PURE//ACCELERATE Inscrivez-vous à l'événement Pure//Accelerate 2024
BLOG Avec son SLA, Pure propose une garantie de rendement énergétique avec le stockage le plus écologique au monde
Service commercial : (800) 976-6494
Service commercial : (800) 976-6494
Sélectionnez Votre Région
Sélectionnez Votre Région
L’avantage Pure Solutions Produits Services et support Ressources Partenaires Société
CONTACTEZ-NOUS
Icône d’éclair
CONTACTEZ-NOUS
Icône d’éclair
Main Menu
L’avantage Pure
Solutions
Produits
Services et support
Ressources
Partenaires
Société
  1. Connaissances Pure
  2. Qu’est-ce que la conformité SOC 2 Type II ?

Qu’est-ce que la conformité SOC 2 Type II ?

Qu’est-ce que la conformité SOC 2 Type II ?

La conformité SOC 2 Type II est un cadre pour les organisations de services qui démontre des contrôles appropriés pour les critères de sécurité des données.

Dans le paysage actuel axé sur les services, les données d’une organisation n’existent que rarement dans son propre environnement informatique. De nombreux fournisseurs et prestataires de services font souvent confiance à ces données. Une grande partie du choix du fournisseur avec lequel faire confiance est faite à l’aide de certifications, qui peuvent démontrer le respect de certaines normes de sécurité et de confidentialité. 

Les certifications de conformité entrent dans le cadre des normes et sont vérifiées par des auditeurs tiers. Ils peuvent donner aux clients un tampon d’approbation indiquant qu’un fournisseur dispose de tous les contrôles et protections nécessaires pour garantir la sécurité de leurs données. L’un de ces cadres est appelé le cadre Service Organization Control (SOC).

Si vous êtes un fournisseur ou un prestataire de services, il peut vous être demandé de fournir des rapports de conformité des données SOC 2. Si vous êtes un client, vous pouvez demander une certification SOC pour vérifier qu’un fournisseur dispose des contrôles appropriés pour la conformité des données. 

Voici un aperçu plus approfondi de cette norme de conformité spécifique aux fournisseurs de services, de ce qu’elle inclut et de l’importance de cette norme.

Qu’est-ce que le SOC 2 Type II ?

Présentation de SOC 2 Type II

Les certifications de conformité des données sont souvent requises comme condition préalable ou obligation contractuelle pour un engagement. La conformité SOC 2 Type II est spécialement conçue pour les organisations de services. SOC 2 Type II inclut des principes de sécurité des données, de disponibilité, de confidentialité, de confidentialité et d’intégrité du traitement des transactions. Le type II indique que l’audit a été effectué sur une période prolongée, souvent de six mois. 

Ces normes sont essentielles pour garantir une sécurité de l’information (InfoSec) de premier ordre sur les systèmes informatiques des fournisseurs et pour respecter les contrats fournisseurs-clients. 

Combien de critères SOC existe-t-il ?

Dans un rapport de conformité SOC 2, il existe cinq critères de service, ou principes de confiance. La sécurité est obligatoire, tandis que les autres critères peuvent être plus spécifiques au secteur ou à l’entreprise. Chacun de ces éléments déclenchera des exigences pour différents types de contrôles.

  • Sécurité : Il s’agit de la catégorie de service de référence la plus importante pour la conformité SOC 2.
  • Disponibilité : Cela est important pour les fournisseurs de services qui ont des SLA stricts à respecter pour les produits de logiciel à la demande (SaaS), de plateforme à la demande (PaaS) ou d’infrastructure à la demande (IaaS). Si le service informatique est considéré comme essentiel pour les clients, la disponibilité des données est essentielle.
  • Intégrité du traitement : Cela s’applique aux services qui traitent les transactions pour les clients du secteur financier ou du commerce électronique.
  • Confidentialité : Lorsque les données que vous traitez pour les clients sont sensibles (par exemple, la propriété intellectuelle), il s’agit d’un pilier essentiel de votre conformité SOC 2 Type II.
  • Confidentialité : À ne pas confondre avec la confidentialité ci-dessus, ce principe est spécifique aux informations personnellement identifiables (PII) telles que les dossiers médicaux.

