Sélectionner une page

Qu’est-ce que le SOC 2 ?

Blog, Blog, Blogs populaires, Blogs populaires, Uncategorized

Qu’est-ce que le SOC 2 ?

 

Définition et utilisation

 

Lesser known as the longer version, “Systems and Organizations Controls 2”, SOC 2 (or SOC II) is a framework used to assist companies demonstrate security controls that are in place to protect customer data in the cloud. These controls became known as the Trust Services Principles: Security, Availability, Processing Integrity, Confidentiality, and lastly Privacy.

If your organization is considering cloud solution providers then meeting SOC 2 compliance should be a minimum requirement (checkout our comparison of SOC1 / SOC2  /SOC3 and our comparison of SOC 2 with ISO27001 blogs).

Mise en garde SOC 2

 

SOC 2 n’est ni un proxy des meilleures pratiques de sécurité réelles ni une exigence légale. Il n’est pas motivé par la conformité HIPAA ou toute autre norme ou réglementation, bien que les évaluations couvrent en fait les principaux départements et processus qui interagissent avec les données sensibles.

Les auditeurs externes effectuent des certifications, et non un organisme ou une agence gouvernementale. Il n’y a pas d’objectif « réussite/échec » pour l’ensemble des rapports – le résultat est une conclusion subjective dans laquelle seule l’opinion de l’auditeur est consignée. Les rapports d’audit ne définissent pas la certification SOC 2 car ils sont uniquement attestés comme conformes, sur la base de l’interprétation d’un CPA agréé qualifié.

Néanmoins, SOC 2 est important dans le monde de la sécurité des données et ne doit pas être sous-estimé.

Contexte de la SOC 2

 

SOC 2 est un ensemble formel de rapports produits à la suite d’un audit. Cet audit est conduit par un CPA ou un organisme d’expertise comptable. Il a évolué à partir de la déclaration sur les normes d’audit (SAS) 70, qui était un audit plus ancien utilisé pour attester l’efficacité des contrôles internes d’une organisation. Il a ensuite été renommé Statement on Standards for Attestation Engagements (SSAE) 16, et à nouveau renommé Systems and Organizations Control 1 (SOC 1). Le SOC 2 a vu le jour en 2009 car il était nécessaire de se concentrer beaucoup plus sur la sécurité (les cinq principes de confiance).

Néanmoins, SOC 2 est important dans le monde de la sécurité des données et ne doit pas être sous-estimé.

Qu’est-ce que les critères de service de confiance (TSC)

Les cinq catégories quasi-chevauchantes qui fonctionnent vers les contrôles utilisés dans les rapports SOC 2 sont :

  • Sécurité – Définit clairement que tous les systèmes et informations restent protégés contre les risques qui compromettraient l’intégrité et affecteraient la capacité des organisations à atteindre les objectifs définis.
  • Disponibilité – Les systèmes et informations doivent toujours être disponibles à tout moment pour qu’une organisation puisse atteindre et maintenir ses objectifs.
  • Intégrité du traitement– Tout traitement par le système doit fournir uniquement des informations fiables à tout moment lorsqu’il est demandé/autorisé afin qu’une organisation puisse atteindre ses objectifs.
  • Confidentialité – Pour qu’une organisation puisse atteindre ses objectifs, les informations ne sont accessibles qu’au personnel autorisé.
  • Intimité – les informations personnelles doivent être gérées (protégées et/ou stockées) d’une certaine manière permettant à l’organisation d’atteindre ses objectifs.

Qui devrait considérer SOC 2 en tant qu’organisation

Toute organisation qui stocke des données client sur le cloud doit considérer SOC 2 comme une démonstration des rôles de sécurité qu’elle utilise pour protéger les données client. En effet, toute entreprise SaaS peut utiliser SOC 2 comme attestation minimale de conformité.

SOC 2 et conformité

L’importance de la conformité SOC 2 signifie que regarder du point de vue de tout client travaillant avec un fournisseur potentiel qui est conforme à SOC 2 lui donne une sorte de garantie. Le client recevra les assurances et les informations dont il a besoin sur la manière dont le fournisseur traite les données des utilisateurs et en assure la confidentialité. Et cela va encore plus loin.

