Разумевање усклађености СОЦ 1 наспрам СОЦ 2 наспрам СОЦ 3

by
Tweet
Share
Share
Pin

Usklađenost predstavlja ključni element za napredak svake organizacije.

Zamislite da vodite SaaS kompaniju i ciljate na klijente srednje veličine. U tom slučaju, neophodno je da poštujete sve važeće propise i standarde, kao i da održavate visok nivo sigurnosti za svoju firmu.

Mnoge organizacije pokušavaju da zaobiđu ove obaveze primenom upitnika o bezbednosti.

Međutim, kada klijent ili potencijalni kupac zatraži SOC sertifikat, postaje jasno koliko je važna usklađenost sa propisima.

Usklađenost sa standardima Kontrole organizacije usluga (SOC) podrazumeva da organizacija prolazi kroz nezavisnu reviziju koja dokazuje da su određene kontrole implementirane. SOC usklađenost je relevantna i za lanac snabdevanja, kao i za sajber bezbednost.

Američki institut sertifikovanih javnih računovođa (AICPA) je u aprilu 2010. godine objavio izmenu standarda SAS 70. Novi, unapređeni standard revizije dobio je naziv Izjava o standardima za angažovanje atestiranja (SSAE 16).

Pored SSAE 16 revizije, uvedena su i tri dodatna izveštaja za ispitivanje kontrola u organizacijama koje pružaju usluge. Ovi izveštaji su poznati kao SPC izveštaji, koji obuhvataju tri različite vrste: SOC 1, SOC 2 i SOC 3, a svaki od njih ima specifične ciljeve.

U ovom tekstu ću detaljno opisati svaki od SOC izveštaja, navesti gde se primenjuju i objasniti kako se uklapaju u koncept IT bezbednosti.

Krenimo!

Šta tačno predstavlja izveštaj SPC?

SOC izveštaji mogu se smatrati konkurentskom prednošću koja donosi korist organizaciji u vidu uštede novca i vremena. Nezavisni revizori treće strane ispituju različite aspekte poslovanja, uključujući:

  • Dostupnost
  • Poverljivost
  • Privatnost
  • Integritet obrade
  • Bezbednost
  • Kontrole koje se odnose na sajber bezbednost
  • Kontrole koje se odnose na finansijsko izveštavanje

SOC izveštaji omogućavaju kompaniji da se uveri da potencijalni pružaoci usluga posluju u skladu sa standardima i etički. Iako proces revizije može biti kompleksan, donosi značajnu sigurnost i poverenje. SOC izveštaji pomažu u proceni pouzdanosti i kredibiliteta pružaoca usluga.

Pored toga, SPC izveštaji su korisni za:

  • Programe za upravljanje dobavljačima
  • Nadzor nad organizacijom
  • Regulatorni nadzor
  • Proces upravljanja rizicima i interno korporativno upravljanje

Zašto je SPC izveštaj neophodan?

Mnoge organizacije koje pružaju usluge, kao što su kompanije koje upravljaju data centrima, SaaS provajderi, serviseri za obradu kredita i procesori potraživanja, moraju da prođu kroz SOC reviziju. Ove organizacije su odgovorne za čuvanje finansijskih podataka ili osetljivih informacija svojih klijenata ili korisnika.

Praktično, svaka kompanija koja pruža usluge drugim kompanijama ili korisnicima može biti obuhvaćena SOC ispitivanjem. SOC izveštaj ne samo da obaveštava potencijalne klijente o legitimnosti poslovanja, već i otkriva slabosti i nedostatke u postojećim kontrolama putem procesa procene.

Šta možete očekivati od procene SPC?

Pre započinjanja SOC procene, neophodno je utvrditi koja vrsta SOC izveštaja najviše odgovara vašoj organizaciji. Nakon toga, počinje zvanični proces procene spremnosti.

Organizacije koje pružaju usluge pripremaju se za ispitivanje tako što identifikuju potencijalne rizike, slabosti i nedostatke. Na taj način, kompanija stiče uvid u mogućnosti za rešavanje tih problema.

