Qu'est-ce que la conformité SOC 2 ?

SOC 2 est une norme volontaire de conformité pour les organisations de services, développée par l'American Institute of CPAs (AICPA), qui spécifie comment les organisations doivent gérer les données de leurs clients. La norme est basée sur les critères suivants des services de confiance : sécurité, disponibilité, intégrité du traitement, confidentialité, respect de la vie privée. Un rapport SOC 2 est adapté aux besoins spécifiques de chaque organisation. En fonction de ses pratiques commerciales spécifiques, chaque organisation peut concevoir des contrôles qui suivent un ou plusieurs principes de confiance. Ces rapports internes fournissent aux organisations et à leurs régulateurs, partenaires commerciaux et fournisseurs des informations importantes sur la manière dont l'organisation gère ses données. Il existe deux types de rapports SOC 2 :

  • Le type I décrit les systèmes de l'organisation et indique si la conception du système est conforme aux principes de confiance pertinents.
  • Le type II détaille l'efficacité opérationnelle de ces systèmes.

Essai gratuit du CSPM Téléchargez la fiche technique

SOC 2 Conformité : les bases et une liste de contrôle de la conformité en 4 étapes

Pourquoi la conformité SOC 2 est-elle importante ?

La conformité aux exigences de SOC 2 indique qu'une organisation maintient un niveau élevé de sécurité de l'information. Des exigences strictes en matière de conformité (testées par des audits sur site) peuvent contribuer à garantir que les informations sensibles sont traitées de manière responsable.

 

Le respect de la norme SOC 2 fournit :

  • Amélioration des pratiques en matière de sécurité de l'information - grâce aux directives SOC 2, l'organisation peut mieux se défendre contre les attaques cybernétiques et prévenir les violations.
  • Un avantage concurrentiel - parce que les clients préfèrent travailler avec des fournisseurs de services qui peuvent prouver qu'ils ont de solides pratiques en matière de sécurité de l'information, en particulier pour les services informatiques et les services en nuage.

Qui peut réaliser un audit SOC ?

Les audits SOC ne peuvent être réalisés que par des CPA (Certified Public Accountants) ou des cabinets comptables indépendants.

 

L'AICPA a établi des normes professionnelles destinées à réglementer le travail des auditeurs du SOC. En outre, certaines lignes directrices relatives à la planification, à l'exécution et à la supervision de l'audit doivent être respectées. Tous les audits de l'AICPA doivent faire l'objet d'un examen par les pairs.

 

Les organisations CPA peuvent engager des professionnels non CPA possédant des compétences en matière de technologies de l'information (TI) et de sécurité pour préparer les audits SOC, mais les rapports finaux doivent être fournis et divulgués par le CPA.

 

Si l'audit SOC réalisé par l'expert-comptable est concluant, l'organisme de services peut ajouter le logo de l'AICPA sur son site web.

Critère de sécurité SOC 2 : une liste de contrôle en 4 étapes

La sécurité est la base de la conformité SOC 2 et constitue une norme générale commune aux cinq critères du service de confiance.

 

Les principes de sécurité SOC 2 visent à empêcher l'utilisation non autorisée des biens et des données gérés par l'organisation. Ce principe exige que les organisations mettent en place des contrôles d'accès pour empêcher les attaques malveillantes, la suppression non autorisée de données, l'utilisation abusive, la modification ou la divulgation non autorisée des informations de l'entreprise.

 

Voici une liste de contrôle de base de SOC 2 Conformité, qui comprend des contrôles couvrant les normes de sécurité :

  1. Contrôles d'accès -restrictions logiqueset physiques imposées aux actifs afin d'empêcher l'accès par du personnel non autorisé.
  2. Gestion des changements :processus contrôlé de gestion des changements apportés aux systèmes informatiques et méthodes de prévention des changements non autorisés.
  3. Exploitation du système - contrôlespermettant de surveiller les opérations en cours, de détecter et de résoudre tout écart par rapport aux procédures de l'organisation.
  4. Atténuation des risques - méthodeset activités qui permettent à l'organisation d'identifier les risques, d'y répondre et de les atténuer, tout en s'occupant des affaires qui en découlent.

 

Gardez à l'esprit que les critères SOC 2 ne prescrivent pas exactement ce qu'une organisation doit faire - ils sont ouverts à l'interprétation. Les entreprises sont responsables de la sélection et de la mise en œuvre des mesures de contrôle qui couvrent chaque principe.

