Che cos'è la conformità SOC 2 Tipo II?

Che cos'è la conformità SOC 2 Tipo II?

La conformità SOC 2 Tipo II è un framework per le organizzazioni di servizi che dimostra i controlli appropriati per i criteri di sicurezza dei dati.

Nell'odierno panorama basato sui servizi, i dati di un'organizzazione raramente esistono solo nel proprio ambiente IT. Questi dati sono spesso considerati affidabili da molti vendor e service provider. La scelta del vendor con cui fidarsi dei dati è importante grazie alle certificazioni, che possono dimostrare il rispetto di determinati standard di sicurezza e riservatezza. 

Le certificazioni di conformità rientrano in framework e sono verificate da revisori terzi. Possono fornire ai clienti un timbro di approvazione che indica che un vendor dispone di tutti i controlli e le protezioni necessari per garantire che i loro dati siano il più sicuri possibile. Uno di questi framework è chiamato Service Organization Control (SOC).

Se sei un vendor o un service provider, ti potrebbe essere chiesto di fornire report sulla conformità dei dati SOC 2. Se sei un cliente, puoi richiedere la certificazione SOC per verificare che un vendor o provider disponga dei controlli appropriati per la conformità dei dati. 

Diamo un'occhiata più da vicino a questo standard di conformità specifico per i service provider, a cosa include e perché è importante.

Che cos'è il SOC 2 di tipo II?

Panoramica del SOC 2 di tipo II

Le certificazioni di conformità dei dati sono spesso richieste come prerequisito o obbligo contrattuale per un incarico. La conformità SOC 2 Tipo II è stata progettata specificamente per le organizzazioni di servizi. SOC 2 Tipo II include principi per la sicurezza, la disponibilità, la riservatezza, la privacy e l'integrità dell'elaborazione delle transazioni. Tipo II indica che l'audit è stato eseguito per un periodo di tempo prolungato, spesso sei mesi. 

Questi standard sono cruciali per garantire le migliori misure di sicurezza delle informazioni (InfoSec) tra i sistemi IT dei vendor e rispettare i contratti tra vendor e clienti. 

Quanti criteri SOC esistono?

In un report sulla conformità SOC 2 sono presenti cinque criteri di servizio, o principi di fiducia. La sicurezza è obbligatoria, mentre gli altri criteri possono essere più specifici del settore o del business. Ognuno di questi fa scattare i requisiti per i diversi tipi di controlli.

• Sicurezza: Questa è la categoria di servizio di base più importante per la conformità SOC 2.
• Disponibilità: Ciò è importante per i service provider che hanno SLA rigorosi da rispettare per i prodotti Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) o Infrastructure-as-a-Service (IaaS). Se il servizio IT è considerato mission-critical per i clienti, la disponibilità dei dati è fondamentale.
• Integrità del trattamento: Questo vale per i servizi che elaborano transazioni per i clienti finanziari o di e-commerce.
• Riservatezza: Quando i dati elaborati per i clienti sono sensibili (ad esempio, la proprietà intellettuale), questo è un pilastro chiave della conformità SOC 2 Tipo II.
• Privacy: Da non confondere con la riservatezza di cui sopra, questo principio è specifico per le informazioni di identificazione personale (PII), come le cartelle cliniche.

Che cosa viene valutato in un SOC 2 di tipo II?

In un audit di conformità SOC 2 di tipo II, vengono valutati i criteri e i controlli progettati per soddisfare i criteri di servizio di cui sopra, solitamente nell'arco di sei mesi. I controlli sono adatti ai criteri? La tua organizzazione è coerente nell'eseguirli?

Che cos'è una certificazione SOC 2 di tipo II?

La certificazione SOC 2 Tipo II è la prova da parte di un revisore terzo che le policy di un'organizzazione hanno superato l'audit per la conformità SOC 2 Tipo II.

Quali sono i vantaggi della conformità SOC 2 Tipo II?

