Les critères des services de confiance de l'AICPA définissent cinq critères pour évaluer les contrôles de sécurité d'une organisation en conformité avec le SOC 2 : sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée.
Bien que les organisations puissent choisir les critères de services de confiance SOC 2 qu'elles souhaitent inclure dans le périmètre de leur audit, chaque rapport SOC 2 doit inclure les critères de sécurité, et les critères utilisés pour les tester sont connus sous le nom de critères communs.
Qu'est-ce que la liste des critères communs SOC 2 ?
Le TSC de sécurité concerne la protection des informations et des systèmes.
Les données sont-elles sécurisées lors de leur collecte ou de leur création ? Sont-elles sécurisées lors de leur utilisation, de leur traitement, de leur transmission et/ou de leur stockage ? Comment une entreprise prévient-elle et surveille-t-elle les vulnérabilités de ses systèmes ?
La liste des critères communs SOC 2, également connue sous le nom de série CC, comprend neuf sous-catégories :
- CC1 — Environnement de contrôle
L'organisation valorise-t-elle l'intégrité et la sécurité ? - CC2 — Communication et information
Les politiques et procédures sont-elles en place pour assurer la sécurité ? Sont-elles bien communiquées tant aux partenaires internes qu'externes ? - CC3 — Évaluation des risques
L'organisation analyse-t-elle les risques et surveille-t-elle comment les changements affectent ces risques ? - CC4 — Surveillance des contrôles
L'organisation surveille-t-elle, évalue-t-elle et communique-t-elle l'efficacité de ses contrôles ? - CC5 — Activités de contrôle
Les contrôles, processus et technologies appropriés sont-ils en place pour réduire les risques ? - CC6 — Contrôles d'accès logiques et physiques
L'organisation chiffre-t-elle les données ? Contrôle-t-elle qui peut accéder aux données et restreint-elle l'accès physique aux serveurs ? - CC7 — Opérations systèmes
Les systèmes sont-ils surveillés pour garantir leur bon fonctionnement ? Des plans de réponse aux incidents et de reprise après sinistre sont-ils en place ? - CC8 — Gestion des changements
Les changements matériels apportés aux systèmes sont-ils correctement testés et approuvés au préalable ? - CC9 — Atténuation des risques
L'organisation atténue-t-elle les risques par des processus commerciaux et une gestion des fournisseurs appropriés ?
Cartographie des critères communs SOC 2
De nombreuses organisations choisissent de se conformer à plusieurs normes de sécurité. L'AICPA aide à mapper les critères communs sur les exigences d'autres cadres, y compris ISO 27001, GDPR, et plus encore.
Cartographie des critères communs SOC 2 vers ISO 27001
ISO 27001 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de gestion de la sécurité de l'information (SGSI). Il comprend 114 contrôles répartis en 14 groupes, dont la majorité se mappe aux critères de services de confiance SOC 2.
Le tableau de correspondance ISO 27001 de l'AICPA décompose le chevauchement avec les critères des services de confiance.
Mise en correspondance des critères communs SOC 2 avec le RGPD
Le Règlement général sur la protection des données de l'Union européenne est conçu pour protéger les droits des données personnelles des citoyens de l'UE. Il s'applique à toute entreprise qui entre en contact avec les données de ces personnes protégées. Il comprend 99 articles répartis en 11 chapitres.
Presque tous les chapitres 2 et 3 et la plupart du chapitre 4 du RGPD correspondent aux critères des services de confiance de SOC 2.
L'AICPA fournit également un tableau de correspondance du RGPD de l'UE pour aider à la mise en correspondance des critères et des contrôles.
