Wat wordt er geëvalueerd in een SOC 2 Type II?
In een SOC 2 Type II-nalevingsaudit worden beleidslijnen en controles die zijn ontworpen om aan de bovenstaande servicecriteria te voldoen, geëvalueerd op hun effectiviteit, meestal over een periode van zes maanden. Zijn de controles geschikt voor de criteria? Is uw organisatie consistent in het uitvoeren ervan?
Wat is een SOC 2 Type II-certificering?
De SOC 2 Type II-certificering is het bewijs van een externe auditor dat het beleid van een organisatie de audit voor SOC 2 Type II-naleving heeft doorstaan.
Wat zijn de voordelen van SOC 2 Type II-naleving?
De voordelen van SOC 2 Type II zijn het verbeteren van de algehele gezondheid van databeveiliging en -bescherming binnen een organisatie en bij haar leveranciers. Voor dienstverleners kan SOC 2 Type II-certificering helpen de kans op het verdienen van een partnerschap of klant ten opzichte van de concurrentie te verbeteren. Voor klanten is het aantoonbaar bewijs dat uw data in goede handen zijn met de juiste controles en veiligheidsmaatregelen.
Wie heeft SOC 2 Type II-naleving nodig?
Elke leverancier die klantgegevens of gevoelige informatie verwerkt die wil voldoen aan contractuele verplichtingen met een klant voor SOC 2 Type II-naleving, kan profiteren van certificering.
SOC 2 vs. andere nalevingscertificeringen
Verschillen tussen SOC 1 en SOC 2
Wat is het verschil tussen SOC 1 en SOC 2? SOC 1 is niet gericht op beveiligingscriteria, maar op criteria voor financiële rapportage. SOC 1 is ook ontworpen voor dienstverlenende organisaties, maar specifiek voor die waaraan bepaalde financiële functies zijn uitbesteed. Merk op dat SOC 1-audits doorgaans in lijn zijn met de fiscale jaren en vijf servicecriteria omvatten, waaronder controleomgeving, risicobeoordeling, controleactiviteiten, communicatie en informatie, en monitoring.
Verschillen tussen SOC 2 en ISO-27001
Zowel SOC 2 Type II als ISO-27001 zijn kaders die zich richten op het beheer van InfoSec. Hoewel SOC 2 Type II de algehele effectiviteit van beveiligingscontroles beoordeelt, is ISO-27001 een zeer prescriptieve, systematische benadering van managementsystemen voor informatiebeveiliging. De primaire focus van ISO-27001 ligt op interne systemen en controles en is een standaard, terwijl SOC 2 Type II een kader is voor het uitvoeren van een audit.
SOC 2 Type II vs. PCI DSS, HIPAA, AVG
Er zijn een aantal compliance frameworks - hoe verschillen ze en welke organisaties hebben ze nodig?
SOC 2 Type II en Payment Card Industry Data Security Standard (PCI DSS) zijn twee zeer verschillende compliance frameworks met weinig tot geen overlap. PCI DSS is specifiek gerelateerd aan controles voor de manier waarop creditcardinformatie en transacties worden behandeld. PCI DSS is ook alleen van toepassing op financiële dienstverleners, terwijl SOC 2 Type II een breder scala aan sectoren omvat. Tot slot wordt PCI DSS jaarlijks uitgevoerd, en niet door een CPA-bedrijf.
SOC 2 Type II en de Health Insurance Portability and Accountability Act (HIPAA) zijn ook verschillend op het aandachtsgebied van de data die worden beschermd. HIPAA is alleen van toepassing op organisaties in de gezondheidszorg en dienstverleners die met patiëntgegevens omgaan (en is wettelijk verplicht), terwijl SOC 2 Type II organisaties in de gezondheidszorg kan omvatten, maar voor hen niet verplicht is. Hoewel SOC 2 Type II niet zo prescriptief is in hoe aan de servicecriteria wordt voldaan, is HIPAA dat ook, met zeer specifieke normen waaraan moet worden voldaan om aan de eisen te voldoen.
SOC 2 Type II en de Algemene Verordening Gegevensbescherming (AVG) zijn beide kaders die betrekking hebben op gegevensbeveiliging en privacy. Het AVG-kader is alleen van toepassing op organisaties die persoonsgegevens van inwoners van de Europese Unie verwerken en is gericht op de rechten op gegevensprivacy en -bescherming. Dit vereist controles rond transparantie van de manier waarop data worden gebruikt, het "recht om te worden vergeten" en dataminimalisatie en toestemming. Hoewel SOC 2 Type II niet verplicht is, is de AVG dat wel en kan het niet naleven ervan gepaard gaan met juridische gevolgen en boetes.
