SOC 2 est une procédure d’audit qui affiche l’engagement de votre entreprise à fournir des services de confiance.
Tous les fournisseurs de services doivent essayer d’obtenir la conformité et la certification SOC 2. Les entités utilisatrices, c’est-à-dire les entreprises qui utilisent votre service, veulent savoir que vous répondez de manière proactive à leurs besoins.
Le guide couvre les facteurs requis pour obtenir la conformité et la certification SOC 2 .
Qu’est-ce Que Le SOC 2 ?
Le « Rapport SOC 2 sur les contrôles dans une organisation de services » crée une base de référence de la sécurité des informations chez un fournisseur de services . C’est la preuve de la conformité de votre organisation qui se présentera sous la forme d’un rapport SOC 2. Vous pouvez considérer les besoins de l’entité utilisatrice comme les risques auxquels elle est exposée lorsqu’elle utilise votre service.
Les 5 Principes De Confiance De La Certification SOC 2
Les critères de service de confiance sont définis comme des principes. Chacun des principes couvre un domaine lié à la sécurité et au contrôle des informations d’un utilisateur. Vous devez garder à l’esprit qu’un contrôle, tel qu’un module logiciel, peut satisfaire un ou plusieurs des principes requis.
Sécurité
L’entreprise doit être en mesure de prouver que son système est protégé contre tout accès non autorisé. Ils doivent également empêcher la divulgation non autorisée et limiter tout dommage susceptible d’affecter la disponibilité, l’intégrité, la confidentialité et la confidentialité des informations.
Disponibilité
Le système doit avoir des contrôles en place pour s’assurer qu’il est disponible selon les besoins de l’Entité Utilisateur.
Intégrité Du Traitement
Le traitement des données et des informations doit être vérifié s’il est complet, valide, exact, exécuté dans les délais et autorisé.
Confidentialité
Les informations désignées comme confidentielles doivent être protégées en fonction des besoins de l’Entité Utilisateur.
Intimité
L’organisation doit répondre aux besoins de l’entité utilisatrice lors de la collecte, de l’utilisation, de la conservation, de la divulgation et de l’élimination des informations personnelles.
Établir Un Cadre De Conformité SOC 2
L’évaluation des risques de l’entreprise détermine le cadre de la conformité SOC 2. Les risques sont basés sur le type de services fournis.
L’évaluation des risques doit comprendre les six étapes suivantes :
1. Identifiez les produits et services qui entrent dans le champ d’application du rapport SOC 2.
2. Évaluer le processus de service et identifier les risques de l’Entité Utilisateur.
3. Mapper les Services de Confiance aux risques de l’Entité Utilisateur.
4. Mappez les critères de contrôle aux services de confiance.
5. Identifier les lacunes dans les critères de contrôle où les principes de confiance sont présents mais non traités.
6. Mappez les contrôles utilisateur internes aux lacunes.
Portée Des Rapports SOC 2
Contrairement aux exigences PCI strictes, les fournisseurs de services ne sont pas tenus de couvrir les 5 principes de confiance dans un rapport SOC 2. Seuls ceux qui se rapportent à leurs activités doivent être inclus dans le champ d’application. Des précautions doivent être prises lors du choix des PST qui figureront dans le rapport.
Pour les services externalisés, le fournisseur devra démontrer que des contrôles adéquats sont en place sur le site de son entreprise dans le cadre de votre rapport.
Processus Opérationnels Pour L’évaluation Du Principe De Confiance
Les quatre principaux domaines couverts lors de l’évaluation des contrôles TSP de l’entreprise sont :
Politiques commerciales
politiques pertinentes pour les principes de confiance.
Communiquer le système
L’entreprise a divulgué ses politiques aux parties prenantes et aux entités responsables. Cela inclut les utilisateurs du système.
Procédures de contrôle
La société a des procédures qui permettront d’atteindre les principes énoncés dans les politiques.
Surveillance du système :
L’entreprise surveille le système et prend des mesures pour assurer la conformité aux politiques.
