SOC2 và cách SOC2 bảo vệ các tổ chức

Ngọc Phượng| 10/05/2019 05:03
Theo dõi ICTVietnam trên

Ngày nay, có rất nhiều doanh nghiệp sử dụng internet cũng như là dữ liệu lớn do đó việc thắt chặt quy định bảo vệ dữ liệu là rất quan trọng. Những biện pháp này không chỉ liên quan đến việc tăng cường bảo mật cho hệ thống của công ty, mà còn kiểm tra độ tin cậy về các nhà cung cấp dịch vụ.

Hình ảnh có liên quan

SOC2 là gì?

Nói một cách cơ bản, SOC2 là một bộ tiêu chí được phát triển bởi Viện Kế toán Công chứng Hoa Kỳ (AICPA), bao gồm 5 nguyên tắc để đánh giá độ tin cậy về dịch vụ quản lý dữ liệu khách hàng. Mục tiêu của SOC2 là đảm bảo rằng các nhà cung cấp dịch vụ quản lý dữ liệu sẽ bảo mật cả thông tin của công ty lẫn khách hàng của công ty đó.

Để có thể nhận được chứng chỉ SOC2, các nhà cung cấp dịch vụ phải tuân thủ 5 nguyên tắc mà các kiểm toán viên đặt ra. Năm nguyên tắc này bao gồm:

Độ an toàn - nguyên tắc đầu tiên của SOC2 đề cập đến mức độ hệ thống dữ liệu của nhà cung cấp dịch vụ được bảo vệ. Một hệ thống an toàn phải ngăn chặn được việc truy cập trái phép bằng cách sử dụng các trình điều khiển truy cập nhằm chống lạm dụng hệ thống, đánh cắp hoặc thay đổi dữ liệu. Một công ty có thể đáp ứng yêu cầu bảo mật của SOC2 bằng cách sử dụng các công cụ như xác thực hai yếu tố, tường lửa ứng dụng web (WAFs) và phát hiện xâm nhập.

Tính khả dụng - Theo AICPA, tính khả dụng có nghĩa là hệ thống phải có sẵn để vận hành và sử dụng dễ dàng theo đúng cam kết hoặc thỏa thuận. Cam kết này thường theo hình thức thỏa thuận cấp độ dịch vụ (SLA) giữa nhà cung cấp dịch vụ và khách hàng. Về cơ bản, thỏa thuận này là về việc nhà cung cấp dịch vụ sẽ thực hiện đầy đủ các quy định với khách hàng như trong hợp đồng. Hơn nữa, để có thể đáp ứng được yêu cầu về tính khả dụng, các nhà cung cấp phải theo dõi hiệu suất mạng, xử lý được sự cố bảo mật và đưa ra các giải pháp khắc phục thảm họa đáng tin cậy.

Xử lý toàn vẹn - Một tổ chức đáp ứng được nguyên tắc này phải đảm bảo rằng việc xử lý dữ liệu hoàn chỉnh, hợp lệ, chính xác, kịp thời và được ủy quyền. Tuy nhiên, để có thể đáp ứng yêu cầu này, các nhà cung cấp dịch vụ nên giám sát xử lý dữ liệu và có chính sách đảm bảo chất lượng.

Bảo mật - Giữ bí mật dữ liệu là việc thiết lập một danh sách những người hoặc tổ chức nào sẽ được phép truy cập vào những thông tin nào. Ví dụ như là tài sản trí tuệ của công ty hoặc thông tin tài chính của khách hàng, thường sẽ bị hạn chế đối với một số nhân viên.

Tuân thủ nguyên tắc bảo mật là việc rất quan trọng đối với nhà cung cấp, vì nguyên tắc này giúp đảm bảo rằng dữ liệu về một công ty và khách hàng của công ty đó không được chia sẻ với các khách hàng hoặc đối tác khác. Có một vài cách các nhà cung cấp dịch vụ có thể duy trì bảo mật bao gồm mã hóa dữ liệu, sử dụng các điều khiển truy cập và tường lửa.

Quyền riêng tư -  để đảm bảo quyền riêng tư các tổ chức phải tuân thủ các nguyên tắc bảo mật chung (GAPP), gồm mười quy tắc xoay quanh việc thu thập, quản lý, tiết lộ và xử lý thông tin có độ nhạy cảm cao.

Thông tin có độ nhạy cảm cao có thể hiểu là các dữ liệu chi tiết về khách hàng, bao gồm tên, địa chỉ, số an sinh xã hội, cũng như thông tin cá nhân về tôn giáo, chủng tộc, sức khỏe v.v…

Cách SOC2 bảo vệ các tổ chức

Về cơ bản, việc sử dụng SOC2 làm thước đo là cách kiểm tra xem mức độ các nhà cung cấp giữ an toàn và bảo mật dữ liệu cho công ty. Bằng cách đáp ứng 5 nguyên tắc này, các nhà cung cấp có thể bảo vệ dữ liệu của các công ty mà họ hợp tác tốt hơn. Hơn nữa, các nhà cung cấp đáp ứng các tiêu chuẩn bảo mật như vậy là rất quan trọng trong việc có được khách hàng ngay từ đầu, và là một yếu tố chính cho sự thành công của công ty.