Voorbereiding op SOC 2 Type II-beoordeling
Het voorbereiden op een SOC 2 Type II-audit is een teaminspanning en kan vrij wat uren van het personeel kosten om van de grond te komen. Het besluit om SOC 2 Type II-naleving te implementeren kan ook een redelijke hoeveelheid buy-in en interne ondersteuning vereisen om zaken op gang te brengen en op te nemen in processen voor de lange termijn.
Stappen om u voor te bereiden op SOC 2 Type II-beoordeling
- Ken het "waarom" achter uw verzoek om SOC 2-naleving. Of het nu gaat om een verzoek van een klant of om een andere reden, dit helpt u uw deadlines voor nalevingscertificering, de omvang van het werk dat ermee gepaard gaat en meer te begrijpen. Dit helpt u ook bij het identificeren van bestaande beleidslijnen die u hebt en die de auditor kunnen helpen en ook context en reikwijdte kunnen bieden.
- Verzamel het juiste team van personen binnen uw organisatie om ze in te werken op SOC 2 Type II. Afhankelijk van uw tijdsbestek om SOC 2 Type II op gang te krijgen, moet u mogelijk meer mensen bij bepaalde taken, het verzamelen van bewijsmateriaal en ontwikkeling betrekken. Deze groep kan bestaan uit:
- Leiderschap, zoals de CEO, CTO, CISO en andere C-suite executives
- DevOps
- Human resources, aangezien medewerkers in aanmerking kunnen komen voor audits
- InfoSec
- InfoSecPrepare om ruimte te bieden. Wees bereid om dataspecifieke vragen te beantwoorden, zoals waar uw dienst wordt gehost (public cloud, on-prem), capaciteitsprognoses, kantoorlocaties (is het een zero-trust-omgeving of moeten servers op de whitelist staan?), of u nu gevoelige data opslaat, enz.
Werken met externe auditors voor SOC 2 Type II-naleving
Het SOC 2-framework is ontwikkeld door het American Institute of Certified Public Accountants (AICPA) en een audit moet worden uitgevoerd door een CPA-bedrijf.
Wanneer u een bedrijf evalueert om u te controleren op SOC 2 Type II-naleving, overweeg dan kwaliteit en ervaring samen met de kosten, en of ze geschikt zijn om weken of maanden lang samen met uw team te werken - en word een langetermijnadviseur en partner voor uw organisatie.
Vragen om te stellen: Hebben ze een uitstekende staat van dienst op het gebied van succesvolle audits? Heeft het bedrijf auditervaring die specifiek is voor uw branche? Vraag gerust om peer reviews, vereiste beoordeling van documenten door derden voor auditors en verwijzingen.
Overweeg ook om zo vroeg mogelijk in het proces een auditor in te schakelen, omdat deze waardevol kan zijn om u te helpen het project te scopen en de juiste middelen intern af te stemmen om uw deadline te halen (als u die hebt).
- Zodra u de auditor hebt gekozen, zult u het volgende doornemen:
- Een scoping- en ontdekkingsoefening om verwachtingen te stellen
- Een paraatheidsbeoordeling, voor een top-down kijk op hiaten, wat u nodig hebt om te beginnen, welk beleid er al is, enz.
- Check-ins, voorafgaand aan de laatste test
- Het certificeringsexamen
Tijdens de audit wordt u gevraagd om het beleid, de controles en het bewijs voor elk ervan te verstrekken.
Hoe SOC 2 Type II-certificering te behouden
Het is belangrijk op te merken dat SOC 2 Type II-naleving niet één is en niet gedaan wordt. Het vereist toewijding en voortdurende inspanning. Het handhaven van SOC 2 Type II-certificering vereist constante monitoring, documentatie, openbaarmaking en respons van incidenten, training van medewerkers en periodieke beoordelingen. Dit is om aan te tonen dat een organisatie zich voortdurend inzet voor naleving en de nodige beleidswijzigingen en -upgrades doorvoert.
Als ISO 27001-gecertificeerde organisatie biedt Pure Storage een aantal producten en diensten die zijn ontworpen om onze klanten uitgebreide monitoring en controle over hun data te geven. Bekijk ons pakket moderne oplossingen voor dataprotectie om te zien hoe we u kunnen helpen uw nalevingsdoelstellingen voor databeveiliging te bereiken.