Rapports SOC 1 Vs SOC 2
Deux types de rapports SOC peuvent être préparés. Le type de rapport dont votre entreprise aura besoin dépendra probablement des besoins de votre entité utilisateur. Un rapport SOC 1 traite des contrôles dans les institutions financières tandis que les entreprises axées sur les services préparent un rapport SOC 2.
Rapport de type 1
Le rapport de type 1 enregistre l’état du système à un moment donné. Cela comprendra une description du système, une déclaration écrite de la direction, les contrôles conçus et l’opinion exprimée par l’auditeur du service.
Rapport de type 2
Un rapport de type 2 enregistre en outre l’efficacité de fonctionnement du système sur une période donnée. En plus des éléments répertoriés dans le type 1, le rapport de type 2 contiendra également les résultats des tests des contrôles du système. Il utilise les 5 principes de confiance pour évaluer le risque de l’entreprise et la manière dont elle gère l’exposition.
Le Format De Rapport SOC 2
Le rapport comporte quatre sections principales. Chaque section couvre les aspects de la conception et de la mise en œuvre du système, y compris s’il est complet et adéquat.
Les Administrateurs Appellent Le Système
La description du système couvre les détails des services offerts par l’entreprise. Il répertorie l’infrastructure (telle que le matériel et les logiciels) par laquelle le traitement des données est effectué. Les limites liées à ces tâches doivent être enregistrées.
Éléments supplémentaires à garder à l’esprit dans le cadre de la description du système :
La description du système identifie les principes de service de confiance qui doivent être couverts. Cela vous permet d’y associer vos critères de contrôle et de mesurer l’efficacité de votre système.
La Direction Fournit Une Affirmation écrite
Cette section contient les affirmations faites par la direction concernant les contrôles qu’elle a choisi d’utiliser. C’est l’occasion d’expliquer chacune de vos méthodes et les contrôles qui servent les critères des services de confiance.
Si le principe de confidentialité fait partie du rapport, la preuve du respect des engagements énoncés dans la pratique de confidentialité doit être apportée.
Si un sous-service est utilisé pour une partie de votre système, cette section doit inclure :
- Détails sur la manière dont les informations sont fournies ou reçues du fournisseur de services.
- Contrôles chez le fournisseur de services qui s’occupe de la manipulation, du traitement, de la maintenance et du stockage des informations.
Les principes de confiance qui sont exclus du rapport doivent être répertoriés avec les raisons pour lesquelles ils ne sont pas couverts.
Détails Sur La Conception Et L’efficacité Opérationnelle
La section 3 du rapport SOC 2 contient une liste des contrôles qui ont été conçus.
Si vous préparez un rapport de type 1, dressez la liste des contrôles conçus qui répondent aux critères du TSP. Pour un rapport de type 2, vous devez inclure les résultats des tests pour chacun des contrôles conçus. Cela peut se faire sous forme de tableau.
Pour créer une conception de contrôle appropriée, votre entreprise doit identifier les risques qui entravent la réalisation de votre TSP. Vous devrez voir si votre contrôle fonctionne comme décrit et vous assurer qu’il n’y a pas d’autres risques qui vous empêchent d’atteindre votre TSP.
Opinion Exprimée Par L’auditeur De Service
L’opinion de l’auditeur sera fondée sur :
- Si la description du système était juste.
- Si les contrôles fonctionnent comme ils sont censés le faire (pour un rapport de type 2, cela se fait sur une période de temps).
- Si la description présente comment le système a été conçu et construit.
- Il n’omet pas ou ne déforme pas les informations concernant le système.
- L’entreprise respecte ses pratiques de confidentialité (si cela faisait partie du champ d’application).
Dans le cadre de son avis, l’auditeur de service listera les écarts et les domaines qui manquent de contrôle dans le système.
N’oubliez Pas Que La Certification SOC 2 Crée La Confiance
Lorsque vous atteignez la conformité et la certification SOC 2, cela inspirera et renforcera la confiance dans votre organisation .
Les entités utilisatrices peuvent demander un rapport SOC 2, et elles préciseront leurs besoins en matière de TSP dans la demande. Dans de tels cas, le rapport doit être basé sur leur demande.
Chaque principe de confiance couvert dans le rapport de conformité SOC 2 est une opportunité de gagner la confiance de vos clients.