Critères de service de confiance

Principes

Catégories

Sécurité

Disponibilité

Intégrité du traitement

Confidentialité

Confidentialité
  • Organisation
  • Communication
  • Évaluation des risques et gestion des contrôles
  • Surveillance des contrôles
  • Contrôle d’accès logique et physique aux données et systèmes sensibles (par exemple, cartes-clés ou identifiants de connexion)
  • Opérations et procédures du système (quotidiennes, hebdomadaires, mensuelles)
  • Gestion du changement
Slide

Qu’est-ce qui est évalué dans un SOC 2 Type II ?

Dans un audit de conformité SOC 2 Type II, les politiques et contrôles conçus pour répondre aux critères de service ci-dessus sont évalués pour leur efficacité, généralement sur une période de six mois. Les contrôles sont-ils adaptés aux critères ? Votre organisation est-elle cohérente dans leur exécution ?

Qu’est-ce qu’une certification SOC 2 Type II ?

La certification SOC 2 Type II est la preuve par un auditeur tiers que les politiques d’une organisation ont passé l’audit pour la conformité SOC 2 Type II.

Quels sont les avantages de la conformité SOC 2 Type II ?

Les avantages de la norme SOC 2 Type II sont d’améliorer la santé globale de la sécurité et de la protection des données au sein d’une organisation et entre ses fournisseurs. Pour les fournisseurs de services, la certification SOC 2 Type II peut aider à améliorer les chances de gagner un partenariat ou un client par rapport à la concurrence. Pour les clients, il est évident que vos données seront entre de bonnes mains avec des contrôles et des garanties appropriés.

Qui a besoin d’une conformité SOC 2 Type II ?

Tout fournisseur qui traite des données clients ou des informations sensibles et qui cherche à respecter ses obligations contractuelles en matière de conformité SOC 2 Type II peut bénéficier d’une certification.

Certifications de conformité SOC 2 et autres

Différences entre SOC 1 et SOC 2

Quelle est la différence entre SOC 1 et SOC 2 ? Le SOC 1 ne se concentre pas sur les critères de sécurité, mais sur les critères de reporting financier. SOC 1 a également été conçu pour les organisations de services, mais en particulier celles auxquelles certaines fonctions financières ont été externalisées. Notez que les audits SOC 1 s’alignent généralement sur les exercices financiers et incluent cinq critères de service, notamment l’environnement de contrôle, l’évaluation des risques, les activités de contrôle, la communication et l’information, et la surveillance. 

Différences entre SOC 2 et ISO-27001

SOC 2 Type II et ISO-27001 sont tous deux des structures axées sur la gestion d'InfoSec. Si la norme SOC 2 Type II évalue l’efficacité globale des contrôles de sécurité, la norme ISO-27001 est une approche très prescriptive et systématique des systèmes de gestion de la sécurité de l’information. La norme ISO-27001 se concentre principalement sur les systèmes et les contrôles internes, tandis que la norme SOC 2 Type II est un cadre pour la réalisation d’un audit.

SOC 2 Type II vs PCI DSS, HIPAA, RGPD 

Il existe un certain nombre de cadres de conformité : en quoi sont-ils différents et quelles sont les organisations qui en ont besoin ?

SOC 2 Type II et la norme PCI DSS (Payment Card Industry Data Security Standard) sont deux structures de conformité très différentes, avec peu ou pas de chevauchement. La norme PCI DSS est spécifiquement liée aux contrôles sur la manière dont les informations et les transactions relatives aux cartes de crédit sont traitées. La norme PCI DSS ne s’applique également qu’aux fournisseurs de services financiers, tandis que la norme SOC 2 Type II couvre un plus large éventail de secteurs. Enfin, la norme PCI DSS est menée chaque année, et non par une société de CPA.