Les rapports AICPA jouent également un rôle important dans les domaines suivants :

  • Veille réglementaire
  • Gestion des fournisseurs
  • Processus de gestion des risques et gouvernance interne de l’entreprise

Types de SOC 2

In the big picture, compliance to SOC 2 takes about six months with third-party assessors completing two separate audits. The SOC 2 Type 1 audit looks at the design and is a snapshot of your security processes in place at that point of time. SOC 2 Type 2 audit on the other hand, will verify your internal controls for operational effectiveness over the longer term. You must complete Type 1 as a prerequisite for Type 2 attestation. Explore our comparison of SOC1 / SOC2 / SOC3.

SOC 2 Type 1

 

  • Former une équipe pluridisciplinaire
    • Élire le parrain exécutif
    • Identifier l’auteur qui collabore avec les chefs d’équipe pour élaborer des politiques à partir des besoins commerciaux fournis
  • Utilisez les principes des services de confiance comme guide
    • Sélectionnez ceux qui s’appliquent à votre entreprise
    • Définir le périmètre de l’audit, rédiger/affiner les politiques

Attendez-vous à ce que ce processus dure environ deux mois pour permettre la mise en œuvre, les tests et l’ajustement des politiques. Une fois terminée, l’évaluation réservée impliquera généralement des entretiens avec les employés, des visites guidées et un examen détaillé de la documentation soumise.

Un rapport SOC 2 Type 1 sera généré une fois que toutes les clarifications sur les exceptions nécessaires auront été apportées.

COS 2 Type 2

 

  • Le rapport SOC 2 Type 1 est terminé
  • Vérification au fil du temps que toutes les politiques et processus répertoriés dans SOC 2 Type 1 sont utilisés en continu

En général, les rapports SOC 2 Type 2 durent généralement au moins six mois, mais peuvent souvent prendre jusqu’à un an ou plus. Cela est dû à de nombreux facteurs impliqués dans le cheminement vers l’attestation, qui peuvent être dus aux exigences de certification de l’entreprise qui doivent être respectées.

Par exemple, si une entreprise dispose d’une infrastructure informatique et de cybersécurité très diversifiée et étendue, le processus d’audit prendra probablement plus de temps que d’habitude pour un rapport SOC complet. D’autres facteurs affectant la portée de l’audit tels que le type, l’emplacement et le nombre d’utilisateurs dans l’entreprise (c’est-à-dire sur site et hors site) auront un impact considérable sur le processus d’attestation.

En fin de compte, bien que le principal facteur affectant le calendrier pour terminer le processus SOC 2 incombe au type de rapport SOC 2 que votre entreprise a sélectionné.

Contenu du rapport d’audit final SOC 2

​Le contenu du rapport SOC 2 doit couvrir les éléments suivants :

  • Affirmation de la direction– s’assurer que la direction confirme que tous les systèmes liés aux services fournis sont décrits avec précision et équité dans le rapport
  • Le rapport de l’auditeur– comprend un résumé de tous les tests effectués ainsi que les résultats, y compris l’opinion de l’auditeur sur l’efficacité des contrôles par rapport (lorsqu’ils sont mis en correspondance avec) les critères des services de confiance
  • Présentation des systèmes – Description détaillée du service ou du système examiné.
  • Applicabilité des critères de service de confiance – décrit tous les contrôles en place, y compris l’efficacité de ces contrôles lorsque les critères de service de confiance sont pris en compte.

SOC 2 et certification

La conformité des organisations aux critères des services de confiance, comme expliqué ci-dessus (sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée), est essentielle à la certification SOC 2.

Toutes les organisations ne respecteront pas les cinq principes, car de nombreuses entreprises auront des critères qui ne sont pas pertinents pour leur activité particulière. Ce qui est important cependant, c’est que l’organisation choisisse les principes corrects dans sa demande de certification SOC 2 qui correspondent à la portée de l’audit.

Prenons un exemple. Votre centre de données n’offre de stockage aux clients que pour un client spécifique, car le client gère tout le traitement des données de son côté. Dans ce scénario, le principe de sécurité et de disponibilité s’applique, mais pas le principe d’intégrité du traitement. De plus, si ces données de stockage impliquent des informations personnelles, le principe de confidentialité s’appliquerait également.

