Le cadre SOC 2 repose sur cinq critères de services de confiance (anciennement appelés les principes de services de confiance), définis par l'American Institute of Certified Public Accountants (AICPA).
Ces critères de services de confiance constituent les éléments de base de votre posture en matière de cybersécurité. Ils comprennent les contrôles organisationnels, l'évaluation des risques, la réduction des risques, la gestion des risques et la gestion des changements.
Les cinq critères de services de confiance sont :
- Sécurité : Protéger les informations contre les vulnérabilités et l'accès non autorisé
- Disponibilité : S’assurer que les employés et les clients peuvent compter sur vos systèmes pour effectuer leur travail
- Intégrité du traitement : Vérifier que les systèmes de l'entreprise fonctionnent comme prévu
- Confidentialité : Protéger les informations confidentielles en limitant leur accès, leur stockage et leur utilisation
- Vie privée : Protéger les informations personnelles sensibles contre les utilisateurs non autorisés
La sécurité est le seul critère de services de confiance requis pour chaque audit SOC 2. Les autres critères sont optionnels en fonction des services que vous fournissez à vos clients.
De nombreuses organisations n'ont pas les ressources nécessaires pour mettre en conformité leurs systèmes de sécurité de l'information et leurs contrôles internes avec chaque critère de services de confiance.
Il est préférable de poursuivre les critères de services de confiance que vous êtes le plus proche d'atteindre ou ceux qui auront l'impact le plus significatif sur votre organisation. Vous pouvez toujours poursuivre les autres plus tard.
Quels sont les cinq critères de services de confiance de l'AICPA ?
1. Sécurité
Le critère de sécurité consiste à protéger les informations contre la divulgation non autorisée.
Les critères de sécurité sont également connus sous le nom de critères communs. Ils prouvent que les systèmes et l'environnement de contrôle d'une organisation de services sont protégés contre l'accès non autorisé et d'autres risques.
La sécurité est le seul critère de services de confiance requis pour chaque audit SOC 2. Les autres critères peuvent être ajoutés à la portée de votre rapport si votre organisation le souhaite, mais ils ne sont pas nécessaires pour atteindre la conformité SOC 2.
2. Disponibilité
Les critères de disponibilité déterminent si vos employés et clients peuvent compter sur vos systèmes pour effectuer leur travail.
Quelques exemples sont les sauvegardes de données, la reprise après sinistre et la planification de la continuité des activités. Chacun de ces éléments minimise les temps d'arrêt en cas de panne. Par exemple, si votre centre de données est inondé, vous disposez de multiples redondances d'alimentation et de calcul. Cela garantit que les données sont disponibles même en cas de défaillance matérielle.
À envisager d'ajouter à votre SOC 2 si :
- Vous proposez une plate-forme de livraison ou de déploiement en continu.
- Une panne empêcherait vos clients de créer ou de déployer des modifications à leurs services. (par ex. fournisseurs de cloud computing ou de stockage de données en nuage)
3. Intégrité du traitement
Les critères d'intégrité du traitement déterminent si un système fonctionne correctement. Remplit-il ses fonctions prévues sans retard, erreur, omission ou manipulation accidentelle ?
Ce n'est pas la même chose que l'intégrité des données - un système peut fonctionner correctement avec des données incorrectes. Par exemple, supposons que vous soyez une entreprise de commerce électronique. Si un client peut compléter le processus de passation de commande, votre entreprise remplit les critères d'intégrité du traitement.
Disons maintenant que le client saisit accidentellement la mauvaise adresse. C'est un exemple de mauvaise intégrité des données. Vous pouvez toujours satisfaire à l'exigence d'intégrité du traitement. Votre système fonctionne comme il se doit, en livrant cet article à l'adresse spécifiée. Il n'arrivera tout simplement pas à la porte du bon client.
Ajoutez à votre SOC 2 si :
- Vous offrez des services de rapports financiers, ou vous êtes une entreprise de commerce électronique.
- Vous devez vous assurer que le traitement de vos transactions est exact pour lutter contre la fraude.
4. Confidentialité
Les critères de confidentialité évaluent comment les organisations protègent les informations confidentielles, par exemple en limitant leur accès, leur stockage et leur utilisation. Cela peut aider les organisations à définir quelles personnes peuvent accéder à quelles données et comment ces données peuvent être partagées. Cela garantit que seules les personnes autorisées peuvent consulter des informations sensibles, comme des documents juridiques ou de la propriété intellectuelle.
Ajoutez à votre SOC 2 si :
- Votre organisation traite des informations confidentielles. Des exemples incluent les rapports financiers, les mots de passe, les stratégies d'entreprise et la propriété intellectuelle.
5. Vie privée
Ce TSC examine comment les activités de contrôle d'une organisation protègent les informations personnellement identifiables (PII) des clients. Il garantit également qu'un système utilisant des données personnelles se conforme aux principes de confidentialité généralement acceptés de l'AICPA.
Le nom, l'adresse physique, l'adresse électronique et le numéro de sécurité sociale sont quelques exemples d'informations relevant de cette catégorie de confidentialité. Les données relatives à la santé, à la race et à la sexualité peuvent également être pertinentes en matière de confidentialité pour certaines entreprises et prestataires de services.
Ajoutez à votre SOC 2 si :
- Votre organisation recueille, stocke, utilise, conserve, divulgue ou élimine des informations personnelles.