Всичко за рамката SOC 2 и изискванията за съответствие

SOC 2 - основна информация


Какво е SOC 2?

SOC 2 означава Системни и организационни контроли 2. Стандартът е създаден от Американския институт на дипломираните експерт-счетоводители (AICPA) като начин да се помогне на организациите да проверят своята сигурност и да намалят риска от пробив.

Както е посочено от AICPA, докладите на SOC2 предоставят:
„ подробна информация и уверение относно контролите в обслужваща организация, свързани със сигурността, наличността и целостта на обработката на системите, които обслужващата организация използва за обработка на потребителски данни и поверителността и неприкосновеността на информацията, обработвана от тези системи”

SOC 2 е рамка за съответствие, използвана за оценка и валидиране на практиките за информационна сигурност на организацията. За да получите ясен отчет SOC 2, контролите за сигурност на вашата организация ще трябва да бъдат одитирани (атестирани) спрямо набор от общи критерии, за да се потвърди, че сте внедрили правилните политики и протоколи за защита на вашите собствени данни и информацията на вашите клиенти. Ясният SOC 2 доклад ще помогне за изграждането на доверие с вашите заинтересовани страни, партньори, доставчици и ще демонстрира какви мерки сте предприели, за да запазите техните данни в безопасност и сигурност!

2. Защо SOC 2 е важен?

SOC 2 не се изисква по закон и следователно няма санкции или такси за липсата на такъв, но клиентите често трябва да видят вашия одит за SOC 2, преди да се съгласят да правят бизнес с вас. По-долу можете да намерите някои от причините да имате доклад относно SOC 2 и защо е това важно за вас и вашите клиенти:

I. Увеличете доверието и репутацията си сред вашите партньори и конкуренти

Ако управлявате, обработвате или боравите с клиентски данни, вашите клиенти трябва да знаят, че могат да ви се доверят, преди да ви дадат достъп до тези данни. Това е важно, защото ако изпитате нарушение на сигурността на данните, което компрометира техните данни (или данните на техния клиент), техният бизнес също ще пострада поради множество различни закони, установени в Европейския съюз (ЕС) и Европейското икономическо пространство (ЕИП), като NIS2, DORA , GDPR, Закон за изкуствения интелект, Закон за дигиталния маркетинг и разширена регулаторна среда. Съответствието със SOC 2 показва на вашите заинтересовани страни, че сте приели сериозно информационната сигурност и необходимите предпазни мерки, за да предотвратите пробив и да запазите техните данни в безопасност. Поради тази причина SOC 2 може да ви помогне да изградите доверие с перспективи и да повлияе положително на репутацията на вашата организация!

II. Отключете нови възможности за бизнес, след като получите SOC 2 атестация

Съответствието със SOC 2 не само помага да демонстрирате надеждността си на потенциални клиенти и партньори, но също така може да получите възможност за сделки, които изискват SOC 2 като начало. Много големи организации, особено в Северна Америка и Европа, трябва да се уверят в наличието на SOC 2 на доставчика на услугата, преди да се съгласят да правят бизнес с тях. Без доклад за SOC 2 вашето предложение може да не е достатъчно конкуренотда се оттегли от почти приключила сделка и въпреки че услугата ви може да е била по-добра от гледна точка на разходи, ефективност и ефикасност.

Въпреки това, дори ако вашите перспективи не изискват да имате SOC 2, той все още може да ви осигури конкурентно предимство. Наличието на Доклад за SOC 2 показва на клиентите Ви, че техните данни ще бъдат по-безопасни във вашите системи, отколкото при конкуренти без такъв. Информационната сигурност на ваша страна винаги е предпочитаният вариант, ако трябва да изберете правилната компания, с която да работите.

III. Укрепете и изградете силна инфраструктура за сигурност във вашата среда

Рамката SOC 2 ще ви помогне да внедрите стабилна инфраструктура за информационна сигурност. Докато се подготвяте за вашия одит, вие ще прилагате най-добри практики и предпазни мерки, които ще намалят риска от нарушение на сигурността на данните и скъпите последствия, произтичащи от нарушението. Възвръщаемостта на инвестициите (ROI) в инфраструктура за сигурност винаги си заслужава, тъй като това повишава доверието на клиентите, репутацията ви на пазара и може да ви предпази от фалит!

Според statista средната цена на пробив в данните през 2024 г. е 9,36 милиона долара. Тези разходи идват под формата на плащане на допълнителна компенсация на служителите за смекчаване на нарушението, глоби или наказания и загуба на приходи, тъй като клиентите сменят доставчиците. Освен това пробивът ще се отрази негативно на репутацията на вашата марка в дългосрочен план.

