Nouveaux cadres NIST SP 800-53, CMMC, NIST 800-171, PCI DSS SAQ-A et -D, NIST Privacy, ISO 27701, NIST CSF, Microsoft SSPA et MVSP pour aider davantage de clients à atteindre et maintenir la conformité

SOC 2 et ISO 27001 sont des cadres de confiance pour protéger les données des clients et des entreprises à travers les industries et les stades de croissance. Les deux rapports sont souvent nécessaires pour faire des affaires aux États-Unis et à l'international, respectivement. Cependant, en fonction des industries que votre organisation sert, des géographies où vous opérez et des clients avec lesquels vous faites affaire, d'autres cadres de sécurité, de confidentialité et de conformité peuvent être nécessaires.

C'est pourquoi nous sommes ravis d'annoncer le soutien de Secureframe à de nouveaux cadres couvrant les meilleures pratiques fédérales, de l'industrie des paiements, de la confidentialité, commerciales et de sécurité aux côtés de notre soutien existant pour SOC 2,  ISO 27001, HIPAA, GDPR, CCPA et PCI DSS. Combinée, la plateforme moderne et tout-en-un de gouvernance, de risque et de conformité (GRC) de Secureframe aide les organisations et les équipes de conformité à comprendre les exigences, à gérer les contrôles, à rationaliser les flux de travail et à automatiser à la fois les tâches et la collecte de preuves pour atteindre et maintenir une conformité continue à travers leur entreprise.

De plus, Secureframe a élargi notre offre SOC 2 pour inclure maintenant les 5 critères disponibles des Trust Services Criteria en soutenant l'intégrité du traitement et la confidentialité. 

"Les clients louent Secureframe pour la manière dont nous leur permettons d'atteindre et de maintenir les normes mondiales les plus rigoureuses, nous demandant constamment d'étendre les capacités de notre plateforme à d'autres cadres de sécurité, de confidentialité et de conformité nécessaires à leur activité", a déclaré Shrav Mehta, fondateur et PDG de Secureframe. "L'annonce d'aujourd'hui concernant notre expansion couvrant davantage de cadres est une réponse directe aux commentaires des clients et au succès et à la valeur écrasants que les clients réalisent avec notre plateforme tout-en-un de gouvernance, de risque et de conformité."

"Nous avons été impressionnés par la rapidité et la facilité avec lesquelles Secureframe nous a aidés à nous préparer pour atteindre la conformité SOC 2 et ISO 27001," a déclaré Yingsong Wang, ingénieur en sécurité des systèmes d'information chez Haystack Team Inc. "Nous sommes ravis que Secureframe ait élargi sa plateforme pour inclure davantage de cadres, y compris ISO 27701. Nous sommes convaincus que Secureframe continuera d'aider Haystack à atteindre et maintenir une conformité continue avec rapidité et aisance."

Lisez la suite pour en savoir plus sur ces cadres et comment Secureframe vous aide à vous conformer rapidement et facilement. Si vous êtes intéressé par la plateforme moderne et tout-en-un de sécurité, de confidentialité et de conformité de Secureframe, veuillez programmer une démonstration.

Cadres fédéraux

Le National Institute of Standards and Technology (NIST) a été fondé par le Congrès en 1901 pour améliorer la compétitivité industrielle des États-Unis. Aujourd'hui, le NIST développe bon nombre des cadres utilisés par les organisations et agences gouvernementales pour gérer les risques de cybersécurité. Pour faire des affaires avec des agences gouvernementales ou si une entreprise interagit ou stocke des données gouvernementales sensibles, alors cette entreprise doit être conforme à un ou plusieurs de ces cadres NIST.

NIST 800-53

L'Institut National des Normes et de la Technologie (NIST) 800-53 est une norme et un cadre de conformité en matière de sécurité développé par le NIST pour aider les agences fédérales et leurs sous-traitants à répondre aux exigences de la Loi sur la Modernisation de la Sécurité de l'Information Fédérale (FISMA). Toute organisation qui travaille avec le gouvernement fédéral ou transporte des données fédérales est tenue de se conformer au NIST 800-53 pour maintenir la relation.

