Cloudbeveiliging 101: alle basisbeginselen die u moet weten

Het is makkelijk om geïntimideerd te raken door de enorme hoeveelheid acroniemen in de beveiligings- en compliance-wereld. Deze acroniemen maken het moeilijk om te weten waar je op moet letten bij het kiezen van een software-as-a-service (SaaS) Cloud provider. Uiteindelijk wil je er zeker van zijn dat je gegevens veilig en beschermd zijn. Daarom willen we het evaluatieproces demystificeren en uitleggen waar je op moet letten bij het vergelijken en evalueren van SaaS-cloudleveranciers. In deze blog geven we een overzicht van compliancenormen en hoe deze van invloed zijn op cloudbeveiliging.

Wat zijn compliancestandaarden?

Enkele van de meest voorkomende acroniemen die je tegenkomt zijn Security Operations Center (SOC) en Trust Service Principles (TSP's). De verantwoordelijkheid van een Security Operations Center (SOC) is om de beveiliging van een organisatie voortdurend te bewaken en te analyseren. SOC-rapporten geven zekerheid over controleomgevingen met betrekking tot het ophalen, opslaan, verwerken en overdragen van gegevens. Er zijn meerdere rapporten die aantonen dat een organisatie een goede reputatie heeft. Namelijk SOC 1 en SOC 2 compliances - het is belangrijk dat zowel Type 1 als Type 2 rapporten compleet zijn voor deze SOC's.

• Type 1 rapport - Toont aan dat de interne controles van een bedrijf goed ontworpen zijn om te voldoen aan de relevante Trust Principles. Dit rapport bevestigt niet de effectiviteit van de controles over een bepaalde periode.
• Type 2 rapport - Toont verder aan dat uw controles over een bepaalde periode effectief werken.

Wist u dat? Om conformiteit met SOC te claimen, hoeven leveranciers alleen een SOC 1 Type 1-rapport te laten voltooien, niet de volledige SOC-compliance die een Type 2-rapport omvat. Het is belangrijk om een leverancier te vragen of hun SOC-compliance een Type 2-rapport omvat. Alleen dan ben je er zeker van dat de controles gedurende een bepaalde periode zijn getest.

Verschillen tussen SOC 1- en SOC 2-compliances

Dus, nu we hebben geschetst wat de meest voorkomende compliance standaarden zijn (SOC's), laten we eens kijken naar de verschillen tussen SOC 1 en SOC 2. SOC 1 - Een SOC 1-rapport geeft zekerheid dat je financiële informatie veilig wordt behandeld. De internationale versie van het SOC 1-rapport wordt gewoonlijk ISAE 3402 genoemd. Als een leverancier zegt dat hij SOC 1-compliant is, betekent dit meestal dat hij zowel type 1- als type 2-rapporten heeft voltooid. SOC 2 - Dit rapport geeft zekerheid over controleomgevingen met betrekking tot het ophalen, opslaan, verwerken en overdragen van gegevens. Hier komen Trust Service Principles (TSP's) om de hoek kijken. SOC 2-rapporten evalueren of een organisatie voldoet aan vijf criteria, die gewoonlijk Trust Service Principles (TSP's) worden genoemd. De vijf Trust Service Principles zijn:

1. Beveiliging - Informatie en systemen worden beschermd tegen ongeautoriseerde toegang, ongeautoriseerde openbaarmaking van informatie en schade aan systemen.
2. Beschikbaarheid - Informatie en systemen zijn beschikbaar voor gebruik.
3. Integriteit van de verwerking - De verwerking van het systeem is volledig, geldig, accuraat, tijdig en geautoriseerd.
4. Vertrouwelijkheid - Informatie die als vertrouwelijk is aangemerkt, wordt beschermd.
5. Privacy - Persoonlijke informatie wordt verzameld, gebruikt, bewaard, openbaar gemaakt en verwijderd.

Wist je dat? Om aanspraak te maken op naleving van het SOC 2 Type 2-rapport hoeven leveranciers slechts aan ten minste één van de vijf TSP's te voldoen. Het is belangrijk om een leverancier te vragen aan welke Trust Service Principals wordt voldaan voor een SOC 2 Type 2-rapport. Vraag leveranciers of ze aan alle vijf de TSP's hebben voldaan als onderdeel van hun SOC 2-compliance.

Cloudbeveiliging en compliance van Prophix

Als u de verschillen tussen SOC 1-, SOC 2- en Type 1- & 2-rapporten begrijpt, kunt u een weloverwogen keuze maken bij het kiezen van een SaaS-cloudleverancier. Er zijn echter verschillende andere aspecten van beveiliging en compliance die u in overweging moet nemen, waaronder de frequentie van audits, in welke raamwerken de leverancier is gecertificeerd, wie de onderliggende cloudtechnologie levert en hoe gestroomlijnd de authenticatie van eindgebruikers is. Lees onze whitepaper over beveiliging en compliancevoor meer informatie over hoe u kunt navigeren tussen cloudleveranciers op de huidige markt . Prophix is gecertificeerd in zowel SOC 1 Type 1 & 2 als SOC 2 Type 1 & 2 compliances, wat betekent dat we voldoen aan alle vijf Trust Principles. Ga voor meer informatie over Prophix Cloud naar https://trust.prophix.com/.