I vantaggi del SOC 2 di tipo II sono il miglioramento dello stato generale di sicurezza e protezione dei dati all'interno di un'organizzazione e tra i suoi vendor. Per i service provider, la certificazione SOC 2 di tipo II può contribuire a migliorare le probabilità di ottenere una partnership o un cliente rispetto alla concorrenza. Per i clienti, è una prova dimostrabile che i tuoi dati saranno in buone mani con controlli e misure di sicurezza appropriati.

Chi deve avere la conformità SOC 2 Tipo II?

Qualsiasi vendor che gestisce i dati dei clienti o le informazioni sensibili che intende soddisfare gli obblighi contrattuali con un cliente per la conformità SOC 2 Tipo II può beneficiare della certificazione.

SOC 2 e altre certificazioni di conformità

Differenze tra SOC 1 e SOC 2

Qual è la differenza tra SOC 1 e SOC 2? Il SOC 1 non è incentrato sui criteri di sicurezza, ma sui criteri di reporting finanziario. SOC 1 è stato progettato anche per le organizzazioni di servizi, ma in particolare per quelle a cui sono state affidate in outsourcing determinate funzioni finanziarie. Si noti che gli audit SOC 1 sono in linea con gli anni fiscali e includono cinque criteri di servizio, tra cui ambiente di controllo, valutazione dei rischi, attività di controllo, comunicazione e informazioni e monitoraggio. 

Differenze tra SOC 2 e ISO-27001

Sia SOC 2 Tipo II che ISO-27001 sono framework che si concentrano sulla gestione di InfoSec. Mentre SOC 2 Tipo II valuta l'efficacia complessiva dei controlli di sicurezza, ISO-27001 è un approccio molto prescrittivo e sistematico ai sistemi di gestione della sicurezza delle informazioni. ISO-27001 si concentra principalmente su sistemi e controlli interni ed è uno standard, mentre SOC 2 Tipo II è un framework per condurre un audit.

SOC 2 Tipo II e PCI DSS, HIPAA, GDPR 

Esistono diversi framework di conformità: come sono diversi e quali organizzazioni ne hanno bisogno?

SOC 2 di tipo II e Payment Card Industry Data Security Standard (PCI DSS) sono due framework di conformità molto diversi con una sovrapposizione minima o nulla. PCI DSS è correlato in modo specifico ai controlli sulle modalità di gestione delle informazioni e delle transazioni delle carte di credito. Lo standard PCI DSS è applicabile solo ai provider di servizi finanziari, mentre lo standard SOC 2 Tipo II copre una gamma più ampia di settori. Infine, PCI DSS viene condotto annualmente e non da un'azienda CPA.

Anche SOC 2 di tipo II e l'Health Insurance Portability and Accountability Act (HIPAA) sono diversi nell'area di interesse dei dati protetti. L'HIPAA si applica solo alle organizzazioni sanitarie e ai service provider che gestiscono i dati dei pazienti (ed è richiesto dalla legge), mentre il SOC 2 di tipo II può includere organizzazioni sanitarie, ma non è obbligatorio per loro. Inoltre, mentre SOC 2 Tipo II non è altrettanto prescrittivo nel modo in cui vengono soddisfatti i criteri di servizio, lo è l'HIPAA, con standard molto specifici che devono essere soddisfatti per la conformità.

SOC 2 Tipo II e il Regolamento generale sulla protezione dei dati (GDPR) sono entrambi framework che riguardano la sicurezza e la privacy dei dati. Il quadro GDPR è applicabile solo alle organizzazioni che gestiscono i dati personali dei residenti all'interno dell'Unione europea e si concentra sui diritti di privacy e protezione dei dati. Ciò richiede controlli sulla trasparenza del modo in cui i dati vengono utilizzati, il "diritto all'oblio", la minimizzazione dei dati e il consenso. Anche se il SOC 2 Tipo II non è obbligatorio, il GDPR è e la mancata conformità può comportare conseguenze legali e sanzioni pecuniarie.

