SOC2 và cách SOC2 bảo vệ các tổ chức
Diễn đàn - Ngày đăng : 05:03, 10/05/2019
SOC2 là gì?
Nói một cách cơ bản, SOC2 là một bộ tiêu chí được phát triển bởi Viện Kế toán Công chứng Hoa Kỳ (AICPA), bao gồm 5 nguyên tắc để đánh giá độ tin cậy về dịch vụ quản lý dữ liệu khách hàng. Mục tiêu của SOC2 là đảm bảo rằng các nhà cung cấp dịch vụ quản lý dữ liệu sẽ bảo mật cả thông tin của công ty lẫn khách hàng của công ty đó.
Để có thể nhận được chứng chỉ SOC2, các nhà cung cấp dịch vụ phải tuân thủ 5 nguyên tắc mà các kiểm toán viên đặt ra. Năm nguyên tắc này bao gồm:
Độ an toàn - nguyên tắc đầu tiên của SOC2 đề cập đến mức độ hệ thống dữ liệu của nhà cung cấp dịch vụ được bảo vệ. Một hệ thống an toàn phải ngăn chặn được việc truy cập trái phép bằng cách sử dụng các trình điều khiển truy cập nhằm chống lạm dụng hệ thống, đánh cắp hoặc thay đổi dữ liệu. Một công ty có thể đáp ứng yêu cầu bảo mật của SOC2 bằng cách sử dụng các công cụ như xác thực hai yếu tố, tường lửa ứng dụng web (WAFs) và phát hiện xâm nhập.
Tính khả dụng - Theo AICPA, tính khả dụng có nghĩa là hệ thống phải có sẵn để vận hành và sử dụng dễ dàng theo đúng cam kết hoặc thỏa thuận. Cam kết này thường theo hình thức thỏa thuận cấp độ dịch vụ (SLA) giữa nhà cung cấp dịch vụ và khách hàng. Về cơ bản, thỏa thuận này là về việc nhà cung cấp dịch vụ sẽ thực hiện đầy đủ các quy định với khách hàng như trong hợp đồng. Hơn nữa, để có thể đáp ứng được yêu cầu về tính khả dụng, các nhà cung cấp phải theo dõi hiệu suất mạng, xử lý được sự cố bảo mật và đưa ra các giải pháp khắc phục thảm họa đáng tin cậy.
Xử lý toàn vẹn - Một tổ chức đáp ứng được nguyên tắc này phải đảm bảo rằng việc xử lý dữ liệu hoàn chỉnh, hợp lệ, chính xác, kịp thời và được ủy quyền. Tuy nhiên, để có thể đáp ứng yêu cầu này, các nhà cung cấp dịch vụ nên giám sát xử lý dữ liệu và có chính sách đảm bảo chất lượng.
Bảo mật - Giữ bí mật dữ liệu là việc thiết lập một danh sách những người hoặc tổ chức nào sẽ được phép truy cập vào những thông tin nào. Ví dụ như là tài sản trí tuệ của công ty hoặc thông tin tài chính của khách hàng, thường sẽ bị hạn chế đối với một số nhân viên.
Tuân thủ nguyên tắc bảo mật là việc rất quan trọng đối với nhà cung cấp, vì nguyên tắc này giúp đảm bảo rằng dữ liệu về một công ty và khách hàng của công ty đó không được chia sẻ với các khách hàng hoặc đối tác khác. Có một vài cách các nhà cung cấp dịch vụ có thể duy trì bảo mật bao gồm mã hóa dữ liệu, sử dụng các điều khiển truy cập và tường lửa.
Quyền riêng tư - để đảm bảo quyền riêng tư các tổ chức phải tuân thủ các nguyên tắc bảo mật chung (GAPP), gồm mười quy tắc xoay quanh việc thu thập, quản lý, tiết lộ và xử lý thông tin có độ nhạy cảm cao.
Thông tin có độ nhạy cảm cao có thể hiểu là các dữ liệu chi tiết về khách hàng, bao gồm tên, địa chỉ, số an sinh xã hội, cũng như thông tin cá nhân về tôn giáo, chủng tộc, sức khỏe v.v…
Cách SOC2 bảo vệ các tổ chức
Về cơ bản, việc sử dụng SOC2 làm thước đo là cách kiểm tra xem mức độ các nhà cung cấp giữ an toàn và bảo mật dữ liệu cho công ty. Bằng cách đáp ứng 5 nguyên tắc này, các nhà cung cấp có thể bảo vệ dữ liệu của các công ty mà họ hợp tác tốt hơn. Hơn nữa, các nhà cung cấp đáp ứng các tiêu chuẩn bảo mật như vậy là rất quan trọng trong việc có được khách hàng ngay từ đầu, và là một yếu tố chính cho sự thành công của công ty.
Quy trình đạt được chứng chỉ SOC2 là rất nghiêm ngặt, các nhà cung cấp phải vượt qua được các yêu cầu của kiểm toán viên. Các tổ chức khi sử dụng dịch vụ của bên thứ ba nên chú ý chỉ hợp tác với các nhà cung cấp đã có chứng nhận SCO2. Chỉ có làm như vậy, các doanh nghiệp mới có thể yên tâm rằng dữ liệu không bị rơi vào tay kẻ xấu.