Ko može da izvrši reviziju SPC?

SOC revizije sprovode nezavisni ovlašćeni javni računovođe (CPA) ili računovodstvene firme.

AICPA propisuje profesionalne standarde koji regulišu rad SOC revizora. Pored toga, organizacije moraju da se pridržavaju određenih smernica u vezi sa sprovođenjem, planiranjem i nadzorom revizije.

Svaka AICPA revizija prolazi i kroz kolegijalnu proveru. CPA organizacije ili firme često angažuju i stručnjake za informacione tehnologije i bezbednost kako bi se pripremili za SOC reviziju. Međutim, završni izveštaj mora da bude pregledan i odobren od strane ovlašćenog javnog računovođe.

Sada ćemo detaljnije razmotriti svaki izveštaj kako bismo bolje razumeli kako funkcionišu.

Šta je SOC 1?

Osnovni cilj SOC 1 je kontrola ciljeva definisanih u SOC 1 dokumentima i procesnim oblastima internih kontrola koje su relevantne za reviziju finansijskih izveštaja korisničkog subjekta.

Jednostavno rečeno, ovaj izveštaj pokazuje kako usluge organizacije utiču na finansijsko izveštavanje korisničkog subjekta.

Šta je SOC 1 izveštaj?

Izveštaj SOC 1 procenjuje kontrole koje organizacija pruža usluge primenjuje nad kontrolom korisničkog subjekta prilikom finansijskog izveštavanja. Namenjen je da ispuni zahteve korisničkih subjekata. U ovom slučaju, računovođe ocenjuju efikasnost internih kontrola organizacije koja pruža usluge.

Postoje dve vrste SOC 1 izveštaja:

  • SOC 1 Tip 1: Ovaj izveštaj se prvenstveno fokusira na sistem organizacije koja pruža usluge i proverava da li su sistemske kontrole prikladne za postizanje ciljeva kontrole, uz opis stanja na određeni datum.

Izveštaji SOC 1 Tip 1 su namenjeni isključivo revizorima, menadžerima i korisničkim subjektima, a pružaoci usluga obično pripadaju nekoj uslužnoj organizaciji. Revizor usluge priprema izveštaj koji pokriva sve zahteve standarda SSAE 16.

  • SOC 1 Tip 2: Ovaj izveštaj sadrži slična mišljenja i analize kao i izveštaj SOC 1 Tip 1. Međutim, on uključuje i procenu efikasnosti unapred uspostavljenih kontrola, dizajniranih da ostvare sve ciljeve kontrole tokom određenog perioda.

U izveštaju SOC 1 Tip 2, ciljevi kontrole se odnose na potencijalne rizike koje interna kontrola ima za cilj da ublaži. Obim obuhvata relevantne kontrolne domene i pruža razumno uverenje. Takođe se navodi da postoji ograničenje kada je reč o sprovođenju samo ovlašćenih i odgovarajućih radnji.

Koja je svrha SPC 1?

Kao što je već objašnjeno, SOC 1 je prvi deo serije Kontrola organizacije usluga, koja se bavi internim kontrolama u finansijskom izveštavanju. Primenljiv je na kompanije koje direktno rukuju finansijskim podacima svojih partnera i klijenata.

Na ovaj način se osigurava da je interakcija organizacije sa finansijskim podacima korisnika sigurna, i da se podaci pravilno prenose. SOC 1 izveštaj pomaže investitorima, klijentima, revizorima i menadžmentu da procene interne kontrole u vezi sa finansijskim izveštavanjem u skladu sa AICPA smernicama.

Kako održati usklađenost sa SOC 1?

Usklađenost sa SOC 1 podrazumeva upravljanje svim SOC 1 kontrolama uključenim u SOC 1 izveštaj tokom određenog vremenskog perioda. Na taj način se osigurava efikasnost primene SOC 1 pravila.

