Le cadre SOC 2® comprend 5 critères des services de confiance composés de 64 exigences individuelles. Les contrôles sont les mesures de sécurité que vous mettez en place pour satisfaire à ces exigences. Lors de votre audit, le CPA évaluera vos contrôles pour créer votre rapport de certification/audit.
Les contrôles internes peuvent être des politiques, des procédures, des règles et des mécanismes pour assurer la conformité.
Un exemple serait de demander à une personne d'approuver une facture avant qu'une autre personne ne la paie.
Combien de contrôles y a-t-il dans SOC 2 ? Autant que votre organisation a besoin pour être conforme aux TSC que vous avez sélectionnés.
Points de Focalisation de l'AICPA pour SOC 2
Contrairement à d'autres cadres de sécurité de l'information tels que l'ISO 27001, il n'existe pas de liste de contrôle universelle des exigences SOC 2.
Dans son guide officiel SOC 2, l'American Institute of Certified Public Accountants (AICPA) fournit des "points de focalisation" pour chaque critère des services de confiance (anciennement principes des services de confiance). Ces points de focalisation sont des exemples de la manière dont une organisation peut satisfaire aux exigences de chaque critère. Ils sont destinés à aider les organisations et les prestataires de services à concevoir et à mettre en œuvre leur environnement de contrôle.
Il est important de noter que les points de focalisation ne sont pas des exigences. Ils sont des lignes directrices pour vous aider à mieux comprendre ce que vous pouvez faire pour répondre à chaque exigence. Ils sont également une bonne ressource pour comprendre comment un auditeur pensera à chaque TSC lors de l'évaluation et du test des contrôles de votre organisation.
Voici un exemple tiré du guide SOC 2 de l'AICPA montrant des points de focalisation pour CC1.1: Démontrer un engagement envers l'intégrité et les valeurs éthiques.
Le deuxième point de focalisation mentionné traite des normes de conduite qui sont clairement définies et communiquées à tous les niveaux de l'entreprise. La mise en œuvre d'une politique de Code de Conduite est un exemple de la manière dont les organisations peuvent satisfaire aux exigences de CC1.1.
Ainsi, bien qu'il existe des critères spécifiques requis pour la conformité, la manière dont votre organisation y satisfait dépend de vous et de votre auditeur CPA. En fin de compte, aucun audit SOC 2 ne se ressemble.
Explorons ce que signifie chaque critère des services de confiance et quels contrôles des organisations de services un auditeur pourrait rechercher en fonction de chacun.
Liste des Contrôles SOC 2
Contrôles de Sécurité
La sécurité est le noyau fondamental des exigences de conformité SOC 2. Cette catégorie couvre les processus opérationnels solides autour de la sécurité et de la conformité. Elle inclut également les défenses contre toutes sortes d'attaques, des attaques de type homme-du-milieu aux individus malveillants accédant physiquement à vos serveurs.
Un auditeur pourrait vérifier les systèmes d'authentification à deux facteurs et les pare-feux web. Ils examineront également des éléments qui affectent indirectement la cybersécurité et la sécurité des données, comme les politiques déterminant qui est embauché pour des rôles de sécurité.
Contrôles de Confidentialité
La confidentialité s'applique à toute information jugée sensible. Pour répondre aux exigences SOC 2 sur la confidentialité, une organisation doit communiquer ses politiques à toutes les personnes dont elle stocke les données clients.
Si l'organisation collecte des informations sensibles, elle doit :
- Obtenir le consentement de la personne concernée
- Limiter la quantité d'informations privées qu'elle recueille
- Les recueillir par des moyens légaux
- Les utiliser uniquement pour les fins pour lesquelles elles ont été collectées
Enfin, une fois que les informations personnelles ont atteint leur objectif, l'organisation de services doit s'en débarrasser.
Contrôles de confidentialité
Les informations confidentielles sont différentes des informations privées en ce que, pour être utiles, elles doivent être partagées avec d'autres parties. L'exemple le plus courant est celui des données de santé. Elles sont hautement sensibles, mais elles sont sans valeur si on ne peut pas les partager entre hôpitaux, pharmacies et spécialistes.
Au lieu de garder les informations totalement sécurisées, la catégorie de confidentialité se concentre sur le fait de s'assurer qu'elles sont partagées en toute sécurité.
Répondre aux critères SOC 2 pour la confidentialité nécessite un processus clair pour identifier les informations confidentielles. Les données confidentielles doivent être protégées contre tout accès non autorisé jusqu'à la fin d'une période de rétention prédéterminée, puis détruites.
Contrôles de l'intégrité du traitement
Les systèmes utilisés pour stocker, traiter et récupérer les informations fonctionnent-ils comme ils le devraient ?
Certains contrôles de la série PI se réfèrent à la capacité de l'organisation à définir les données dont elle a besoin pour atteindre ses objectifs. D'autres définissent l'intégrité du traitement en termes d'entrées et de sorties. Par exemple, si un client saisit une commande sur un site de commerce électronique, la sortie est la livraison rapide du produit.
Les sorties ne doivent être distribuées qu'à leurs destinataires prévus. Toute erreur doit être détectée et corrigée aussi rapidement que possible.
Contrôles de disponibilité
Les contrôles de disponibilité dans SOC 2 se concentrent sur la minimisation des temps d'arrêt. Ils sont particulièrement importants pour les fournisseurs de SaaS et de cloud computing.
Les systèmes de l'organisation de services sont-ils sauvegardés de manière sécurisée ? Existe-t-il un plan de récupération en cas de catastrophe ? Existe-t-il un plan de continuité des activités qui peut être appliqué à tout événement imprévu ou incident de sécurité ? Un processus formel d'évaluation des risques, de gestion des risques et de mitigation des risques est important pour identifier les menaces pesant sur les centres de données et maintenir la disponibilité.
Les contrôles de la série A1 demandent aux organisations de :
- Prévoir la capacité du système
- Identifier et atténuer les menaces environnementales
- Identifier quelles données sauvegarder
FAQs
Combien y a-t-il de contrôles SOC 2 ?
Le cadre SOC 2 comprend 5 critères des services de confiance composés de 64 exigences individuelles. Les contrôles sont les mesures de sécurité que vous mettez en place pour satisfaire aux exigences SOC 2. Le nombre de contrôles que vous mettez en place dépend du nombre de critères que vous incluez dans votre audit et de la complexité de votre infrastructure et de votre organisation. En général, un audit SOC 2 Type 2 couvrant la sécurité (le seul critère requis) évaluera l'adéquation de la conception et l'efficacité opérationnelle de 80 contrôles en moyenne. Pour les organisations de services entièrement basées sur le cloud, la moyenne tombe à 60. Pour les organisations avec une infrastructure et une structure organisationnelle plus complexes, la moyenne augmente alors à 100.
Quelle est la différence entre les contrôles SOC 1 et SOC 2 ?
Les contrôles SOC 2 sont des contrôles mis en place dans une organisation de services qui sont pertinents pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité ou la vie privée. Les contrôles SOC 1 sont des contrôles mis en place dans une organisation de services qui sont pertinents pour le contrôle interne des entités utilisatrices (par exemple, les entités qui utilisent les organisations de services) sur les rapports financiers.
Quel est un exemple de contrôle SOC 2 ?
Un exemple de contrôle SOC 2 est d'avoir une politique de sécurité de l'information examinée par le directeur de la technologie afin de s'assurer qu'elle inclut les considérations du plan stratégique, les lois applicables aux territoires respectifs et les rôles et responsabilités de la direction et des dirigeants.