Le SOC 2 Type II et la loi HIPAA (Health Insurance Portability and Accountability Act) sont également différents dans le domaine d’intervention des données protégées. La loi HIPAA ne s’applique qu’aux établissements de santé et aux prestataires de services qui traitent les données des patients (et est requise par la loi), tandis que la norme SOC 2 Type II peut inclure des établissements de santé, mais n’est pas obligatoire pour eux. Par ailleurs, bien que la norme SOC 2 Type II ne soit pas aussi normative dans la manière dont les critères de service sont satisfaits, l’HIPAA l’est, avec des normes très spécifiques qui doivent être respectées pour la conformité.

SOC 2 Type II et le Règlement général sur la protection des données (RGPD) sont deux cadres qui traitent de la sécurité et de la confidentialité des données. Le cadre RGPD ne s’applique qu’aux organisations qui traitent des données personnelles de résidents de l’Union européenne et se concentre sur la confidentialité et les droits de protection des données. Cela nécessite des contrôles sur la transparence de la manière dont les données sont utilisées, le « droit à l’oubli », la minimisation des données et le consentement. Bien que la norme SOC 2 Type II ne soit pas obligatoire, le RGPD le fait et le non-respect de cette règle peuvent entraîner des conséquences juridiques et des amendes.

Préparation à l’évaluation SOC 2 de type II

La préparation d’un audit SOC 2 de type II est un effort d’équipe et peut nécessiter quelques heures de personnel pour décoller du terrain. La décision de mettre en œuvre la conformité SOC 2 Type II peut également nécessiter une adhésion et un support internes suffisants pour faire avancer les choses et les intégrer dans les processus à long terme. 

Étapes pour préparer l’évaluation SOC 2 de type II

  1. Découvrez le « pourquoi » derrière votre demande de conformité SOC 2. Qu’il s’agisse d’une demande du client ou d’une autre raison, cela vous aidera à comprendre vos délais de certification de conformité, l’étendue des travaux impliqués, etc. Cela vous aidera également à identifier les politiques existantes qui peuvent vous aider et à fournir à l’auditeur le contexte et la portée.
  2. Rassemblez la bonne équipe de personnes au sein de votre organisation pour les intégrer au SOC 2 Type II. En fonction de votre calendrier de lancement de la norme SOC 2 Type II, vous devrez peut-être mobiliser davantage de personnes pour effectuer certaines tâches, recueillir des preuves et développer des projets. Ce groupe peut inclure :
    • Direction, comme le PDG, le directeur technique, le RSSI et d’autres cadres dirigeants
    • DevOps
    • Ressources humaines, car les employés peuvent entrer dans le champ d’application des audits
    • InfoSec
  3. InfoSecPrepare pour fournir la portée. Soyez prêt à répondre à des questions spécifiques aux données, telles que l’emplacement où votre service est hébergé (cloud public, sur site), les prévisions de capacité, les emplacements de bureau (s’agit-il d’un environnement Zero Trust ou les serveurs devront-ils être sur liste blanche ?), le stockage de données sensibles, etc.

Travailler avec des auditeurs tiers pour la conformité SOC 2 Type II

Le cadre SOC 2 a été développé par l’American Institute of Certified Public Accountants (AICPA) et un audit doit être effectué par un cabinet CPA.

Lorsque vous évaluez un cabinet pour vérifier sa conformité à la norme SOC 2 Type II, tenez compte de la qualité et de l’expérience, ainsi que des coûts, et si celui-ci est adapté pour travailler aux côtés de votre équipe au quotidien pendant des semaines ou des mois, et devenir un conseiller et un partenaire à long terme pour votre organisation.