Exigences de conformité SOC 2 : Autres critères

La sécurité couvre l'essentiel. Toutefois, si votre organisation opère dans le secteur financier ou bancaire, ou dans un secteur où la protection de la vie privée et la confidentialité sont primordiales, il se peut que vous deviez respecter des normes Conformité plus strictes.

 

Les clients préfèrent les fournisseurs de services qui respectent les cinq principes de SOC 2. Cela montre que votre organisation est fortement engagée dans les pratiques de sécurité de l'information.

 

Outre les principes de sécurité de base, voici comment respecter d'autres principes de SOC 2 :

  • Disponibilité -le client peut-ilaccéder au système conformément aux conditions d'utilisation et aux niveaux de service convenus ?
  • Intégrité du traitement - sil'entreprise propose des transactions financières ou de commerce électronique, le rapport d'audit doit inclure des détails administratifs destinés à protéger la transaction. Par exemple, la transmission est-elle cryptée ? Si l'entreprise fournit des services informatiques, tels que l'hébergement et le stockage de données, comment l'intégrité des données est-elle maintenue dans le cadre de ces services ?
  • Confidentialité - existe-t-ildes restrictions sur la manière dont les données sont partagées ? Par exemple, si votre entreprise dispose d'instructions spécifiques pour le traitement des informations personnelles identifiables (PII) ou des informations de santé protégées (PHI), elles doivent être incluses dans le document d'audit. Le document doit préciser les méthodes et les procédures de stockage, de transfert et d'accès aux données afin de respecter les politiques de protection de la vie privée, telles que les procédures applicables aux employés.
  • Respect de la vie privée - commentl'organisation recueille-t-elle et utilise-t-elle les informations relatives aux clients ? La politique de protection de la vie privée de l'entreprise doit être cohérente avec les procédures opérationnelles en vigueur. Par exemple, si une entreprise prétend avertir ses clients chaque fois qu'elle collecte des données, le document d'audit doit décrire avec précision la manière dont les avertissements sont diffusés sur le site web de l'entreprise ou sur un autre canal. La gestion des données personnelles doit, au minimum, respecter le cadre de gestion de la vie privée (CGP) de l'AICPA.

SOC 1 vs SOC 2

SOC 1 et SOC 2 sont deux normes de conformité différentes, avec des objectifs différents, toutes deux réglementées par l'AICPA. SOC 2 n'est pas une "mise à niveau" de SOC 1. Le tableau ci-dessous explique les différences entre SOC 1 et SOC 2.

SOC 1 SOC 2
Objectif Aide un organisme de services à établir un rapport sur les contrôles internes relatifs aux états financiers de ses clients. Aide un organisme de services à rendre compte des contrôles internes qui protègent les données des clients, conformément aux cinq critères des services fiduciaires.
Objectifs de contrôle Un audit SOC 1 porte sur le traitement et la protection des informations relatives aux clients dans le cadre des processus commerciaux et informatiques. Un audit SOC 2 couvre toutes les combinaisons des cinq principes. Certains organismes de services, par exemple, s'occupent de la sécurité et de la disponibilité, tandis que d'autres peuvent mettre en œuvre les cinq principes en raison de la nature de leurs activités et des exigences réglementaires.
Audit destiné à L'ACP des dirigeants de l'organisme contrôlé, des auditeurs externes, des entités utilisatrices (clients de l'organisme de services contrôlé) et des ACP qui contrôlent leurs états financiers. Les dirigeants, les partenaires commerciaux, les prospects, les superviseurs de Conformité et les auditeurs externes de l'organisme contrôlé.
Audit utilisé pour Aide les entités utilisatrices à comprendre l'impact des contrôles des organismes de services sur leurs états financiers. Superviser les organisations de services, les plans de gestion des fournisseurs, la gouvernance interne de l'entreprise et les processus de gestion des risques, ainsi que la surveillance réglementaire.

Conformité SOC 2 avec Check Point

De nombreux produits de Check Pointont satisfait aux critères de conformité SOC 2 applicables aux services de confiance, tels que Check Point Posture Management, Check Point Connect, Workspace Security Products, Check Point Portal et bien d'autres encore. Voir la liste complète ici .