Что такое SOC 2 | Руководство по соответствию и сертификации SOC 2 | Imperva

  1. Что такое SOC 2
  2. Сертификация SOC 2
  3. Важность соответствия SOC 2

Информационная безопасность является поводом для беспокойства для всех организаций, включая те, которые передают ключевые бизнес-операции сторонним поставщикам (например, SaaS, поставщики облачных вычислений). По правде говоря, поскольку неправильно обработанные данные, особенно поставщиками приложений и сетевой безопасности, могут сделать предприятия уязвимыми для атак, таких как кража данных, вымогательство и установка вредоносных программ.

SOC 2 - это процедура аудита, которая обеспечивает вашим поставщикам услуг безопасное управление вашими данными для защиты интересов вашей организации и конфиденциальности ее клиентов. Для предприятий, заботящихся о безопасности, соответствие SOC 2 является минимальным требованием при рассмотрении вопроса о поставщике SaaS.

Что такое SOC 2

Разработано Американским институтом CPAs ( AICPA ), SOC 2 определяет критерии для управления данными клиента на основе пяти «принципов доверия» - безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности.

В отличие от PCI DSS Отчеты SOC 2 уникальны для каждой организации. В соответствии с определенной деловой практикой, каждый разрабатывает свои собственные элементы управления для соответствия одному или нескольким принципам доверия.

Эти внутренние отчеты предоставляют вам (наряду с регулирующими органами, деловыми партнерами, поставщиками и т. Д.) Важную информацию о том, как ваш поставщик услуг управляет данными.

Существует два типа отчетов SOC:

  • Тип I описывает системы вендора и их соответствие требованиям соответствующих принципов доверия.
  • Тип II детализирует операционную эффективность этих систем.

Сертификация SOC 2

Сертификация SOC 2 выдается сторонними аудиторами. Они оценивают степень, в которой поставщик соблюдает один или несколько из пяти принципов доверия на основе существующих систем и процессов.

Принципы доверия разбиты следующим образом:

1. Безопасность

Принцип безопасности относится к защите системных ресурсов от несанкционированного доступа. Контроль доступа помочь предотвратить возможное злоупотребление системой, кражу или несанкционированное удаление данных, неправильное использование программного обеспечения, а также ненадлежащее изменение или раскрытие информации.

Инструменты информационной безопасности, такие как сеть и брандмауэры веб-приложений (WAF) , двухфакторная аутентификация а также обнаружения вторжений полезны для предотвращения нарушений безопасности, которые могут привести к несанкционированному доступу систем и данных.

2. Доступность

Принцип доступности относится к доступности системы, продуктов или услуг, как это предусмотрено договором или соглашением об уровне обслуживания (SLA). Таким образом, минимальный приемлемый уровень производительности для доступности системы устанавливается обеими сторонами.

Этот принцип не касается функциональности и удобства использования системы, но включает критерии безопасности, которые могут повлиять на доступность. Мониторинг производительности и доступности сети, восстановление сайта и обработка инцидентов безопасности имеет решающее значение в этом контексте.

3. Обработка целостности

Принцип целостности обработки определяет, достигает ли система своей цели (т.е. доставляет ли правильные данные по правильной цене в нужное время). Соответственно, обработка данных должна быть полной, достоверной, точной, своевременной и авторизованной.

Однако целостность обработки не обязательно подразумевает целостность данных. Если данные содержат ошибки до их ввода в систему, их обнаружение обычно не является обязанностью обрабатывающего объекта. Мониторинг обработки данных в сочетании с процедурами обеспечения качества может помочь обеспечить целостность обработки.

4. Конфиденциальность

Данные считаются конфиденциальными, если их доступ и раскрытие ограничены определенным набором лиц или организаций. Примеры могут включать данные, предназначенные только для персонала компании, а также бизнес-планы, интеллектуальную собственность, внутренние прайс-листы и другие виды конфиденциальной финансовой информации.

Шифрование является важным средством защиты конфиденциальности во время передачи. Сетевые и прикладные межсетевые экраны вместе со строгими средствами контроля доступа могут использоваться для защиты информации, обрабатываемой или хранящейся в компьютерных системах.

5. Конфиденциальность

Принцип конфиденциальности относится к сбору, использованию, хранению, раскрытию и удалению личной информации системы в соответствии с уведомлением организации о конфиденциальности, а также с критериями, изложенными в общепринятых принципах конфиденциальности AICPA (GAPP).

Личная информация (PII) относится к деталям, которые могут отличить человека (например, имя, адрес, номер социального страхования). Некоторые личные данные, касающиеся здоровья, расы, сексуальности и религии, также считаются конфиденциальными и, как правило, требуют дополнительного уровня защиты. Должны быть установлены элементы управления для защиты всех PII от несанкционированного доступа.

Важность соответствия SOC 2

Соответствие требованиям SOC 2 не является обязательным требованием для поставщиков SaaS и облачных вычислений, однако его роль в защите ваших данных невозможно переоценить.

