Talvez esteja a considerar a certificação AICPA SOC 2? Aikido recentemente examinada para verificar se o nosso sistema e o design dos nossos controlos de segurança cumprem os requisitos SOC 2 da AICPA. Como aprendemos muito sobre as normas SOC 2 durante a nossa auditoria, gostaríamos de partilhar algumas das ideias que achamos que podem ser úteis para alguém que esteja a iniciar o mesmo processo.
Leia nossas principais dicas sobre como se tornar compatível com ISO 27001:2022.
Tipo 1 vs. Tipo 2
A primeira coisa a entender é que existem dois tipos diferentes de certificação SOC 2: SOC 2 Tipo 1 e SOC Tipo 2. Se você está apenas começando a pensar na certificação SOC, o Tipo 1 pode ser um bom primeiro passo. É mais rápido de obter e os requisitos não são tão exigentes. O Tipo 1 também é menos caro do que o relatório Tipo 2.
Mas a diferença é que ele não cobre o monitoramento por um período prolongado. Suas medidas de cibersegurança são verificadas apenas em um momento específico durante uma auditoria SOC 2 Tipo 1. Em contraste, o processo de certificação SOC Tipo 2 testa seus controles de segurança ao longo do tempo. Na prática, o Tipo 1 testa o design de seus controles de segurança, enquanto o Tipo 2 também testa sua eficácia operacional.
Nota: Você também pode ler sobre o relatório ISAE3402 Tipo I. Essa é a alternativa europeia, mas na prática, a maioria das indústrias não se preocupa com isso. Então, opte pelo SOC 2, a menos que você já saiba que precisa do europeu.
Critérios de serviços de confiança SOC 2
Um auditor SOC normalmente usa cinco critérios de serviços de confiança para avaliar as empresas quanto conformidade SOC 2:
- Segurança: proteja dados e sistemas contra acesso não autorizado.
- Disponibilidade: garanta que os dados do cliente possam ser acessados quando necessário.
- Confidencialidade: garanta que as informações confidenciais sejam suficientemente protegidas.
- Privacidade: proteja informações pessoais.
- Integridade do processamento: garanta que os sistemas processem dados de forma precisa e confiável.
Nem toda empresa precisa incluir todos os cinco critérios. Parte da preparação para sua auditoria SOC 2 é decidir quais critérios seus clientes exigirão.
Critérios adicionais específicos da indústria também existem. Por exemplo, um provedor de serviços de Cloud terá requisitos mais rigorosos de criptografia de dados de clientes, enquanto provedores de saúde precisarão proteger informações de saúde.
Nossas 5 principais dicas de certificação SOC 2
1. Você não pode realmente se tornar “compatível” com SOC 2
Ao contrário da ISO 27001, não é possível atingir um estado de conformidade SOC 2. Trata-se de um relatório que um potencial cliente pode solicitar para avaliar a postura de segurança da empresa. O cliente tem de tomar a sua própria decisão sobre se essa empresa é suficientemente segura para fazer negócios.
Você receberá um relatório SOC 2 demonstrando conformidade com critérios específicos, mas isso não significa que você passará de não-conforme para conforme. Isso não reduz seu valor para seus parceiros de negócios. Eles sabem o que precisam e frequentemente exigirão um relatório de auditoria SOC 2.
Por exemplo, a SOC 2 não exige necessariamente que você realize um teste de penetração, mas isso é altamente recomendado para a ISO 27001. A Vanta, uma das principais plataformas conformidade SOC 2 , recomenda tratar a SOC 2 como uma barra que você precisa superar para ser considerado como tendo atingido os padrões essenciais de segurança. Mas você pode ir além depois de superar essa barra, e seus clientes provavelmente apreciarão a garantia extra.
Nesse sentido, conformidade SOC 2 seu conformidade SOC 2 significa que você convenceu o auditor de que a sua empresa cumpre os critérios de serviços de confiança SOC 2.
2. O Tipo 2 é baseado em um período de observação de conformidade
Os relatórios SOC 2 Tipo 2 verificam sua postura de segurança durante um período de observação chamado janela de auditoria. Você pode selecionar uma janela de três meses a um ano completo. Isso é muito mais completo do que o SOC 2 Tipo 1 e significa que as partes interessadas e clientes em potencial obtêm segurança adicional sobre sistemas de segurança e segurança de dados.
Você precisará consultar seu auditor para escolher a janela de auditoria. Isso pode depender de fatores como requisitos regulatórios, expectativas do cliente ou quão recentemente você desenvolveu suas estruturas e controles de segurança.
3. SOC 2 vs. ISO 27001: se seus clientes em potencial estão nos EUA, o SOC 2 é para você!
Empresas nos Estados Unidos geralmente solicitam relatórios SOC 2 com mais frequência, enquanto empresas europeias tendem a depender mais da ISO 27001. Isso ocorre porque o SOC 2 é um padrão americano. Se puder, obtenha ambos. Foi o que fizemos, pois também nos tornamos compatíveis com a ISO 27001 em 2023. Se não puder fazer ambos, escolha com base na localização dos seus clientes ou prospects.
Se seus clientes estão nos EUA, há uma boa chance de que eles procurem seu relatório SOC 2.
4. Recomendamos que você trabalhe com um auditor nos EUA
Se você está baseado na Europa, há muitos auditores SOC. Eles provavelmente são muito bons, mas se você quer que uma empresa dos EUA confie no seu relatório, faz sentido optar por um auditor SOC 2 terceirizado nos Estados Unidos.
5. Use um sistema seguro para clientes solicitarem seu relatório SOC 2
Você deve facilitar para os clientes solicitarem seu relatório SOC 2, mas não demais. Hackers podem usá-lo para identificar pontos fracos em sua segurança.
Não use e-mail; utilize uma ferramenta que rastreie o que acontece com o relatório após ser baixado. Você deve saber quem o está solicitando, rastrear quando foi solicitado e até considerar marca d'água ou proteção por senha. A melhor abordagem é usar um NDA.
Aikido conformidade SOC 2 contínua conformidade SOC 2
Agora que concluímos a nossa jornada SOC 2, Aikido cumpre todos os critérios de serviços de confiança SOC 2. Também estabelecemos parcerias com plataformas de monitorização de conformidade (como Vanta, Drata, Secureframe e Thoropass) para sincronizar regularmente os dados sobre os controlos de segurança atuais e garantir que Aikido e os nossos clientes mantenham uma postura de segurança robusta.
Solicitar nosso relatório SOC 2 Tipo 2
Pode solicitar o certificado SOC 2 Tipo 2 Aikidono nosso centro de confiança de segurança.
Ou se você está considerando a certificação SOC 2 e ainda tem dúvidas, conecte-se comigo no LinkedIn e terei prazer em discutir o processo com você em mais detalhes.
Proteja seu software agora
.jpg)
.avif)