3. Какво означава да бъдеш съвместим със SOC 2?

Това означава, че сте внедрили подходящите контроли за сигурност и тези контроли са били проучени от трета страна одитор. За да получите доклад за SOC 2, ще трябва да наемете одитор, акредитиран от AICPA, който да оцени сигурността на вашите данни и да документира контролите SOC 2, които сте внедрили. След това одиторът ще създаде доклад за своите констатации и своята атестация за това дали вашата организация отговаря на критериите на SOC 2.

ISCS може да ви помогне да се подготвите и да ви консултира през цялото пътуване от самото начало, до последната стъпка - поканата от акредитирания от AICPA одитор. Пътуването ще бъде много неравномерно и доста бурно, ако организацията ви не е готова. Това е дълъг път и може да отнеме до 2 години, ако вашата компания не е достатъчно зряла в областта на сигурността.

4. Какви са критериите за рамката SOC 2?

Акредитираният от AICPA одитор ще оцени вашата информационна сигурност спрямо пет категории, известни като петте критерия за доверителни услуги (TSC) (преди известни като принципи за доверителни услуги):

  1. Сигурност (Общи критерии (CC)): Вашите системи и данни са защитени срещу неоторизиран достъп и разкриване.
  2. Наличност (A): Вашата информация и системи са достъпни за предназначението им.
  3. Поверителност (C): Поверителната информация се пази поверителна.
  4. Интегритет на обработката (PI): Обработката на данните е пълна, валидна, точна и навременна.
  5. Неприкосновеност (P): Потребителските данни са защитени и потребителите са информирани за събирането, използването, запазването и изтриването на техните данни.

Критериите за доверителни услуги представляват рамката, чрез която организациите се оценяват за съответствие със SOC 2. От петте критерия категорията за сигурност е задължителна, необходима за получаване на одит SOC 2.

Във всеки от TSC има контроли, практики или процеси, които трябва да бъдат изпълнени. Текущата версия на Критериите за доверителни услуги – 2017 (Trust Services Criteria) (с преработени точки на фокус – през 2022г) включва 33 основни изисквания в категорията за сигурност и 28 допълнителни контроли в останалите четири критерия.

Контролите в рамките на категорията за сигурност, общите критерии, осигуряват основата за останалите четири категории. Всяка организация, която търси SOC 2, трябва да се придържа към всички контроли в категорията за сигурност. Другите четири категории — наличност, интегритет на обработката, поверителност и неприкосновеност — трябва да бъдат включени във вашия SOC 2 одит само ако искате да създадете тези контроли, приложими към начина, по който вашият бизнес използва или обработва данни. Например, трябва да добавите поверителност към обхвата на вашия отчет, ако този критерий е подходящ за вашия бизнес.

Много компании на ранен етап ще се съсредоточат върху общите критерии през първата си година и ще добавят допълнителните категории, когато бизнесът им узрее.

5. Какви са типовете SOC 2 и каква е разликата между тях? (SOC2 тип I (1) срещу SOC 2 тип II (2))

Има два вида доклади SOC 2, които можете да получите:

  • SOC 2 тип 1 (известен също като SOC 2 тип I) – Докладът SOC 2 тип 1 ще описва подробно вашите контроли за сигурност в конкретен момент, към датата на вашия одит. Този тип доклад проверява дали са въведени необходимите контроли, но не включва информация за това колко ефективни са тези контроли. SOC 2 тип 1 често е по-бърз и по-рентабилен от SOC 2 тип 2, но SOC 2 тип 1 има тенденция да бъде по-малко ценен сред по-големите фирми.
  • SOC 2 тип 2 (известен също като SOC 2 тип II ) – Докладът SOC 2 тип 2 оценява вашите контроли за сигурност за определен период от време и тества колко ефективни са те. Вие избирате дължината на вашия прозорец за одит в зависимост от това колко дълго са в действие вашите контроли. Този прозорец може да бъде между три и дванадесет месеца. Този тип отчет предоставя допълнителна увереност на заинтересованите страни, тъй като демонстрира колко ефективни са вашите контроли във времето.

И двата доклада ще оценяват едни и същи критерии, но имат някои ключови разлики, които оказват влияние върху продължителността, цената и задълбочеността на вашия одит. Важно е да знаете от коя имате нужда, преди да започнете одита за съответствие със SOC 2.