Imperva регулярно проходит аудиторские проверки, чтобы убедиться, что требования каждого из пяти принципов доверия соблюдены, и что мы остаемся соответствующими стандарту SOC 2. Соблюдение распространяется на все предоставляемые нами услуги, включая безопасность веб-приложений , Защита от DDoS Доставка контента через наш CDN , балансировки нагрузки а также Аналитика атак ,

Похожие

Что такое Web 2.0
от Тим О'Рейли 09/30/2005 Октябрь 2009: Тим О'Рейли и Джон Баттелль отвечают на вопрос «Что будет дальше с Web 2.0?» в Web Squared: Web 2.0 пять лет спустя , Разрушение пузыря доткомов осенью 2001 года стало поворотным моментом для Интернета. Многие люди пришли к выводу, что сеть была перегружена, когда на самом
Что такое карта сайта XML и как ее создать?
Карта сайта XML - это документ, который помогает Google и другим основным поисковым системам лучше понять ваш веб-сайт при его сканировании. Что такое карта сайта и почему это важно? Файлы Sitemap - это протокол, который позволяет веб-мастеру веб-сайта информировать Google и другие крупные поисковые системы об URL-адресах веб-сайтов, доступных для сканирования. Файлы Sitemap позволяют поисковым системам находить все ваши веб-страницы, которые они могли бы пропустить
Нишевый продукт - Что такое нишевый продукт?
Нишевой продукт - это конкретный продукт или продукт, модифицированный с точки зрения базовой или добавленной стоимости, для которого заинтересована лишь небольшая часть потенциальных покупателей. Тем не менее, производство и дистрибуция могут быть выгодными, поскольку нишевые продукты имеют повышенную маржу или оказывают значительное вторичное влияние на остальную часть ассортимента или восприятие потребителем качества. Генерал или специалист? А что делает специалист?
Маршрутизаторы и роутер - в чем разница?
... что разница между маршрутизатором и роутером. На самом деле это просто разные названия. 💡 Роутер - это английское слово (router), что в переводе и есть маршрутизатор. Таким образом, оба понятия обозначают один вид техники. Что такое Wi-Fi роутер? Бурное развитие электроники в наши дни привело к тому практически у каждого в доме есть не только стационарный компьютер, но и ноутбук, а также телефон или планшет. Все эти устройства способны выходить в глобальную
Что такое ARPPRODUCTICON.exe?
Arpproducticon.exe - это исполняемый файл стороннего программного обеспечения Arpproducticon.exe представляет собой исполняемый файл [1] это не стандартный компонент ОС Windows. В большинстве случаев он входит в состав ПК как неотъемлемая часть InstallShield, разработанного Acresso Software Inc. [2] Программное обеспечение является законным инструментом, который
Что такое разбор Google?
мнение Как мы отметили блог Sophos имеет длинная статья о современном ссылочном фермерстве с PDF документами , Менее скрупулезные маркетологи обнаружили, что Google доверяет PDF-документам больше, чем HTML-страницам;
Великобританию устраивает, что Киев не имеет шансов стать членом ЕС - Financial Times
Иллюстрация / REUTERS С географической точки зрения Великобритания и Украина находятся на противоположных концах Европы. Но по отношению к ЕС у них в какой-то момент может оказаться много общего. Об этом сообщает "
Как заменить оптический привод на жесткий диск в ноутбуке - Руководство
В нашем
Как обновить BIOS UEFI в Windows
... что их проблемы связаны с устаревшим BIOS. Общая рекомендация: все в порядке, пока вы не начнете замечать проблемы совместимости оборудования. Здесь мы покажем вам, как безопасно обновить ваш UEFI BIOS. Что такое UEFI BIOS? BIOS (Basic Input / Output System) действует как своего рода триггер, проверяющий и активирующий ваше оборудование. Это также диктует загрузочные устройства, программное обеспечение для повышения CPU,
TIM SA Мы отправляем продукцию в течение 24 часов
предлагают 198 тысяч продукты расширенная клиентская панель индивидуальные условия ценообразования Смотрите детали предложить 75 тысяч продукты отслеживание груза история заказов и счета Смотрите детали Что вы получаете при покупке в TIM SA? Самый широкий
Экологическая мебель - изобретение или революция?
Хотя я хочу посвятить этот блог в основном теме очистки сточных вод, вопросы, связанные с экологией, также близки мне. В конце концов, я врач в этой области. Недавно, в связи с этим, я натолкнулся на тему, касающуюся экологической мебели, и решил поделиться с вами своими мыслями по этому вопросу.

