מה זה SOC 2
תקן ה- Service Organization Control, שפותח על ידי המכון האמריקאי לרכישות (AICPA), מציב סטנדרט לניהול תיקי לקוחות על בסיס הגדרת קריטריונים של "עקרונות שירות אמון" – אבטחה, זמינות, איכות העיבוד, סודיות המידע ופרטיות.
מי נדרש לעמוד ב- SOC 2
דו"ח ה-SOC2 עוזר לזהות מה רמת האבטחה של נתוני לקוחות, ומספק הוכחה שנתוני הלקוחות שמורים מפני גישה לא מאושרת ונשארים פרטיים. התיאומת רלוונטית לכל ארגון השומר את נתוני הלקוחות שלו בסביבת הענן לרבות ספקי שירותי ענן, ספקי SaaS, ולעיתים נדרשת בארגונים פיננסים כמו בנקים, חברות השקעות וביטוח.
חשוב לשים לב- לרוב חברות שעומדות בתקני סייבר אחרים כדוגמאת HIPAA, PCI DSS או CE's לא צריכות לעמוד גם בSOC2 מפני שיש חפיפה גדולה בין השניים. לכן חברות IT שעובדות בשירותי הבריאות כנראה לא יצטרכו גם את תקן ה-SOC. אולם בתי חולים, חברות ביטוח וארגונים פיננסים המתעסקים בתשלומים המחויבים בעמיד בתקנים אחרים צריכים לבדוק את רלוונטיות תקן ה-SOC2 שכן בשל רגישות מידע לעיתים נדרשים ארגונים אלה לשכבת הגנה נוספת.
ישנם 2 סוגי של דו"חות SOC2:
סוג I- מתאר את מערכות הספק והאם המערכות בנויות כדי לעמוד בקריטריונים שהגדירו ל"עקרונות שירות אמון"
סוג II- מתאר את היעילות התפעולית של מערכות הארגון ובודק אותן לאורך מסגרת זמן של 6-12 חודשים.
עקרונות שירות אמון
אבטחה
מתייחס להגנה של משאבי המערכת כנגד גישה לא מורשית על ידי שימוש בבקרת גישה שמסייעת למנוע ניצול של המערכת, גניב או מחיקה לא מורשית של מידע. השימוש בכלי IT כמו WAF, אימות דו שלבי ומערכות לגילוי פריצה בוא חיוני לעמידה בקריטריון זה.
זמינות
הSOC2 מציב גישה קלה של הלקוחות ומשתמשי השירות למערכות, מוצר או שירותים, כפי שהוסכם ונחתם בחוזה על ידי 2 הצדדים- ספק השירות והלקוח. קריטריוןזה מצריך ניטור התפקוד של הרשת על ידי זיהוי וגילוי מתקפות היכולות להשבית את השירות.
איכות עיבוד
עיבוד המידע חייב להיות מדויק, מהיר, עומד בלוחות הזמנים ונעשה רק באישור של משתמשים עלי גישה. חשוב לציין שקריטריון זה אינו מגדיר את איכות המידע, ובמידה ויש אי דיוקים במידע שנמסר אין זה מתפקידו של ספק השירות לעלות על הטעות.
סודיות
הצפנה, WAF ומדיניות מחמירה של חלוקת גישה למשתמשים מסייע לספקי השירות להבטיח את הגבלת שיתוף המידע עם אנשים לא מורשים.
פרטיות
נוגע לכל תהליך האיסוף, השמירה, והמחיקה של מידע אישי בהתאם לחוזה המוסכם עם הלקוח ובעמידה בקריטריונים שהוגדרו ב-GAPP. על כל מידע שניתן להשתמש בו לזיהוי כגון שם, כתובת, מספר תעודת זהות, ואפילו מידע אישי אחר שקשור לבריאות, גזע, מין ודת, להיות מוגדר כמידע רגיש. מידע זה דורש שכבת הגנה נוספת ועל שומר המידע לקחת צעדים מחמירים לוודא שמידע רגיש לא יועבר לגורם לא מורשה.
מה חשוב לדעת לפני שמתחילים SOC 2
חשוב להבין את היקף הבדיקה לפני שמתחילים לבצע אותה. לא כל ארגון או פרויקט חייב לעמוד בכל הקריטריונים שהוגדרו בעקרונות שירות האמון , ואי הבנה של הקריטריונים הרלוונטים לארגון שלכם יכול לגרור בזבוז זמן ומשאבים.
בנוסף, חשוב שתהיה הבנה מעמיקה של התשתית הטכנית של המערכות שלכם לפני תחילת תהליך העמידה בתיאומת, לדוגמא במידה ואתם משתמשים במערכות לא מעודכנות חשוב לזהות זאת לפני ולשדרג אותן בהתאם, ומערכות צד שלישי או מוצרי SaaS צריכים לעמוד גם הם בתקנים נאותים.
אולם יש לציין, הארגונים שמחליטים לעמוד בתקינת ה-SOC2 צריכים לקחת בחשבון שמדובר בתקינה מקיפה, יסודית, שדורשת השקעה לא מועטה. לכן התייעצות עם חברת אבטחת מידע הוא קריטי למניעת בזבוז זמן ומשאבים.
ההבדל בין SOC 2 ל-SOC 1
SOC 1, הידוע גם כ- SSAE 18, הוא דו"ח שממוקד בבקרות הפנימיות של הארגון על המידע הפיננסי של לקוחות, בעוד ה-SOC2 מתמקד בזמינות המידע, ביטחון המידע, אימנות תהליכי עיבוד המידע, פרטיות וסודיות.
חשיבות SOC 2
עמידה בתיאומות SOC2 מסמלת ארגון השומר על רמה גבוהה של אבטחת מידע לקוחות, מה שמסייע להבטיח ניהול אחראי של מידע רגיש.
להמשך קריאה על תקני אבטחת מידע
