Le SOC 2 est devenu la norme d'excellence pour les entreprises afin de prouver leur engagement envers leurs clients, notamment comment elles protègent les données de leurs clients et rendent leurs services fiables, résilients et cohérents.

L'American Institute of Certified Public Accountants (AICPA) a développé un ensemble de lignes directrices pour le contenu d'un rapport SOC 2, basé sur plusieurs documents importants, y compris le TSP 100 et le DC 200. Les experts-comptables ou les cabinets comptables certifiés utilisent ces documents pour attester des pratiques de conformité et de sécurité d'une entreprise.

En octobre 2022, l'AICPA a publié des versions révisées de ces deux documents. Ci-dessous, nous fournirons un aperçu des différences et de ce qu'elles signifient pour les auditeurs et les organisations de services.

Qu'est-ce qui change avec le TSP 100 ?

Le cadre SOC 2 est construit autour de cinq Critères des Services de Confiance : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. Les critères de chaque catégorie sont définis par l'AICPA dans le TSP 100.

Le TSP 100 comprend des points d'attention, qui servent de guide de mise en œuvre pour chaque critère. Prenons le critère suivant par exemple : « L'entité démontre un engagement envers l'intégrité et les valeurs éthiques. » Pour les organisations qui doivent démontrer cela et les auditeurs qui doivent l'auditer, le document TSP 100 fournit essentiellement des suggestions sur ce qu'une organisation peut faire pour répondre à cette exigence. Cela inclut l'établissement de normes de conduite et la prise en compte des sous-traitants et des employés des fournisseurs lors de l'établissement et de l'évaluation du respect de ces normes.

Dans la mise à jour la plus récente, l'AICPA a publié des points d'attention révisés pour plusieurs des critères dans le TSP 100, la majorité des mises à jour se concentrant sur les catégories de confidentialité et vie privée. Plusieurs autres mises à jour ont été ajoutées pour aider à clarifier l'application des critères existants aux nouvelles technologies et aux risques évolutifs.

Par exemple, le CC7.4 concerne la réponse aux incidents de sécurité identifiés. La révision inclut des points d'attention supplémentaires pour les organisations utilisant à la fois la sécurité et la vie privée comme Critères des Services de Confiance, y compris l'application des procédures de réponse aux violations lorsqu'un incident de vie privée est confirmé.

Il est important de noter qu'aucun nouveau Critère des Services de Confiance n'a été ajouté ou même modifié. Les révisions donnent simplement aux organisations et aux auditeurs de nouvelles façons de penser aux critères à la lumière du contexte actuel.

Qu'est-ce qui change avec le DC 200 ?

Chaque rapport SOC 2 contient quatre sections, avec une cinquième optionnelle. La plus grande section du rapport SOC 2 est la description du système de l'organisation de services. Cela inclut tout, depuis une vue d'ensemble de l'entreprise — qui elle est, ce qu'elle fait et quelle technologie elle utilise — jusqu'à une description de tous les contrôles qu'elle a mis en place par rapport aux catégories de critères de services de confiance incluses dans le rapport. Les directives sur ce qui doit figurer dans cette section, connues sous le nom de critères de description, sont détaillées dans le DC 200.

L'AICPA a publié des clarifications pour les directives de mise en œuvre de ces critères de description. Les clarifications étaient mineures et se concentraient principalement sur la fourniture de plus d'exemples.

Par exemple, le DC4 concerne la nécessité pour une entité de divulguer la nature, le moment, l'étendue et la disposition de tout incident significatif du système identifié pendant la période couverte par le rapport SOC 2. Les directives de mise en œuvre révisées de 2022 incluent plus d'exemples qui peuvent aider un auditeur ou une organisation à déterminer si un incident doit être divulgué — comme s'il a entraîné le vol, l'altération ou l'utilisation non autorisée d'informations sensibles.

Il est important de noter qu'aucun critère de description n'a été modifié ou ajouté.

Que signifient ces changements pour les auditeurs ?

Le TSP 100 et le DC 200 sont conçus pour fournir des directives aux auditeurs sur la manière d'évaluer le système de contrôles d'une entreprise lors de l'exécution d'un audit SOC 2, et sur la manière d'évaluer si la description du système dans le rapport SOC 2 est présentée de manière suffisante pour répondre aux besoins des utilisateurs du rapport.

Les auditeurs doivent lire attentivement les deux documents révisés pour s'assurer qu'ils évaluent correctement la posture de sécurité d'une organisation et rédigent un rapport SOC 2.

Que signifient ces changements pour les organisations de services ?

Cela dépend si vous utilisez la plateforme d'automatisation de la conformité de Secureframe.

Si votre organisation se prépare à un audit SOC 2 sans plateforme d'automatisation, vous devez vous familiariser avec les Points de Focalisation Révisés du TSP 100 pour vous assurer que vos contrôles satisfont aux exigences de chaque critère des services de confiance, en particulier en matière de confidentialité et de protection des renseignements personnels.

Cependant, si vous utilisez la plateforme d'automatisation de la conformité de Secureframe, nos experts en conformité prennent continuellement en compte les mises à jour comme celles-ci lors de la création de tests sur notre plateforme et, si nécessaire, soulignent les changements suggérés. Cela signifie que vous n'avez pas à passer au crible les piles de mises à jour par vous-même pour déterminer ce qu'elles signifient pour vous et votre organisation.

Comment Secureframe simplifie la conformité SOC 2

Bien que le maintien d'un système de contrôles à jour soit finalement la responsabilité de votre propre organisation, collaborer avec Secureframe simplifie et rationalise le processus.

Nous faisons économiser aux équipes des centaines d'heures et des milliers de dollars consacrés à la rédaction de politiques de sécurité, à la collecte de preuves, à l'embauche de consultants en sécurité et à la réalisation d'évaluations de préparation. Et parce que Secureframe surveille en permanence votre infrastructure et vous alerte des vulnérabilités, vous obtiendrez votre rapport SOC 2 plus rapidement et économiserez de l'argent tout en renforçant votre posture de sécurité.

Demandez une démo pour en savoir plus sur la manière dont nous pouvons vous aider à obtenir la conformité SOC 2 en quelques semaines et non en quelques mois.