Комментарии

Что такое кэш приложений на iPad?
Что такое кэш приложений на iPad? Кэш-память - это временная область хранения устройства, в которой хранятся определенные виды данных. Ваше устройство использует части вашей памяти для хранения данных для быстрого доступа и временного хранения вашим приложением. Теоретически, со временем ваш кэш может стать большим и даже начать замедлять работу вашего устройства. Если вы хотите очистить кэш приложений на iPad бесплатно или просто установить приложение по умолчанию (как
Но что такое SEO на самом деле?
Но что такое SEO на самом деле? Дело в том, что без SEO ни одно онлайн-присутствие не работает с целью привлечения клиентов и посетителей. Почему SEO так важен и какова роль поисковых систем в маркетинге? Здесь заинтересованные читатели найдут краткое объяснение этой темы. SEO - определение SEO расшифровывается как «Поисковая оптимизация». В переводе это означает не что иное, как поисковую оптимизацию. Цель любого интернет-магазина, любой компании с интернет-присутствием
Что такое форекс и CFD?
Что такое форекс и CFD? Форекс - это валютный рынок. Вы размышляете, будет ли цена одной валюты ослабевать или укрепляться по отношению к другой валюте. На форексе вы можете торговать онлайн через CFD-брокеров. CFD - это английская аббревиатура для «Контракт на разницу», «контракт на обмен валюты» на польском языке. Помимо валют через CFD вы также можете продавать товары, акции и индексы. Вы зарабатываете деньги, правильно предвидя будущее развитие курса, так же как и с бинарными
Что такое спред форекс?
Что такое спред форекс? Каждый инвестор или трейдер должен иметь брокера для своих транзакций (покупка и продажа акций, облигаций, товаров, валют и т. Д.), Который становится для него внебиржевым или биржевым трейдером. Заслуга брокера обусловлена ​​различными аспектами: либо от комиссии, уровень которой в торговле иностранной валютой почти всегда зависит от объема. Спред для этих ECN / STP-брокеров равен межбанковскому спреду, который передается клиенту 1: 1.
Что такое спуфинг соседа?
Что такое спуфинг соседа? Robocallers используют спуфинг соседей, который отображает номер телефона, похожий на ваш номер, на вашем идентификаторе вызывающего абонента, чтобы увеличить вероятность того, что вы ответите на вызов. Чтобы помочь в борьбе с подделкой соседей, FCC призывает телефонную отрасль принять надежную
Почему молодые люди испытывают такое давление на медицину, что они выбирают оплату обучения за рубежом?
Почему молодые люди испытывают такое давление на медицину, что они выбирают оплату обучения за рубежом? Прежде всего, я думаю, что изучение медицины - это как звонить - это чертовски сложный, ответственный и утомительный путь. Если вы почувствуете это призвание, вам будет мало что помешать вам достичь своей цели. Кроме того, поездка в "раздираемую войной третьей страны" не помешает ему - по крайней мере, в моем случае. Во-вторых, времена немного изменились. Профессиональные школы
Потому что, с другой стороны, зачем нам переплачивать, если другие показывают, что цены могут быть побеждены до более привлекательного уровня?
Потому что, с другой стороны, зачем нам переплачивать, если другие показывают, что цены могут быть побеждены до более привлекательного уровня? Идеальной поддержкой для моей диссертации является расхождение цен в польском и американском PS Store. Та же компания, тот же издатель, и цена в три раза ниже. Если кто-то открылся миру благодаря мне, я с удовольствием прочту об этом в комментарии. А теперь я сижу в поисках продвижения по службе!
Я не думаю, что мы должны сказать, что мы приняли эти слова близко к сердцу?
Я не думаю, что мы должны сказать, что мы приняли эти слова близко к сердцу? Гостиничная часть замка хорошо сохранилась и датируется 19 веком. Те времена помнят полы, террасы и антикварные печи. К сожалению, во время войн замок был лишен всех движимых вещей, только 200-летний комод был чудом,
Что такое API / SDK для видеочата?
Что такое API / SDK для видеочата? Video Chat API - это инструмент для интеграции аудио и видео, который позволяет вашему устройству использовать видеочат в реальном времени. API предоставляет техническую инфраструктуру для настройки видеосвязи. Существует множество инструментов для голосовой интеграции, которые можно интегрировать в мобильное приложение для связи. Обычно они доступны в форме API и SDK, что упрощает внедрение видеозвонка в мобильное приложение. Как
Вы уверены, что используете то, что у вас есть?
Вы уверены, что используете то, что у вас есть? В сводках будут точно рассчитаны услуги, за которые вы платите, и степень их реализации. Часть данных также может быть проверена с телефона - потребление передачи данных, количество минут в месяц и, возможно, количество отправленных текстовых сообщений. Вы также будете иметь дополнительную плату за счет, который вы можете иметь и забыли, что они активны. Использую ли я все, что у меня есть в моем текущем предложении?
Вы думаете, что Microsoft волнует, что они были показаны в Forbes (снова)?
Вы думаете, что Microsoft волнует, что они были показаны в Forbes (снова)? Нету. Нет шансов. Но как насчет ваших клиентов и потенциальных клиентов? Ты хоть знаешь где их показывают? Вам следует. И это не сложно. Вот как. Старые (потенциально большие) выводы Посмотрите на клиентов, которые ответили в прошлом, но не покупали. Или для больших потенциальных клиентов, которые могут серьезно повлиять на прибыль. Установите оповещение, чтобы вы знали, когда упоминается

Что такое карта сайта и почему это важно?
Генерал или специалист?
А что делает специалист?
Маршрутизаторы и роутер - в чем разница?
Что такое Wi-Fi роутер?
Exe?
Что такое UEFI BIOS?
Что такое кэш приложений на iPad?
Но что такое SEO на самом деле?
Почему SEO так важен и какова роль поисковых систем в маркетинге?