Le NIST 800-53 a un plus grand volume de contrôles avec des exigences plus spécifiques et détaillées par rapport à d'autres cadres. Par exemple, le NIST inclut de nombreux paramètres "définis par l'organisation" qui ne sont pas clairement définis, ce qui signifie que chaque organisation doit définir pour elle-même les paramètres (c'est-à-dire la portée et la fréquence) des contrôles dans son plan de sécurité du système (SSP).

Les entreprises commerciales qui ne traitent pas d'informations fédérales ou ne travaillent pas avec des organisations et des agences fédérales utilisent couramment le NIST 800-53 comme guide pour sécuriser leurs systèmes, mais elles ne seraient pas nécessairement soumises à la FISMA.

NIST 800-171

L'Institut National des Normes et de la Technologie (NIST) 800-171 est axé sur la protection des informations non classifiées contrôlées (CUI) qui résident dans des systèmes et des organisations non fédéraux. Les exigences de sécurité définies dans le NIST 800-171 s'appliquent aux composants de tout système ou organisation non fédéral qui traite, stocke et/ou transmet des CUI, ou qui fournit une protection pour ces composants.

Il n'existe pas de corps de certification ou d'audit officiel pour déterminer la conformité d'un sous-traitant aux exigences du NIST 800-171. Cependant, les entreprises sous contrat qui travaillent avec le Département de la Défense (DoD) doivent subir des évaluations du NIST 800-171 par une entité certifiée ou un partenaire en cybersécurité. Secureframe automatise la conformité pour aider dans le processus de préparation à l'audit, y compris les modèles de SSP et de plan d'action et de jalons (POAM) et la documentation.

CMMC

La Certification du Modèle de Maturité en Cybersécurité (CMMC) est un cadre d'évaluation et un programme de certification des évaluateurs conçu pour accroître la confiance dans les mesures de conformité à une variété de normes publiées par l'Institut National des Normes et de la Technologie (NIST) conformément aux normes du Département de la Défense (DoD). Les entreprises qui travaillent ou envisagent de travailler avec le DoD à l'avenir doivent être certifiées CMMC.

Le CMMC organise les exigences de sécurité du NIST en un ensemble de domaines, qui se regroupent directement avec les familles de contrôles du NIST et le cadre du NIST 800-171. Le CMMC 2.0 est actuellement en période de transition pendant le processus de réglementation, ce qui signifie qu'il n'est pas encore contractuellement requis. Le DoD explore des opportunités pour fournir des incitations aux sous-traitants qui obtiennent volontairement une certification CMMC pendant la période intérimaire.

Pour ces cadres fédéraux, Secureframe automatise la conformité avec la surveillance, des tests automatisés, des modèles pour les politiques et procédures de confidentialité et tout ce dont une organisation a besoin pour atteindre la conformité au NIST 800-53, NIST 800-171 et CMMC. Les mappings CMMC de Secureframe sont basés sur la version 2.0, donnant aux sous-traitants gouvernementaux une longueur d'avance sur les exigences futures. Si vous êtes intéressé par la plateforme moderne, tout-en-un de Secureframe pour la sécurité, la confidentialité et la conformité de votre organisation aux besoins de conformité du gouvernement fédéral, veuillez planifier une démo.

Cadres de paiements

La norme de sécurité des données du secteur des cartes de paiement (PCI DSS) est un ensemble de normes de sécurité visant à garantir que toutes les entreprises qui traitent, stockent, transmettent ou impactent des données de cartes ou de titulaires de cartes maintiennent un environnement sécurisé.

La conformité PCI DSS nécessite soit un rapport de conformité (RoC) de niveau 1, soit un questionnaire d'auto-évaluation (SAQ) de niveau 2-4. Secureframe soutenait déjà les clients dans l'obtention d'un RoC de niveau 1 et prend désormais en charge les SAQ A et SAQ D.