ISO 27001 and SOC 2 working together

Check out our comparison of ISO 27001 and SOC2 and our comparison of SOC1 / SOC2  /SOC3

We shouldn’t be asking which of the two frameworks to use simply because SOC 2 is an audit report while ISO 27001 was designed as a standards certification established to create a specific Information Security Management System. This means that SOC 2 can be seen as an output brought on by the delivery of an ISO 27001 ISMS implementation.

The relationship between SOC 2 and ISO 27001 can best be seen as while ISO 27001 is not mandatory in a SOC 2 report, the completion of an ISO 27001 ISMS implementation provides (with little cost and effort) a solid basis for the preparation of the SOC 2 report. Additionally, client confidence and trust are further increased with the use of both frameworks, certified as completed within your organization.

Comment Interfacing aide à alléger le fardeau de la documentation SOC 2 et ISO 27001

Avec la complexité croissante de la gestion des exigences SOC 2, l’organisation des informations dans un emplacement central devient de plus en plus importante. Lorsqu’un auditeur se rendra sur place, il évaluera la surveillance exercée par la direction sur ses fournisseurs de services tiers ainsi que les propres contrôles de l’entreprise. La majorité de cette surveillance tourne principalement autour de la documentation et de la capacité de l’examiner. Le prouver à un auditeur signifie lui fournir un système de gestion des enregistrements qui peut s’appuyer sur la vitesse d’accès aux objectifs de qui, quand et comment des opérations de l’organisation.

C’est en gardant cela à l’esprit qu’il s’agit de l’automatisation du workflow de documentation. La création d’un écosystème de données sûr, sécurisé et protégé est notre engagement à ce que votre organisation obtienne une certification SOC 2 ou ISO 27001 réussie.

Pourquoi Interfacing?

Le système de gestion intégré numérique (IMS) d’Interfacing vous fournit un outil pour contrôler la conformité en vous aidant à gérer l’audit, l’évaluation, la non-conformité, le CAPA, la formation et l’exécution de vos processus d’affaires sous-jacents. IMS prend en charge la documentation de contrôle, les tests de contrôle, l’automatisation des audits, etc., pour satisfaire à l’attestation SOC 2. En fin de compte, cela rendra la conformité plus facile et plus transparente dans toute votre organisation.

Seul notre système de gestion intégré donnera à votre entreprise la capacité de surveiller et de gérer automatiquement et en continu vos initiatives de conformité. La mise en œuvre de contrôles associés aux processus et aux tâches garantit que les exigences de conformité sont respectées, tandis que le suivi et la documentation automatiques de tous les changements de processus donnent à la direction une surveillance complète.

Si vous souhaitez en savoir plus ou discuter de la manière dont Interfacing peut aider votre organisation, assurez-vous de cliquer ci-dessous.

Nous contacter pour plus d’informations.

développement rapide d'application low-code

Audit et conformité

Gérez efficacement la complexité de votre entreprise et la transformation continue grâce à des solutions de gestion de la qualité, des performances et de la conformité basées sur les processus.

conformité et risque

Services de gestion de la conformité

La conformité est un élément essentiel du processus de contrôle interne de toute organisation, aidant à contrôler le contenu et à réduire les coûts.

développement rapide d'application low-code

Gagnez en transparence avec Enterprise Process Center®

Le logiciel Digital Twin Organization d’Interfacing fournit la transparence et la gouvernance pour améliorer la qualité, l’efficacité et assurer la conformité réglementaire.

développement rapide d'application low-code

Lisez nos blogs

Prenez un moment pour lire les blogs sur GXP, la conformité réglementaire, les tendances actuelles et bien plus encore!

Découvrez comment votre organisation bénéficie d’une solution d’Interfacing.

L’un des principaux facteurs de différenciation d’Interfacing par rapport aux autres sociétés de conseil en transformation numérique et d’affaire est qu’Interfacing propose sa propre solution technologique innovante pour soutenir les programmes de transformation. Les solutions logicielles d’Interfacing offrent la transparence nécessaire pour réduire la complexité, améliorer l’exécution et faciliter l’agilité et le changement.

Le système de gestion intégré d’Interfacing est un guichet unique pour la gestion des programmes de transformation. Nous savons que c’est un environnement très concurrentiel. C’est pour cette raison que notre force réside dans notre engagement à maintenir la flexibilité tout au long du cycle de vie du projet que ce soit dans nos produits innovants ou dans notre équipe d’experts.