מה זה SOC 2 Compliance?
SOC 2 היא חלק מפלטפורמת בקרת השירות בארגון (SOC) במכון האמריקאי לרואי חשבון. מטרתה לוודא את בטחון ופרטיות המידע של לקוחות הארגון. הליך הביקורת של SOC 2 מבטיח שספקי השירות שלכם מנהלים בצורה מאובטחת את נתוני הארגון, ובכך שומרים על הגנת התהליכים העסקיים בו ועל פרטיותם של לקוחותיו.
SOC 2 מגדיר קריטריונים לניהול נתוני לקוחות על בסיס 5 "עקרונות שירות אמון":
- אבטחה
- זמינות
- שלמות
- סודיות
- פרטיות המידע
כמסגרת לשמירה על נתונים, אין מדובר ברשימה פרטנית של בקרות, כלים או תהליכים. במקום זאת, מצוינים קריטריונים הנדרשים לשמירה על אבטחת מידע איתנה, ובכך כל ארגון יכול לאמץ את הנהלים והתהליכים הרלוונטיים ליעדיו.
בפועל, SOC 2 פירושה
- מודעות לאופן הפעילות התקין ומעקב קבוע אחר פעילות זדונית או לא מוכרת, תיעוד שינויי קונפיגורציה ומעקב אחר רמות הגישה של המשתמשים.
- יישום כלים לזיהוי איומים והתרעה בפני הצדדים הרלוונטיים, לצורך הערכת האיום ונקיטת הפעולות הדרושות להגנה על נתונים ומערכות מפני גישה או שימוש לא מורשים.
- זמינות המידע הרלוונטי על כל אירועי האבטחה לטובת הבנת היקף הבעיה, תיקון מערכות או תהליכים לפי הצורך, ושחזור נתונים ושלמות המידע.
להלן 5 הקריטריונים של שירותי אמון
- אבטחה: מתייחס להגנה על מידע ומערכות מפני גישה לא מורשית. לדוגמא, באמצעות תשתיות אבטחת IT כגון חומות אש, אימות דו-גורמי ואמצעים אחרים לשמירה על בטחון המידע מפני גישה לא מורשית.
- זמינות: בוחן האם התשתית, התוכנה או המידע עוברים תחזוקה שוטפת תוך שימוש בבקרות להפעלה, ניטור ותחזוקה. קריטריונים אלה מודדים גם שמירה על רמות מינימליות של ביצועי רשת מקובלים, ומפחיתים איומים חיצוניים פוטנציאליים.
- שלמות: מבטיח שמערכות יבצעו את הפונקציות שלהן כמתוכנן וללא שגיאות, עיכוב, השמטה ומניפולציה בלתי מורשית. המשמעות לכך היא שפעולות עיבוד נתונים עובדות כראוי ובאופן מורשה, שלם ומדויק.
- סודיות: בוחן את יכולתה של החברה להגן על נתונים הנגישים רק לקבוצה מוגדרת של אנשים או ארגונים. בכללם נתוני לקוחות המיועדים רק לעובדי חברה, מידע סודי כגון תוכניות עסקיות או קניין רוחני, וכל מידע אחר הנדרש להגנה על פי חוק, תקנות, חוזים או הסכמים.
- פרטיות: מוודא את יכולתו של הארגון לשמור על מידע אישי (PII) מפני גישה בלתי מורשית. מידע זה יכול לכלול שם, מספרי זהות וביטוח לאומי, כתובת, מידע בריאותי וכו'.
שירותי SOC 2 לעסקים
SOC 2 רלוונטי לכל ספק שירותי טכנולוגיה או חברת SaaS אשר מעבדים או מאחסנים נתוני לקוחות. ספקי צד ג', שותפים אחרים או ארגוני תמיכה אשר עובדים עם הארגון צריכים גם הם לשמור על תאימות SOC 2 כדי להבטיח את שלמות מערכות הנתונים וההגנות שלהם.
ישנם שני סוגי SOC 2 Compliance
Type 1 – מתוארך לתאריך מסוים ונכון לתאריך בו התקבל. סוג זה כולל תיאור של מערכת הארגון ושל תכנון הבקרות הרלוונטיות, ובו נבדוק את תכנון וארכיטקטורות הבקרות של הארגון, אך לא את האפקטיביות התפעולית.
Type 2 – יכול להפרש על פני מסגרת זמן של 6 עד 12 חודשים. סוג זה כולל תיאור של מערכת הארגון כבסוג הראשון, אך בשונה מסוג 1 בודק את התכנון והיעילות התפעולית של בקרות הארגון לאורך זמן.
היות הארגון תואם SOC2 מבטיח ללקוחותיו שלארגון יש את התשתית, הכלים והתהליכים כדי להגן על המידע שלהם מפני גישה לא מורשית – הן מתוך המשרד ומחוצה לו.
כיצד אנו יכולים לעזור?
חברת סייבר Cybersafe תעזור לארגונכם לבחון את עמידתו בקריטריוני השירות האמין של SOC2, ותאפשר לכם למפות את התהליכים העסקיים, ולבקר את התשתיות ואת נוהלי האבטחה בארגון, ובתוך כך לזהות ולתקן פערים או פגיעויות. אם הנכם מאחסנים נתוני לקוחות, תאימות SOC2 תבטיח עמידה בתקני התעשייה, ותעניק ללקוחותיכם את הביטחון שברשותכם התהליכים והנהלים הנכונים לשמירה על נתוניהם.
שירות SOC 2 עם CyberSafe
מחפשים שירות SOC 2 Compliance לארגון שלכם? צרו עמנו קשר, חברת Cybersafe כאן בשבילכם עם צוות מומחים שלנו. צרו איתנו קשר בטלפון 077-5509948