Preparazione per la valutazione SOC 2 di tipo II

Prepararsi per un audit SOC 2 di tipo II è un lavoro di squadra e può richiedere diverse ore di lavoro da parte del personale. La decisione di implementare la conformità SOC 2 di tipo II può anche richiedere una certa quantità di buy-in e supporto interno per avviare le attività e integrarle nei processi a lungo termine. 

Passaggi per prepararsi alla valutazione SOC 2 di tipo II

1. Scopri il "perché" alla base della tua richiesta di conformità SOC 2. Che si tratti di una richiesta del cliente o di un altro motivo, questo ti aiuterà a comprendere le scadenze per la certificazione di conformità, l'ambito di lavoro coinvolto e altro ancora. Questo ti aiuterà anche a identificare le policy esistenti che potrebbero essere utili e a fornire al revisore contesto e ambito.
2. Riunisci il team di persone giusto all'interno della tua organizzazione per inserirli nel SOC 2 Tipo II. A seconda del periodo di tempo per avviare il SOC 2 di tipo II, potrebbe essere necessario un maggior numero di persone per svolgere determinate attività, raccogliere prove e sviluppare. Questo gruppo può includere:
   
   • Leadership, come CEO, CTO, CISO e altri dirigenti di alto livello
   • DevOps
   • Risorse umane, poiché i dipendenti possono entrare in ambito di audit
   • InfoSec
3. InfoSecPreparare per fornire l'ambito. Preparati a rispondere a domande specifiche sui dati, come la posizione in cui è ospitato il tuo servizio (public cloud, on-premise), le previsioni di capacità, le sedi degli uffici (si tratta di un ambiente zero-trust o i server devono essere inseriti nella whitelist?), se archivi dati sensibili, ecc.

Collaborazione con revisori terzi per la conformità SOC 2 Tipo II

Il framework SOC 2 è stato sviluppato dall'American Institute of Certified Public Accountants (AICPA) e un audit deve essere completato da un'azienda CPA.

Quando valuti un'azienda per verificare la conformità SOC 2 di tipo II, valuta la qualità e l'esperienza insieme ai costi e se è adatta a lavorare insieme al tuo team ogni giorno per settimane o mesi, e diventa un consulente e un partner a lungo termine per la tua organizzazione.

Domande da porre: Ha un'ottima esperienza di audit di successo? L'azienda ha un'esperienza di audit specifica per il tuo settore? Puoi chiedere recensioni tra pari, revisione di terze parti richiesta di documenti per i revisori e referenze.

Inoltre, è consigliabile coinvolgere un revisore il prima possibile nel processo, perché può essere utile per definire l'ambito del progetto e allineare internamente le risorse giuste per rispettare la scadenza (se disponibile).

• Una volta scelto l'auditor, esaminerai: 
• Un esercizio di definizione e scoperta per definire le aspettative
• Una valutazione della preparazione, per uno sguardo dall'alto verso il basso sulle lacune, su cosa sarà necessario iniziare, su quali policy sono già in atto, ecc.
• Check-in, prima del test finale
• L'esame di certificazione

Durante l'audit, ti verrà chiesto di fornire le policy, i controlli e le prove per ciascuno di essi. 

Come mantenere la certificazione SOC 2 Tipo II

È importante notare che la conformità SOC 2 Tipo II non è una cosa sola ed è eseguita. Richiede diligenza e impegno continuo. Il mantenimento della certificazione SOC 2 di tipo II richiede monitoraggio costante, documentazione, divulgazione e risposta agli incidenti, formazione dei dipendenti e valutazioni periodiche. Questo dimostra che un'organizzazione ha un impegno costante per la conformità e sta apportando le modifiche e gli aggiornamenti necessari alle policy.

In qualità di organizzazione certificata ISO 27001, Pure Storage fornisce una serie di prodotti e servizi progettati per fornire ai nostri clienti un monitoraggio e un controllo completi sui loro dati. Dai un'occhiata alla nostra suite di moderne soluzioni di data protection per scoprire come possiamo aiutarti a raggiungere i tuoi obiettivi di conformità in materia di sicurezza dei dati.