Kontrole su obično IT kontrole, kontrole poslovnih procesa, itd., koje se koriste za pružanje razumnog nivoa sigurnosti, baziranog na definisanim ciljevima kontrole.

Šta je SOC 2?

SOC 2, koji je razvio AICPA, definiše kriterijume za kontrolu i upravljanje informacijama o klijentima, bazirane na 5 principa za pružanje pouzdanih usluga: Ovi principi su:

  • Dostupnost: uključuje oporavak od katastrofe, postupanje u slučaju bezbednosnih incidenata i praćenje performansi.
  • Privatnost: obuhvata enkripciju, dvofaktorsku autentifikaciju (2FA) i kontrolu pristupa.
  • Bezbednost: uključuje detekciju upada, dvofaktorsku autentifikaciju i mrežne ili aplikacijske zaštitne zidove.
  • Poverljivost: obuhvata kontrolu pristupa, enkripciju i zaštitne zidove za aplikacije.
  • Integritet obrade: uključuje praćenje obrade i osiguranje kvaliteta.

SOC 2 je jedinstven za svaku organizaciju zbog svojih strogih zahteva, za razliku od PCI DSS standarda. S obzirom na specifične poslovne prakse, svaka organizacija ima svoje kontrole koje su u skladu sa različitim principima poverenja.

Šta je SOC 2 izveštaj?

SOC 2 izveštaj omogućava organizacijama koje pružaju usluge da pripreme i podele izveštaj sa zainteresovanim stranama, koji opisuje opšte IT kontrole koje su implementirane.

Postoje dve vrste SOC 2 izveštaja:

  • SOC 2 Tip 1: opisuje sisteme dobavljača i pokazuje da li je dizajn sistema odgovarajući za ispunjavanje principa poverenja.
  • SOC 2 Tip 2: pruža detalje o operativnoj efikasnosti sistema dobavljača.

SOC 2 se razlikuje od organizacije do organizacije po pitanju okvira i standarda informacione bezbednosti, jer ne postoje definisani obavezni zahtevi. AICPA pruža kriterijume koje organizacija koja pruža usluge bira da bi dokazala kontrole koje ima za zaštitu usluga koje nudi.

Koja je svrha SOC 2?

Usklađenost sa SOC 2 pokazuje da organizacija kontroliše i održava visok nivo informacione bezbednosti. Strogo poštovanje standarda omogućava organizacijama da osiguraju bezbednost svojih ključnih informacija.

Pridržavanjem SOC 2, dobijate:

  • Poboljšane prakse bezbednosti podataka, gde se organizacija štiti od sajber napada i kršenja bezbednosti.
  • Konkurentsku prednost, jer klijenti žele da sarađuju sa dobavljačima usluga koji imaju solidne prakse bezbednosti podataka, posebno u oblasti cloud i IT usluga.

Ograničava se neovlašćeno korišćenje podataka i resursa kojima organizacija upravlja. Bezbednosni principi zahtevaju od organizacija da primene kontrole pristupa kako bi zaštitile podatke od zlonamernih napada, zloupotreba, neovlašćenog otkrivanja ili izmene podataka o kompaniji i neovlašćenog brisanja podataka.

Kako održati usklađenost sa SOC 2?

Usklađenost sa SOC 2 je dobrovoljni standard koji je razvio AICPA i koji definiše način na koji organizacija upravlja informacijama o svojim klijentima. Standard je definisan kroz pet kriterijuma za pouzdane usluge, a to su: bezbednost, integritet obrade, poverljivost, privatnost i dostupnost.

SOC usklađenost se prilagođava potrebama svake organizacije. U zavisnosti od poslovne prakse, organizacija može da odabere kontrole dizajna koje treba da budu u skladu sa jednim ili više principa pouzdane usluge. Standard se odnosi na sve usluge, uključujući DDoS zaštitu, balansiranje opterećenja, analitiku napada, bezbednost web aplikacija, isporuku sadržaja putem CDN-a i još mnogo toga.

