra um compromisso para minimizar o risco.
Pode ir além dos princípios básicos de segurança para obter conformidade para critérios adicionais nas outras categorias de serviços de confiança abaixo.
Disponibilidade
O princípio da disponibilidade centra-se na acessibilidade do seu sistema, na medida em que monitoriza e mantém a sua infra-estrutura, software e dados para garantir que tem a capacidade de processamento e os componentes do sistema necessários para cumprir os seus objectivos empresariais.
Requisitos de conformidadeSOC 2 nesta categoria incluem:
- Medir a utilização actual – Estabelecer uma linha de base para a gestão da capacidade, que pode utilizar para avaliar o risco de disponibilidade reduzida resultante de restrições de capacidade.
- Identificar ameaças ambientais – Avalie as ameaças ambientais que podem ter impacto na disponibilidade do sistema, tais como condições meteorológicas adversas, incêndio, cortes de energia, ou falha dos sistemas de controlo ambiental.
Integridade do processamento
O princípio da integridade do processamento centra-se na entrega dos dados certos ao preço certo no momento certo. O processamento de dados não só deve ser atempado e preciso, como também deve ser válido e autorizado.
requisitos de conformidadeSOC 2 nesta categoria incluem:
- Criar e manter registos das entradas do sistema – Compilar registos precisos das actividades de entrada do sistema.
- Define actividades de processamento-Definir actividades de processamento para assegurar que os produtos ou serviços cumprem as especificações.
Confidencialidade
O princípio da confidencialidade centra-se na restrição do acesso e divulgação de dados privados para que apenas pessoas ou organizações específicas os possam visualizar. Os dados confidenciais podem incluir informação financeira sensível, planos de negócios, dados de clientes em geral, ou propriedade intelectual.
requisitos de conformidadeSOC 2 nesta categoria incluem:
- Identificar informação confidencial – procedimentos para identificar informação confidencial quando esta é recebida ou criada, e determinar por quanto tempo deve ser retida.
- Destruir informação confidencial – Procedimentos de remoção de informação confidencial após a sua identificação para destruição.
Privacidade
O princípio de privacidade centra-se na adesão do sistema às políticas de privacidade do cliente e aos princípios de privacidade geralmente aceites (GAPP) da AICPA. Esta categoria de SOC considera os métodos utilizados para recolher, utilizar e reter informações pessoais, bem como o processo de divulgação e eliminação de dados.
requisitos de conformidade comSOC 2 nesta categoria incluem:
- Utilizar linguagem clara e conspícua- A linguagem na nota de privacidade da empresa é clara e coerente, não deixando margem para interpretações erradas.
- Recolher informação de fontes fiáveis – A empresa confirma que as fontes de dados de terceiros são fiáveis e opera o seu processo de recolha de dados de forma justa e legal.
h2>Pode utilizar software para acelerar a conformidade SOC 2?
SOC 2 centra-se principalmente em políticas e processos, em vez de tarefas técnicas. Portanto, não há nenhuma ferramenta automatizada e dedicada que possa rapidamente tornar a sua empresa compatível com SOC 2.
P>Posto que os requisitos SOC 2 não são prescritivos, deve conceber processos e controlos rigorosos para a conformidade SOC 2, e depois utilizar ferramentas que facilitem a implementação dos controlos. (Tweet this!) Desta forma, terá um sistema que o monitoriza e alerta sempre que um controlo técnico específico falhar.
Por exemplo, digamos que um dos seus controlos pretende limitar o acesso aos sistemas Linux a alguns administradores específicos. Pode utilizar uma ferramenta para acompanhar e recuperar o estado das permissões num sistema em tempo real.
Para cada controlo que implementar, pense nas provas que apresentaria a um auditor. Lembre-se de que ter um controlo é apenas parte dos requisitos de conformidade SOC 2 – também precisa de ser capaz de demonstrar que está a funcionar eficazmente.
How Uptycs Can Help You Become SOC 2 Compliant
Uptycs é uma solução analítica de segurança com poder de consulta que o ajuda com auditoria e conformidade, como pode:
- Rastrear o estado da configuração e a actividade da rede ao nível do anfitrião para estações de trabalho e terminais de servidor, bem como monitorizar a actividade através dos seus Amazon Web Services.
- Recuperar informação sobre os seus activos de TI para a sua auditoria SOC 2. Por exemplo, pode usar Uptycs para analisar a actividade da rede nos seus sistemas para garantir que a sua firewall está a agir como esperado.
- Realizar monitorização da integridade dos ficheiros para implementar a segregação de tarefas e para detectar se esta é violada. Por exemplo, se alguém com permissão de acesso ao servidor desligar as encriptações numa base de dados, pode acompanhar isto quase em tempo real.
Adicionalmente, com os seus dados de inteligência de ameaças incorporados, Uptycs actua como um sistema de detecção de intrusão para Mac, Linux e Windows, permitindo-lhe aproveitar a própria ferramenta como um dos seus controlos SOC 2.
Descubra mais sobre como Uptycs pode ajudá-lo com os requisitos de auditoria e conformidade assistindo a um pequeno vídeo de demonstração ou solicitando um teste gratuito.