Cloud Veiligheid 101: alle basisprincipes die u moet weten

Het is gemakkelijk om je te laten intimideren door de enorme hoeveelheid acroniemen die bestaan op het gebied van veiligheid en compliance. Deze afkortingen maken het moeilijk om te weten waar je op moet letten bij het kiezen van een Software-as-a-Service (SaaS) cloudprovider. Uiteindelijk wilt u er zeker van zijn dat uw Data veilig en beschermd zijn. Daarom willen we het evaluatieproces ontrafelen en uitleggen waar je op moet letten bij het vergelijken en evalueren van SaaS Cloud-leveranciers. In deze blog schetsen we nalevingsnormen en hoe deze van invloed zijn op Cloud Veiligheid.

Wat zijn nalevingsnormen?

Enkele van de meest voorkomende acroniemen die u mogelijk tegenkomt zijn Veiligheid Operations Center (SOC) en Trust Service Principles (TSP's). De verantwoordelijkheid van een Veiligheid Operations Center (SOC) is het voortdurend monitoren en analyseren van de veiligheidshouding van een organisatie. SOC Rapporten geven zekerheid over controleomgevingen als deze betrekking hebben op het ophalen, opslaan, verwerken en overbrengen van Data. Er zijn meerdere Rapporten die bewijzen dat een organisatie een goede reputatie heeft. Namelijk de naleving van SOC 1 en SOC 2 – het is belangrijk dat zowel Type 1- als Type 2-rapporten compleet zijn voor deze SOC's.

• Type 1 Rapport - Toont aan dat de interne controles van een bedrijf goed zijn ontworpen om te voldoen aan de relevante vertrouwensprincipes. Dit rapport bevestigt niet de doeltreffendheid van controles over een bepaalde periode.
• Type 2 Rapport - Toont verder aan dat uw controles gedurende een bepaalde periode effectief werken.

Wist je dat? Om naleving van de SOC te claimen, hoeven leveranciers alleen een SOC 1 Type 1 Rapport te hebben ingevuld, en niet de volledige SOC-naleving die een Type 2 Rapport omvat. Het is belangrijk om een leverancier te vragen of zijn of haar SOC-conformiteit een Type 2 Rapport omvat. Alleen dan ben je er zeker van dat de bedieningselementen gedurende een bepaalde periode zijn getest.

Verschillen tussen SOC 1 & SOC 2-conformiteiten

Nu we hebben geschetst wat de meest voorkomende compliancestandaarden (SOC's) zijn, gaan we eens kijken naar de verschillen tussen SOC 1 en SOC 2. SOC 1 – Een SOC 1-rapport geeft zekerheid dat uw financiële informatie veilig wordt verwerkt . De internationale versie van het SOC 1 Rapport wordt gewoonlijk ISAE 3402 genoemd. Wanneer een leverancier zegt dat hij voldoet aan SOC 1, impliceert dit doorgaans dat hij zowel Type 1- als Type 2-rapporten heeft voltooid. SOC 2 – Dit rapport geeft zekerheid over controleomgevingen als deze betrekking hebben op het ophalen, opslaan, verwerken en overbrengen van Data. Hier spelen Trust Service Principles (TSP's) een rol. SOC 2 Rapporten beoordelen de naleving van een organisatie aan de hand van vijf criteria, die gewoonlijk Trust Service Principles (TSP's) worden genoemd. De vijf principes van de vertrouwensdienst zijn:

1. Veiligheid – Informatie en systemen worden beschermd tegen ongeoorloofde toegang, ongeoorloofde openbaarmaking van informatie en schade aan systemen.
2. Beschikbaarheid — Informatie en systemen zijn beschikbaar voor gebruik en gebruik.
3. Integriteit van de verwerking — De verwerking van het systeem is volledig, geldig, nauwkeurig, tijdig en geautoriseerd.
4. Vertrouwelijkheid — Informatie die als vertrouwelijk wordt aangeduid, is beschermd.
5. Privacy – Persoonlijk-informatie wordt verzameld, gebruikt, bewaard, openbaar gemaakt en verwijderd.

Wist je dat? Om naleving van SOC 2 Type 2 Rapport te claimen, hoeven leveranciers slechts aan ten minste één van de vijf TSP's te voldoen. Het is belangrijk om een leverancier te vragen aan welke Trust Service Principals wordt voldaan voor een SOC 2 Type 2 Rapport. Zorg ervoor dat je leveranciers vraagt of ze aan alle vijf TSP's hebben voldaan als onderdeel van hun SOC 2-conformiteit.

Prophix's Cloud Veiligheid & Compliance

Als u de verschillen tussen SOC 1, SOC 2 en Type 1 & 2 begrijpt, helpt Rapporten u een weloverwogen keuze te maken bij het kiezen van een SaaS Cloud-leverancier. Er zijn echter verschillende andere aspecten van Veiligheid en compliance waarmee u rekening moet houden, waaronder de frequentie van audits, in welke kaders de leverancier is gecertificeerd, wie de onderliggende cloudtechnologie levert en hoe gestroomlijnde eindgebruikersauthenticatie is. Lees ons whitepaper over Veiligheid en Compliance voor meer informatie over hoe u door cloudleveranciers op de huidige markt kunt navigeren. Prophix is gecertificeerd in zowel SOC 1 Type 1 & 2 als SOC 2 Type 1 & 2 compliances, wat betekent dat we voldoen aan alle vijf Trust Principles. Ga voor meer informatie over Prophix Cloud naar https://trust.prophix.com/.