SOC 2 è uno standard di conformità volontario per le organizzazioni di servizi, sviluppato dall'American Institute of CPAs (AICPA), che specifica come le organizzazioni devono gestire i dati dei clienti. Lo standard si basa sui seguenti criteri dei servizi fiduciari: sicurezza, disponibilità, integrità dell'elaborazione, riservatezza, privacy. Un rapporto SOC 2 è personalizzato in base alle esigenze uniche di ogni organizzazione. A seconda delle sue specifiche pratiche aziendali, ogni organizzazione può progettare controlli che seguano uno o più principi di fiducia. Questi rapporti interni forniscono alle organizzazioni e ai loro regolatori, partner commerciali e fornitori, informazioni importanti su come l'organizzazione gestisce i suoi dati. Esistono due tipi di rapporti SOC 2:
Prova gratuita del CSPM Automatizzare la sua Conformità eBook
La conformità ai requisiti SOC 2 indica che un'organizzazione mantiene un elevato livello di sicurezza delle informazioni. I rigorosi requisiti di Conformità (verificati attraverso audit in loco) possono aiutare a garantire che le informazioni sensibili siano gestite in modo responsabile.
La conformità al SOC 2 prevede:
Gli audit SOC possono essere eseguiti solo da CPA (Certified Public Accountants) o società di contabilità indipendenti.
L'AICPA ha stabilito degli standard professionali volti a regolamentare il lavoro dei revisori SOC. Inoltre, devono essere seguite alcune linee guida relative alla pianificazione, all'esecuzione e alla supervisione dell'audit. Tutti gli audit dell'AICPA devono essere sottoposti a una revisione paritetica.
Le organizzazioni CPA possono assumere professionisti non CPA con competenze rilevanti in materia di tecnologia dell'informazione (IT) e sicurezza per preparare gli audit SOC, ma i rapporti finali devono essere forniti e divulgati dal CPA.
Se l'audit SOC condotto dal CPA ha successo, l'organizzazione di servizi può aggiungere il logo AICPA al proprio sito web.
La sicurezza è la base della Conformità SOC 2 ed è un ampio standard comune a tutti e cinque i Criteri del Servizio Fiduciario.
I principi di sicurezza SOC 2 si concentrano sulla prevenzione dell'uso non autorizzato di beni e dati gestiti dall'organizzazione. Questo principio richiede alle organizzazioni di implementare controlli di accesso per prevenire attacchi maligni, cancellazione non autorizzata di dati, uso improprio, alterazione non autorizzata o divulgazione di informazioni aziendali.
Ecco una lista di controllo di base della Conformità SOC 2, che include controlli che coprono gli standard di sicurezza:
Tenga presente che i criteri SOC 2 non prescrivono esattamente ciò che un'organizzazione deve fare: sono aperti all'interpretazione. Le aziende sono responsabili della selezione e dell'implementazione di misure di controllo che coprano ciascun principio.
La sicurezza copre le basi. Tuttavia, se la sua organizzazione opera nel settore finanziario o bancario, o in un settore in cui la privacy e la riservatezza sono fondamentali, potrebbe essere necessario soddisfare standard di Conformità più elevati.
I clienti preferiscono fornitori di servizi pienamente conformi a tutti e cinque i principi SOC 2. Questo dimostra che la sua organizzazione è fortemente impegnata nelle pratiche di sicurezza informatica.
Oltre ai principi di sicurezza di base, ecco come conformarsi ad altri principi SOC 2:
SOC 1 e SOC 2 sono due standard di Conformità diversi, con obiettivi diversi, entrambi regolamentati dall'AICPA. Il SOC 2 non è un "aggiornamento" del SOC 1. La tabella che segue spiega le differenze tra SOC 1 e SOC 2.
SOC 1 | SOC 2 | |
Scopo | Aiuta un'organizzazione di servizi a riferire sui controlli interni che riguardano i bilanci dei suoi clienti. | Aiuta un'organizzazione di servizi a riferire sui controlli interni che proteggono i dati dei clienti, in base ai cinque Criteri dei Servizi Fiduciari. |
Obiettivi di controllo | Un audit SOC 1 riguarda l'elaborazione e la protezione delle informazioni sui clienti attraverso i processi aziendali e informatici. | Un audit SOC 2 copre tutte le combinazioni dei cinque principi. Alcune organizzazioni di servizi, ad esempio, si occupano di sicurezza e disponibilità, mentre altre possono implementare tutti e cinque i principi a causa della natura delle loro operazioni e dei requisiti normativi. |
Audit destinato a | Il CPA dei dirigenti dell'organizzazione sottoposta a revisione, dei revisori esterni, degli enti utilizzatori (clienti dell'organizzazione di servizi sottoposta a revisione) e dei CPA che revisionano i loro bilanci. | Dirigenti, partner commerciali, prospect, supervisori della Conformità e revisori esterni dell'organizzazione sottoposta ad audit. |
Audit utilizzato per | Aiuta le entità utenti a comprendere l'impatto dei controlli delle organizzazioni di servizi sui loro bilanci. | Supervisiona le organizzazioni di servizi, i piani di gestione dei fornitori, i processi interni di governance aziendale e di gestione del rischio e la supervisione normativa. |
Molti prodotti di Check Point hanno soddisfatto i criteri di conformità SOC 2 applicabili ai servizi fiduciari, come CloudGuard Posture Management, CloudGuard Connect, Harmony Products, Infinity Portal e altri ancora. Consulti l'elenco completo qui.