Od svih onih koji planiraju ili već obavljaju poslovne aktivnosti u SAD-u može se zatražiti da budu u skladu sa SOC2.
SOC2 je dobrovoljni standard usklađenosti za uslužne organizacije koje upravljaju podacima o kupcima (PII > GDPR).
Evo sažetka što je SOC2 i zašto je važan:
SOC2 je kratica za Service Organization Controls 2, a razvio ga je Američki institut za CPA (AICPA). Njime se definiraju kriteriji za način na koji pružatelji usluga trebaju štititi interese i privatnost svojih klijenata na temelju pet načela usluga povjerenja: sigurnosti, dostupnosti, integriteta obrade, povjerljivosti i privatnosti. Za razliku od drugih standarda, kao što je PCI DSS, SOC2 izvješća jedinstvena su za svaku organizaciju i dizajnirana su da zadovolje njihove specifične poslovne prakse i potrebe.
SOC2 certifikaciju izdaju vanjski revizori koji procjenjuju u kojoj mjeri pružatelj usluga poštuje jedno ili više načela povjerenja koja se temelje na uspostavljenim sustavima i procesima. Izvješće SOC2 pruža jamstvo kupcima i poslovnim partnerima da pružatelj usluga ima odgovarajuće sigurnosne mjere i kontrole za zaštitu svojih podataka.
SOC2 je posebno važan za pružatelje tehnoloških usluga ili tvrtke SaaS proizvoda koje pohranjuju podatke o kupcima u oblaku. To je globalno priznati standard za informacijsku sigurnost i osnova za druge standarde, kao što je TISAX.® SOC2 može pomoći pružateljima usluga da steknu više poslovanja, pokažu pouzdanost i smanje rizik od kršenja podataka i pravnih obveza.
Usklađenost sa SOC2 postoji u 2 oblika:
Izvješće vrste 1 (Type 1 Report) procjenjuje jesu li kontrole uslužne organizacije ispravno dizajnirane od određene vremenske točke. Pruža jamstvo da su kontrole prikladne za ispunjavanje kriterija regulative. Izvješće tipa 1 može se dovršiti za nekoliko tjedana.
Izvješće tipa 2 (Type 2 Report) ispituje koliko dobro funkcioniraju kontrole uslužne organizacije tijekom određenog vremenskog razdoblja (obično 3-12 mjeseci). Njime se osigurava da su kontrole učinkovite i da funkcioniraju kako je predviđeno. Izvješće tipa 2 može potrajati do 12 mjeseci i značajno je skuplje od izvješća tipa 1.
Glavna razlika između dviju vrsta izvješća je pokrivenost i dubina provedenih revizijskih postupaka. Izvješće tipa 1 opisuje instalirane kontrole, dok izvješće tipa 2 pruža dokaze o tome kako su te kontrole funkcionirale tijekom određenog vremenskog razdoblja. To uključuje povezivanje AWS-a, Jira-e, Officea 365, GitHuba i drugih alata s dnevnom provjerom navedenih načela: sigurnost, dostupnost, integritet obrade, povjerljivost i privatnost.
Neki klijenti mogu zahtijevati izvješće vrste 2 za provjeru trajne sigurnosti i pouzdanosti uslužne organizacije, dok drugi mogu prihvatiti izvješće vrste 1 kao kratkoročno rješenje ili prvi korak prema izvješću vrste 2. Izbor vrste izvješća ovisi o poslovnim potrebama organizacije usluge i očekivanjima klijenata.
Ako je vašoj tvrtki ili ustanovi potrebna pomoć u vezi s usklađenošću sa SOC2, obratite nam se na sales@boost.hr