PCI DSS SAQ A

SAQ A est destiné à toute organisation de vente par Internet ou par correspondance/téléphone où les cartes de paiement ne sont pas présentes lors de la transaction. Toutes les fonctions liées aux données des titulaires de carte sont externalisées à un prestataire de services tiers et aucune donnée de titulaire de carte n'est stockée, traitée ou transmise sur les systèmes ou locaux du commerçant.

PCI DSS SAQ D (Commerçants et Prestataires de Services)

Tous les commerçants qui ne correspondent à aucune autre catégorie de SAQ devront compléter un SAQ D. Tous les prestataires de services éligibles pour compléter un SAQ auront également besoin d'un SAQ D.

Pour ces cadres de paiement, Secureframe facilite et accélère l'obtention et le maintien de la conformité grâce à la collecte automatique de preuves via des intégrations, des modèles pour les politiques et procédures PCI DSS, des tests automatisés et personnalisés, et tout le reste dont une organisation a besoin pour atteindre la conformité PCI DSS. Si vous êtes intéressé par la plateforme moderne, tout-en-un de sécurité, confidentialité et conformité de Secureframe pour la conformité PCI DSS de votre organisation, veuillez programmer une démonstration.

Cadres de Confidentialité

Avec la collecte croissante de données personnelles et des consommateurs par les entreprises, les préoccupations concernant la protection et la distribution de ces données ont augmenté. Secureframe aide déjà les entreprises à se conformer aux lois sur la confidentialité des données telles que HIPAA, RGPD et CCPA. Nous avons maintenant ajouté deux cadres supplémentaires pour améliorer votre posture de confidentialité et de conformité.

Cadre de Confidentialité NIST

Le Cadre de Confidentialité du National Institute of Standards and Technology (NIST) a été développé par le NIST pour fournir aux organisations un cadre de communication et de priorisation de leurs activités de protection de la confidentialité. C'est un cadre large qui est mis à jour avec les tendances technologiques et est neutre par rapport à toute technologie, secteur, norme, loi ou juridiction spécifique.

Le Cadre de Confidentialité NIST a été conçu pour être flexible et utilisable par tout type d'organisation dans le monde, indépendamment de leurs lois et réglementations locales. Cela permet d'adopter rapidement le cadre, mais cela signifie également que les organisations doivent encore démontrer leur conformité aux lois et réglementations telles que le RGPD et le CCPA, si elles s'appliquent.

ISO 27701

La norme ISO 27701 fait partie de la famille des normes ISO 27000. Alors que l'ISO 27001 couvre la sécurité de l'information, l'ISO 27701 étend la sécurité de l'information existante pour couvrir la confidentialité. En tant que telle, l'ISO 27701 exige que l'organisation établisse, maintienne et améliore continuellement un système de gestion des informations de confidentialité (PIMS). Compte tenu de la popularité et de l'intérêt croissants pour la confidentialité des données, l'ISO 27701 a été créée en tenant compte des cadres juridiques existants en matière de confidentialité, y compris les exigences du cadre juridique du RGPD.

ISO 27701 n'est pas une certification indépendante, mais plutôt une extension de ISO 27001. En effet, la sécurité de l'information est essentielle pour protéger les données, y compris les données personnelles ou les informations permettant d'identifier une personne (PII). Les organisations qui veulent obtenir la certification ISO 27701 doivent d'abord obtenir la certification ISO 27001 avant ou en même temps. La certification ISO 27701 sera liée au certificat ISO 27001.

Se conformer aux cadres de confidentialité nécessite beaucoup de temps et d'efforts pour comprendre les contrôles spécifiques nécessaires, et rédiger des politiques et des procédures adéquates. La plateforme de Secureframe a été spécialement conçue pour aider les organisations à se conformer rapidement et en toute sécurité. Secureframe simplifie la conformité avec des tests automatisés et personnalisés, des modèles de politiques et de procédures de confidentialité et tout ce dont une organisation a besoin pour obtenir rapidement la conformité avec HIPAA, GDPR, CCPA, le cadre de confidentialité NIST et ISO 27001. Si vous êtes intéressé par la plateforme de sécurité, de confidentialité et de conformité moderne et tout-en-un de Secureframe, veuillez planifier une démonstration.