Jednostavno rečeno, usklađenost sa SOC 2 nije samo lista alata, procesa ili kontrola; već definisanje potrebe za kriterijumima koji su ključni za održavanje bezbednosti informacija. To omogućava svakoj organizaciji da usvoji najbolje procese i prakse relevantne za njeno poslovanje i ciljeve.

Ispod se nalazi kontrolna lista osnovne usklađenosti sa SOC 2:

  • Kontrole pristupa
  • Sistemske operacije
  • Ublažavanje rizika
  • Upravljanje promenama

Šta je SOC 3?

SOC 3 je postupak revizije koji AICPA razvija kako bi definisao nivo internih kontrola organizacije koja pruža usluge u pogledu data centara i bezbednosti u cloudu. SOC 3 okvir se takođe bazira na kriterijumima za pouzdane usluge, a to su:

  • Bezbednost: Sistemi i informacije su zaštićeni od neovlašćenog otkrivanja, neovlašćenog pristupa i oštećenja sistema.
  • Integritet procesa: Sistemska obrada je validna, tačna, ovlašćena, blagovremena i potpuna kako bi se ispunili zahtevi entiteta.
  • Dostupnost: Sistemi i informacije su dostupni za upotrebu i rad u cilju ispunjavanja zahteva entiteta.
  • Privatnost: Lični podaci se koriste, otkrivaju, odlažu, zadržavaju i prikupljaju kako bi se ispunili zahtevi subjekta.
  • Poverljivost: Informacije koje se smatraju kritičnim su zaštićene kako bi se ispunili zahtevi subjekta.

Uz pomoć SOC 3, organizacije koje pružaju usluge utvrđuju koji se od ovih kriterijuma za pouzdane usluge primenjuju na uslugu koju pružaju korisnicima. Dodatne informacije o izveštavanju, zahtevima za performanse i uputstvima za primenu možete pronaći u Izjavama o standardima.

Šta je SOC 3 izveštaj?

SOC 3 izveštaji sadrže iste informacije kao i SOC 2, ali se razlikuju u pogledu publike. SOC 3 izveštaj je namenjen opštoj javnosti. Ovi izveštaji su kratki i ne sadrže iste detaljne podatke kao SOC 2 izveštaj. Kreirani su tako da budu prikladni za zainteresovane strane i informisanu javnost.

S obzirom da je SOC 3 izveštaj opštijeg karaktera, može se brzo i otvoreno deliti na web stranici kompanije, zajedno sa pečatom koji potvrđuje usklađenost sa standardima. Ovo pomaže u održavanju koraka sa međunarodnim računovodstvenim standardima.

Na primer, AWS omogućava javno preuzimanje SOC 3 izveštaja.

Koja je svrha SOC 3?

Kompanije, posebno male i startap kompanije, često nemaju dovoljno resursa za kontrolu ili održavanje određenih osnovnih usluga unutar kompanije. Iz tog razloga, ove kompanije često prenose usluge trećim dobavljačima, umesto da ulažu dodatne napore ili novac u stvaranje novog odeljenja za te usluge.

Outsourcing je često bolja opcija, ali može biti rizična. Razlog je što organizacija deli podatke o klijentima ili osetljive informacije sa nezavisnim provajderima, u zavisnosti od usluga koje organizacija odluči da angažuje.

Međutim, organizacije bi trebalo da sarađuju samo sa dobavljačima koji dokažu da su usklađeni sa SOC 3 standardima.

Usklađenost sa SOC 3 je zasnovana na AT-C odeljku 205 i AT-C odeljku 105 standarda SSAE 18. Sadrži osnovne informacije iz nezavisnog menadžmenta i izveštaja revizora. Odnosi se na sve dobavljače usluga koji čuvaju informacije o klijentima u cloudu, uključujući PaaS, IaaS i SaaS provajdere.

Kako održati usklađenost sa SOC 3?

