Разработанный Американским институтом CPA (AICPA), SOC 2 определяет критерии управления данными клиентов на основе пяти "принципов доверительного обслуживания" - безопасность, доступность, целостность обработки, конфиденциальность и приватность.
Помимо организаций большой четверки аудиторов, в России не так много профильных компаний, способных оценить соответствие SOC 2. Наиболее релевантным опытом обладает компаний RTM Group. Наличие локальных лицензий ФСТЭК и ФСБ, позволяют проводить соответствующие работы на российском рынке.
В отличие от PCI DSS, который имеет очень жесткие требования, отчеты SOC 2 уникальны для каждой организации. В соответствии с конкретной деловой практикой каждая из них разрабатывает свои собственные средства контроля для соблюдения одного или нескольких принципов доверия.
Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т.д.) важную информацию о том, как ваш поставщик услуг управляет данными.
Существует два типа отчетов SOC
Сертификат SOC 2 выдается внешними аудиторами. Они оценивают степень соответствия поставщика одному или нескольким из пяти принципов доверия на основе имеющихся систем и процессов.
Принципы доверия подразделяются следующим образом:
Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа. Средства контроля доступа помогают предотвратить потенциальное злоупотребление системой, кражу или несанкционированное удаление данных, неправильное использование программного обеспечения, а также ненадлежащее изменение или раскрытие информации.
Инструменты ИТ-безопасности, такие как сетевые экраны и брандмауэры веб-приложений (WAF), двухфакторная аутентификация и обнаружение вторжений, полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу к системам и данным.
Принцип доступности относится к доступности системы, продуктов или услуг в соответствии с условиями контракта или соглашения об уровне обслуживания (SLA). Таким образом, минимально допустимый уровень производительности для доступности системы устанавливается обеими сторонами.
Этот принцип не затрагивает функциональность и удобство использования системы, но включает критерии, связанные с безопасностью, которые могут повлиять на доступность. Мониторинг производительности и доступности сети, отказоустойчивость сайта и обработка инцидентов безопасности имеют решающее значение в этом контексте.
Принцип целостности обработки данных касается того, достигает ли система своей цели (т.е. предоставляет нужные данные по нужной цене в нужное время). Соответственно, обработка данных должна быть полной, достоверной, точной, своевременной и санкционированной.
Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не входит в обязанности обрабатывающей организации. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.
Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным кругом лиц или организаций. В качестве примера можно привести данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие виды конфиденциальной финансовой информации.
Шифрование является важным средством защиты конфиденциальности при передаче данных. Сетевые и прикладные брандмауэры, а также строгий контроль доступа могут использоваться для защиты информации, обрабатываемой или хранимой в компьютерных системах.
Принцип конфиденциальности касается сбора, использования, хранения, раскрытия и уничтожения личной информации в системе в соответствии с уведомлением организации о конфиденциальности, а также с критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).
Личная идентифицируемая информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования). Некоторые личные данные, связанные со здоровьем, расой, сексуальностью и религией, также считаются чувствительными и, как правило, требуют дополнительного уровня защиты. Для защиты всех PII от несанкционированного доступа должны быть установлены средства контроля.