Cadres de sécurité de l'information généraux

Il existe de nombreux cadres pour protéger les données sensibles contre les cyberattaques. Vous trouverez ci-dessous des cadres supplémentaires que Secureframe prend en charge pour aider les organisations à renforcer leur posture en matière de sécurité, de confidentialité et de conformité. L'un est fourni pour protéger la cybersécurité des infrastructures critiques (NIST CSF), l'autre est spécifique à l'entreprise pour protéger les données confidentielles (Microsoft SSPA), et un autre est destiné à aider les petites entreprises à mettre en place rapidement une posture de sécurité raisonnable (MVSP).

NIST CSF

Le National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) a été introduit en 2014, et mis à jour avec la version 1.1 rendue publique le 16 avril 2018, afin d'établir des connaissances partagées et des meilleures pratiques en matière de risques de cybersécurité et de menaces pour les infrastructures critiques. Le National Institute of Standards and Technology des États-Unis s'est associé à des experts du secteur privé et du gouvernement pour créer un cadre de cybersécurité pour les infrastructures critiques.

Certaines organisations peuvent souhaiter mettre en œuvre le NIST CSF, notamment celles qui:

• Travaillent avec le gouvernement fédéral américain
• Travaillent pour des institutions soutenues par des subventions fédérales
• Travaillent dans la chaîne d'approvisionnement d'une agence fédérale
• Toute organisation commerciale qui souhaite démontrer une forte posture de sécurité

Le cadre NIST CSF aide à évaluer les risques de cybersécurité et à effectuer une évaluation des contrôles à travers l'ensemble d'une organisation.

Microsoft SSPA

Le programme Supplier Security and Privacy Assurance (SSPA) de Microsoft est un ensemble d'exigences et de pratiques en matière de sécurité et de confidentialité qui spécifie les exigences de protection des données (« DPR ») auxquelles les fournisseurs (« suppliers ») qui font partie de la chaîne d'approvisionnement d'informations de Microsoft doivent se conformer avant de faire des affaires avec Microsoft. Le SSPA s'applique aux fournisseurs qui souhaitent traiter les données personnelles ou confidentielles de Microsoft dans le cadre de leur relation de fournisseur avec Microsoft. Tous les fournisseurs inscrits sont alors tenus de remplir les tâches de conformité SSPA chaque année.

MVSP

Minimum Viable Secure Product (MVSP) est un seuil de sécurité minimale pour les produits et services prêts pour l'entreprise. MVSP a été développé par des partenaires de l'industrie (y compris, mais sans s'y limiter : Google, Okta, Salesforce et Slack ; Secureframe a rejoint le groupe de travail MVSP et commencera à contribuer au développement de ce cadre). Conçu avec la simplicité à l'esprit, la liste de contrôle ne contient que les contrôles qui doivent, au minimum, être mis en œuvre pour garantir une posture de sécurité raisonnable.

Pour ces cadres généraux, Secureframe automatise la conformité avec la surveillance, les tests automatisés, les modèles de politiques et procédures requises, et tout ce dont une organisation a besoin pour atteindre la conformité NIST CSF, Microsoft SSPA et MVSP. Si vous êtes intéressé par la plateforme de sécurité, de confidentialité et de conformité moderne et tout-en-un de Secureframe, veuillez planifier une démonstration.

Confidentialité SOC 2 et Intégrité de Traitement

L'intégrité de Traitement et la Confidentialité sont deux des cinq critères de services de confiance qui composent les normes SOC 2 :

• Confidentialité examine comment les activités de contrôle d'une organisation protègent les informations personnellement identifiables (PII) des clients. Elle s'assure également qu'un système utilisant des données personnelles est conforme aux principes de confidentialité généralement acceptés (GAPP) de l'AICPA.
• Les Critères d'Intégrité de Traitement déterminent si un système exécute ses fonctions prévues sans retard, erreur, omission ou manipulation accidentelle.

Prêt à commencer ?

Si vous êtes intéressé par la plateforme de sécurité, de confidentialité et de conformité moderne et tout-en-un de Secureframe, veuillez planifier une démonstration.