Questions à poser : Disposent-ils d’une solide expérience en matière d’audits ? Le cabinet possède-t-il une expérience en audit spécifique à votre secteur ? N’hésitez pas à demander des évaluations par des pairs, à demander un examen par des tiers des documents destinés aux auditeurs et à recommander des personnes.

En outre, envisagez d’engager un auditeur dès que possible, car il peut vous aider à définir le périmètre du projet et à aligner les ressources appropriées en interne pour respecter votre échéance (le cas échéant).

  • Une fois que vous aurez choisi l’auditeur, vous passerez en revue : 
  • Un exercice de définition et de découverte pour définir les attentes
  • Une évaluation de la préparation, pour examiner les lacunes, ce dont vous aurez besoin pour commencer, les politiques déjà en place, etc.
  • Enregistrements, avant le test final
  • L’examen de certification

Au cours de l’audit, il vous sera demandé de fournir les politiques, les contrôles et les preuves pour chacun d’eux. 

Comment maintenir la certification SOC 2 Type II

Il est important de noter que la conformité SOC 2 Type II n’est pas une seule et même chose. Cela nécessite de la diligence et des efforts continus. Le maintien de la certification SOC 2 Type II nécessite une surveillance constante, une documentation, la divulgation et la réponse aux incidents, la formation des employés et des évaluations périodiques. Cela montre qu’une organisation s’engage en permanence à respecter la conformité et qu’elle apporte les modifications et mises à niveau nécessaires.

En tant qu’organisation certifiée ISO 27001, Pure Storage propose un certain nombre de produits et de services conçus pour offrir à ses clients une surveillance et un contrôle complets de leurs données. Découvrez notre suite de solutions modernes de protection des données pour découvrir comment nous pouvons vous aider à atteindre vos objectifs de conformité en matière de sécurité des données.

We Also Recommend...

Check Out Our Resource Center Check Out Our Resource Center
05/2023
Direct to Object with FlashBlade and Veeam Backup & Replication V12
This white paper provides an in-depth analysis of FlashBlade Object capabilities, and Veeam Backup & Replication V12 Direct-to-Object repository feature.
Livre blanc
18 pages
12/2020
Agility and Resilience: The Perfect Balance?
Read why Pure Storage believes that to become a fully stress-tested public sector organisation, IT leaders must build data infrastructures that deliver a seemingly dual capability: resilience and agility.
Leadership
11 pages
05/2018
Guide Le datacenter 100 % flash pour les nuls
Accédez gratuitement au guide Le datacenter 100 % flash pour les nuls. Ce guide fournit des informations précieuses sur le coût de possession, les défis en lien avec l’architecture des données ainsi que sur la virtualisation, les conteneurs et les environnements cloud hybrides.
E-book
52 pages
Découvrir Pure
Centre événementiel
Recherchez nos événements et webinars à venir et parcourez notre catalogue de contenu à la demande.
Blog
Suivez les annonces et les mises à jour de produits Pure, accédez à des informations sur nos solutions et bénéficiez de conseils techniques.
Centre de ressources
Accédez à une bibliothèque complète de rapports d’analystes, de livres blancs, d’e-books et bien plus encore.
CONTACTEZ-NOUS
Des questions, des commentaires ?

Vous avez des questions ou des commentaires concernant des produits ou certifications Pure ?  Nous sommes là pour vous aider.

Contactez-nous Chat en direct
Planifier une démo

Planifiez une démo en direct et découvrez comment Pure peut vous aider à transformer vos données. 

Demander une démo

Tél. : +33 1 89 96 04 00

Services Médias : pr@purestorage.com

 

Pure Storage France

32 rue Guersant

75017 Paris

info@purestorage.com

 

FERMER
Votre navigateur n’est plus pris en charge !

Les anciens navigateurs présentent souvent des risques de sécurité. Pour profiter de la meilleure expérience possible sur notre site, passez à la dernière version de l’un des navigateurs suivants.

safari
chrome
firefox
edge