Quy trình đạt được chứng chỉ SOC2 là rất nghiêm ngặt, các nhà cung cấp phải vượt qua được các yêu cầu của kiểm toán viên. Các tổ chức khi sử dụng dịch vụ của bên thứ ba nên chú ý chỉ hợp tác với các nhà cung cấp đã có chứng nhận SCO2. Chỉ có làm như vậy, các doanh nghiệp mới có thể yên tâm rằng dữ liệu không bị rơi vào tay kẻ xấu.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • MWC 2024: AI và ESG tiếp thêm sức sống mới
    Hội nghị - triển lãm di động thế giới (MWC) thường niên, được coi là phong vũ biểu thường niên của ngành viễn thông, sẽ diễn ra tại Barcelona, ​​Tây Ban Nha từ ngày 26 - 29/2.
  • Câu chuyện dữ liệu số và hành trình phát triển cảng biển số Việt Nam
    Cảng biển là câu chuyện điển hình của việc chuyển đổi số (CĐS) Việt Nam muốn thành công thì phải đi con đường Việt Nam, dựa trên ngữ cảnh Việt Nam, dựa trên đặc điểm và sức mạnh cốt lõi Việt Nam, phải Make in Viet Nam, dựa trên nền tảng số Việt Nam và phải dựa trên dữ liệu Việt Nam.
  • Cơ hội cho xe điện VinFast chinh phục thị trường Indonesia
    Cạnh tranh trên thị trường xe điện Indonesia đang ngày càng gay gắt khi nhà sản xuất ô tô của Việt Nam VinFast và hãng xe BYD của Trung Quốc gia nhập nền kinh tế lớn nhất Đông Nam Á này.
  • Gã khổng lồ công nghệ y tế Hoa Kỳ bị tấn công mạng
    Change Healthcare, gã khổng lồ công nghệ chăm sóc sức khỏe (CSSK) của Hoa Kỳ đã xác nhận một cuộc tấn công mạng vào hệ thống của họ. Trong một tuyên bố ngắn gọn, công ty cho biết họ “đang bị gián đoạn kết nối do vấn đề an ninh mạng”.
  • Cần thúc đẩy ngoại giao kinh tế trong lĩnh vực công nghệ
    FPT mong muốn Bộ Ngoại giao cùng các Cơ quan đại diện tại nước ngoài thúc đẩy các chương trình hợp tác về giáo dục và chuyển giao chương trình đào tạo đặc biệt trong những lĩnh vực công nghệ mới AI, chip bán dẫn
  • Xu hướng phát triển của podcast trong bối cảnh chuyển đổi số báo chí
    Trong bối cảnh chuyển đổi số (CĐS) mạnh mẽ hiện nay, các phương tiện truyền thông mới ra đời và khẳng định sự phát triển vượt trội của mình. Cùng với các phương tiện truyền thông truyền thống và hiện đại, podcast nổi lên như một xu hướng phát triển phù hợp với sự tiếp nhận thông tin của công chúng.
  • Facebook, Google sẽ phải trả phí bản quyền tin tức tại Indonesia
    Meta và Alphabet được yêu cầu thực hiện các thỏa thuận thương mại với các hãng tin Indonesia để sử dụng nội dung của họ. Quy định có hiệu lực 6 tháng kể từ thời điểm ban hành ngày 20/2.
  • Bộ Ngoại giao Hoa Kỳ và Đại học Arizona công bố sáng kiến mới về ngành bán dẫn
    Sáng kiến mới này sẽ thúc đẩy năng lực lắp ráp, thử nghiệm và đóng gói (ATP) tại các quốc gia đối tác của Quỹ An ninh và Đổi mới Công nghệ Quốc tế (ITSI) ở châu Mỹ và Ấn Độ Dương - Thái Bình Dương, nhằm tăng cường chuỗi cung ứng linh hoạt cho các nhà sản xuất chất bán dẫn của Hoa Kỳ.
  • Báo chí giữ ngọn cờ tiên phong, dấn thân vào vùng đất lạ
    Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng đã nhấn mạnh “Chuyển từ thông tin thành tri thức sẽ là nhiệm vụ mới của báo chí. Phân tích nhiều hơn, tìm kiếm, đề xuất giải pháp nhiều hơn, ý kiến chuyên gia nhiều hơn” tại buổi Gặp mặt đầu Xuân Giáp Thìn 2024 với toàn thể cán bộ, phóng viên, biên tập viên báo điện tử VietNamNet chiều ngày 16/2/2024 tại Hà Nội.
  • Băng nhóm tội phạm mạng khét tiếng Lockbit bị ráo riết triệt phá toàn cầu
    Một hoạt động thực thi pháp luật quốc tế do Cơ quan Tội phạm Quốc gia Anh (NCA) và FBI dẫn đầu đã bắt giữ và truy tố các thành viên của băng nhóm ransomware Lockbit, một trong những băng nhóm tội phạm mạng khét tiếng nhất thế giới.
SOC2 và cách SOC2 bảo vệ các tổ chức
POWERED BY ONECMS - A PRODUCT OF NEKO