Standard SOC 2 Bezpieczeństwo, dostępność, integralność, poufność i prywatność Service and Organization Controls 2 Service and Organization Controls 2 (SOC 2) to ocena procedur i procesów kontrolnych w organizacji IT, to międzynarodowy standard gromadzenia i wymiany informacji. Standard ten powstał z ramienia Amerykańskiego Instytutu Biegłych Rewidentów (American Institute of Certified Public Accountants, AICPA). Definiuje kryteria zarządzania danymi w kontekście pięciu kluczowych obszarów: security – bezpieczeństwo fizyczne i logiczne, availability – dostępność, processing integrity – integralność przetwarzanych danych, confidentiality – poufność, privacy – prywatność. Czym jest standard SOC 2? SOC 2 jest procedurą audytową, której efektem jest raport szczegółowo opisujący w jaki sposób dostawca Twoich usług zarządza powierzonymi mu danymi. W skład SOC 2 wchodzą dwa raporty: Type 1 – opisuje system zarządzania bezpieczeństwem informacji i ocenia jego adekwatność w kontekście punktów kontrolnych standardu. Type 2 – ocenia czy system zarządzania bezpieczeństwem informacji faktycznie funkcjonuje (opisuje dowody na funkcjonowanie zabezpieczeń za konkretny okres czasu min. 6 m-cy). Dla jakich organizacji są normy SOC2? Service and Organization Controls 2 to niezależna opinia o standardach jakie prezentuje Centrum Danych Beyond.pl – Twój obecny lub przyszły dostawca usług. Przystąpienie do oceny pod kątem procedur i procesów nie jest obowiązkowe, natomiast jako Centrum Danych chcemy świadczyć usługi Data Center na najwyższym poziomie i zapewnić to naszym klientom przez pozytywną opinię niezależnych ekspertów. Normy SOC 2 dotyczą firm i organizacji, które przetwarzają jakiekolwiek newralgiczne dane swoich klientów. Przykładami takich działalności mogą być: usługi finansowe banki i instytucje finansowe firmy ubezpieczeniowe sprzedaż i handel detaliczny sprzedaż hurtowa sklepy internetowe i ecommerce firmy produkcyjne usługi typu SaaS Wymogi standardu SOC 2 Bezpieczeństwo fizyczne i logiczne Dostępność Integralność Poufność i prywatność Obszar bezpieczeństwa odnosi się do procedur, polityk i instrukcji, których celem jest zabezpieczenie przed nieautoryzowanym dostępem do danych zarówno na poziomie fizycznym jak i logicznym. Dobrze zaprojektowana kontrola dostępu umożliwia zabezpieczenie danych przed kradzieżą, nieautoryzowaną zmianą, usunięciem lub ujawnieniem. W Beyond.pl na straży tego obszaru stoi zestaw regulaminów i procedur bezpieczeństwa, których wytyczne realizują pracownicy ochrony fizycznej wspierani przez systemy kontroli dostępu, stały monitoring video oraz wieloletnie doświadczenie operacyjne wyniesione z pracy w służbach mundurowych. Warstwa IT jest chroniona poprzez nowoczesne rozwiązanie sieciowe i kryptograficzne oraz dobre praktyki z zakresu ochrony przed nieautoryzowanych dostępem do wrażliwych informacji. Obszar ten dotyczy rozwiązań procesowych, które mają na celu zapewnienie ciągłości działania obiektu i świadczonych usług. W ramach tego kryterium oceniane są sposoby zabezpieczenia przed utratą zasilania, chłodzenia, łączności, narzędzia do monitorowania zagrożeń środowiskowych oraz plany reakcji na wypadek materializacji tych zagrożeń (Business Continuity Plans – plany ciągłości działania). Kryterium to odpowiada na pytanie czy w organizacji istnieją stosowne mechanizmy mające na celu zapewnienie integralności przetwarzanych danych innymi słowy, czy organizacja usługodawcy zapobiega przypadkowemu zniekształceniu danych podczas odczytu, zapisu, transmisji lub magazynowania. Czy proces przetwarzania danych nie rodzi błędów, a jeżeli błędy zaistnieją to czy są one wykrywane i korygowane w rozsądnym czasie. Poufność Obszar ten dotyczy rozwiązań, które gwarantują że dane przetwarzane przez Beyond.pl nie są udostępniane lub ujawniane nieuprawnionym osobom, procesom lub innym podmiotom. W bezpieczeństwie teleinformatycznym poufność realizowana jest zwykle przy pomocy szyfrowania oraz kontroli dostępu. Prywatność Kryterium to pomaga ocenić w jaki sposób organizacja usługodawcy postępuje z danymi osobowymi i czy to postępowanie nie rodzi potencjalnych naruszeń. Skontaktuj się z nami