Разлика между SOC 2 тип I и SOC 2 тип II

I. SOC 2 Тип I:

  • Обхват: Оценява дизайна на контролите само в определен момент от време.
  • Фокус: Преглежда дали контролите са проектирани по подходящ начин, за да отговарят на критериите за доверителна услуга SOC 2.
  • Документация: Проверява документацията и доказателствата за дизайна на контрола.

II. SOC 2 Тип II:

  • Обхват: в допълнение към SOC2 тип I, тук трябва да оценим ефективността на контролите за предварително определен период, обикновено една година.
  • Фокус: Преглежда не само дизайна и прилагането на контролите, но и тяхната оперативна ефективност чрез преглед на доказателства за целия период.
  • Документация: В допълнение към прегледа на дизайна и изпълнението на контрола, изисква доказателства за изпълнение на контрола, за да се докаже, че контролите са работили последователно и ефективно през целия период на оценка.

От двата вида SOC 2 одити, SOC 2 тип 1 обикновено е по-евтиният и по-малко отнемащ време вариант. От друга страна, докладът SOC 2 тип 2 е по-добрият вариант, ако искате доклад, който демонстрира вашата силна позиция на сигурност.

6. Какъв е процеса на сертифициране по SOC 2?

Ще трябва да преминете през процеса на одит на SOC 2 от трета страна. Това включва наемането на акредитиран одитор трета страна от AICPA, който да оцени вашата информационна сигурност и да създаде одитен доклад, който описва подробно вашата позиция на сигурност и контролите, които имате, за да защитите вашите организационни и клиентски данни. Този процес се нуждае от сериозна подготовка, която трябва да направите, преди да сте готови за одит.

Ето общ преглед на това как изглежда пълният процес на SOC 2:

I. Определете обхвата на вашия отчет SOC 2, като идентифицирате кои критерии са подходящи за вашия бизнес. ISCS може да ви помогне тук.
II. Приложете необходимите контроли и ги тествайте. ISCS може да ви помогне тук.
III. Наемете одитор от акредитирана фирма AICPA. ISCS може да ви посъветва тук.
IV. Преминете през одита и съберете доказателства и документация. ISCS може да остане на ваша страна тук и да ви помогне безпроблемно да преминете през необходимите доказателства .
V. Финализирайте одитните дейности по SOC 2 и получете доклад за SOC 2. ISCS може да ви помогне да формализирате и приключите успешно одитните дейности, за да постигнете желания резултат!

7. Колко време отнема получаването на SOC 2?

Средният процес на SOC 2 отнема между шест месеца и 2 години от момента, в който започнете да подготвяте контролите, до момента, в който разполагате с готов доклад по SOC 2. Това е така, защото ще трябва да проверите кои контроли липсват, да зададете вашите контроли за сигурност, да ги тествате, да съберете доказателства и след това да намерите одитор. След като намерите одитор, оценката му ще отнеме между 2 и 4 месеца.

ISCS може да ви консултира при получаването и на двата типа SOC2 (I и II). Ние притежаваме уникален опит и знания в областите на сигурността и съответствието, които могат да ви помогнат да отключите своя потенциал за сигурност. Нашите услуги за атестация на SOC 2 са:

  1. Консултантска услуга, за да оцените дали избрания доклад е правилният.
  2. Можем да ви помогнем да определите обхвата, от който се нуждаете, и основните критерии, които трябва да преминете, за да постигнете всеки от тези два отчета тип SOC 2.
  3. Ние можем да извършим подготовката за одит и оценка на вътрешния одит/анализ на пропуските на вашата текуща среда, за да получим предварителен доклад за вашето състояние.
  4. Можем да добавим консултантска услуга, ако искате да разберете къде са пропуските и какво трябва да поправите/коригирате, за да отговаряте на изискванията на SOC 2.
  5. Нашата най-добра услуга за одит и консултиране на SOC 2, която ще ви напътства изцяло през цялото пътуване на SOC 2 и ние ще действаме като Subject Matter Expert (SME) и ще играем решаваща роля от край до края за вашия успех.
  6. След като докладът по SOC 2 бъде получен, ние можем да ви помогнем да поддържате съответствието със стандарта, да останете в синхрон с най-новите изисквания и да поддържате сигурността си в добро състояние!!

Имаме всички необходими възможности и ресурси, за да започнем процес по консултиране относно SOC 2! Не се колебайте да се свържете с нас чрез нашата форма за контакт и ние ще се свържем с Вас възможно най-скоро!