SOC 3 je nadogradnja na SOC 2, tako da je postupak revizije isti. Revizori usluga proveravaju sledeće politike i kontrole:

Nakon završene revizije, revizor sastavlja izveštaj na osnovu utvrđenih nalaza. Međutim, SOC 3 izveštaj je znatno manje detaljan, jer deli samo one informacije koje su neophodne za javnost. Organizacija koja pruža usluge može slobodno da deli rezultate nakon završetka revizije u marketinške svrhe. Izveštaj pokazuje na šta treba obratiti pažnju kako bi se uspešno prošla revizija. Organizacijama koje pružaju usluge se savetuje da:

  • Pažljivo biraju kontrole.
  • Izvrše procenu da bi identifikovale nedostatke u postojećim kontrolama
  • Redovno prate aktivnosti
  • Opisuju naredne korake za postupanje u slučaju incidenata
  • Angažuju kvalifikovanog revizora usluga za sprovođenje završne revizije

Sada kada imate uvid u svaku vrstu usklađenosti, hajde da analiziramo razlike između ova tri izveštaja, kako bismo razumeli na koji način pomažu svakoj firmi da ostane konkurentna na tržištu.

SOC 1 vs SOC 2 vs SOC 3: Razlike

Sledeća tabela prikazuje svrhe i koristi svakog od SOC izveštaja.

SOC 1 SOC 2 SOC 3
Daje mišljenja o dizajnu tipa 1 i dizajnu ili funkcionisanju tipa 2, uključujući procedure i rezultate testiranja. Detaljan izveštaj koji odgovara zahtevima partnera vezano za operacije organizacije, uključujući rezultate i procedure. Sličan usklađenosti sa SOC 2, ali sadrži manje informacija. Ne uključuje procedure testiranja, rezultate ili kontrole.
Kontroliše zahteve koji su bitni za interne kontrole u vezi sa finansijskim izveštavanjem. Nefinansijske kontrole se procenjuju sa pet principa poverenja bitnih za predmet. Takođe zavisi od pet principa poverenja.
Ograničena distribucija klijentima i revizorima. Ograničena distribucija regulatorima, klijentima i revizorima koji će biti definisani u izveštaju. Pomaže u marketingu klijentima. Neograničena distribucija
Održava transparentnost opisa, kontrole, procedure i rezultata sistema. Pruža nivo transparentnosti potpuno sličan SOC 1 Opšta distribucija izveštaja u marketinške svrhe.
Fokusira se na finansijske kontrole. Fokusira se na operativne kontrole. Sličan je SOC 2 ali sa manje informacija.
Opisuje sisteme organizacije koja pruža usluge. Takođe opisuje sisteme organizacije koja pruža usluge. Opisuje mišljenje CPA o adekvatnim kontrolama subjekta nad sistemom.
On izveštava o internim kontrolama. Izveštava o dostupnosti, privatnosti, poverljivosti, integritetu obrade i bezbednosnim kontrolama. Sličan SOC 2
Korisnici su kancelarija kontrolora i revizor korisnika. Dele ga u skladu sa NDA regulatorima, menadžmentom i drugima. Dostupan je javnosti.
Većina revizora je „potrebno je da zna“. Većina zainteresovanih strana i klijenata „treba da zna“. Opšta javnost
Primer: procesori medicinskih zahteva. Primer: kompanija za skladištenje u cloudu. Primer: javno preduzeće.

Zaključak

Odlučivanje o tome koja usklađenost sa SOC standardima će biti najpogodnija za vašu organizaciju, zahteva analizu vrste informacija sa kojima rukujete, bilo da se radi o podacima vaših klijenata ili vašim sopstvenim podacima.

Ako nudite usluge obrade platnog spiska, verovatno biste trebali da koristite SOC 1. Ukoliko obrađujete ili hostujete podatke o klijentima, možda vam je potreban SOC 2 izveštaj. Slično tome, ako vam je potrebna manje formalna usklađenost, koja je najpogodnija u marketinške svrhe, mogli biste da razmotrite izveštaj SOC 3.