SOC 2
דו"ח SOC 2, שפותח על ידי המכון האמריקאי לרכישות (AICPA), מגדיר קריטריונים לניהול נתוני לקוחות המבוססים על "עקרונות שירות אמון" – אבטחת המידע, זמינות המערכת, שלמות העיבוד, סודיות המידע והגנת הפרטיות.
ישנם שני סוגים של דוחות SOC ?
סוג 1 מתאר מערכות של ספק ובודק האם המערכות מתאימות לעמוד בעקרונות אמון רלוונטיים.
סוג 2 מפרט את האפקטיביות התפעולית של אותן מערכות עבור ארגון שירות/ פיתוח/ טכנולוגיה.
מי נדרש לבצע את תהליך SOC 2?
אם אתה נותן שירות או ארגון שירות המאחסן מידע/בעל מאגר מידע/ מעבד או מעביר מידע כלשהו, מומלץ לך לעמוד בדרישות SOC 2.
ארגונים, אשר רוצים להבדיל את עצמם משאר המתחרים בשוק יוכלו לעשות זאת באמצעות עמידה בדרישות SOC2 המוכיחות עמידה גבוהה בדרישות שונות של אבטחת המידע.
בנוסף, מומלץ לגופי טכנולוגיה, פיתוח ומחשוב ענן לבצע תהליך זה מאחר וכך יוכלו לתת דיווחים שימושיים ולספק זאת ללקוחותיהם על פי בקשה.
היתרונות בביצוע התהליך עם יועצי נקסטפ
תהליך SOC2 בד"כ פוגש את הארגון בשלבי הצמיחה של המוצר, בשלבי פעילות ראשונה מול לקוחות. בשלב זה הארגון עסוק במוצר וב business ולכן צריך גורם מנוסה ומקצועי, עליו ניתן לסמוך. במשך השנים פיתחנו מתודולוגיית עבודה שבמרכזה המטרה- להוריד עומסים מהארגון!
בתהליך עבודה איתנו תהנו:
- מצוות מנוסה ובכיר
- מעבודה ממוקדת ויעילה
- ממינימום השקעה מצד בעלי התפקיד בארגון
- מניסיון בעבודה מול כלל פירמות הבדיקה
- מהאחריות מלאה בהצלחת התהליך במינימום זמן
- מסנכרון מלא מול דרישות רגולציות אבטחת מידע ופרטיות נוספות
אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני אודות SOC2 או התקשרו ל- 03-7176020
הקריטריונים של שירות האמון מתוכננים סביב תחומים אלה:
מהם ההבדלים בין SOC 2 לבין תקנים אחרים?
תקן ISO 27001 מאפשר יותר גמישות לחברות בקריטריונים הנדרשים בניגוד ל-SOC2 שבו לא קיימת גמישות, כלומר כמות וסוג הדרישות מותאמת אישית לכל לקוח. בצד השני של המפה נוכל למצוא את PCI /HIPAA ורוב מסגרות האבטחה האחרות שבהן קיימים סטנדרטים מוגדרים מאוד ויש להם דרישות מפורשות מאוד.
*ISMS – מערכת לניהול אבטחת מידע (מנא"מ). בגרסת 2022 ה-ISMS כולל גם מרכיבי סייבר ופרטיות.
טבלת התאמה בין דרישות הרגולציה
מהם ההבדלים בין SOC1 לבין SOC2?
לפי AICPA, דו"חות SOC 2 נועדו לענות על הצרכים של מגוון רחב של משתמשים שצריכים להבין את הבקרה הפנימית בארגון, מכיוון שהיא מתייחסת לאבטחה, זמינות, שלמות, עיבוד, סודיות ופרטיות המידע. בעוד שדו"חות SOC 1 נוגעים רק בבקרה פיננסית. הם מטפלים בעסקאות הכספיות שעושה חברה.
דו"ח SOC 1 הוא דו"ח שנוצר על ידי רואי החשבון עבור מבקרים אחרים, אך בדו"ח SOC 2 יש בדרך כלל מידע פנימי חסוי יותר שאינו אמור להיות משותף עם אף אחד מחוץ לחברה כמו מידע אודות אתר DR ופרטים אודות זמינות מערכות המידע של הארגון.