SOC (The Service Organization Control) 2 Type 2, “sistem ve organizasyon kontrolleri” anlamına gelir ve kontroller verilen bir servis organizasyonunun bilgilerini ne kadar iyi yürüttüğünü ve düzenlediğini ölçmeye yardımcı olmak için tasarlanmış bir dizi standarttır. SOC standartlarının amacı, üçüncü taraf satıcılarla ilişki kurduklarında kuruluşlara güven ve gönül rahatlığı sağlamaktır. SOC onaylı bir kuruluş, firmanın uygun SOC koruma önlemlerine ve prosedürlerine sahip olduğunu belirleyen bağımsız bir sertifikalı kamu muhasebecisi tarafından denetlenmiştir.
Daha spesifik olarak, SOC 2, müşteri verilerini bulutta depolayan servis sağlayıcılar için tasarlanmıştır. Şirketlerin, müşteri verilerinin güvenliği, kullanılabilirliği, işlenmesi, bütünlüğü ve gizliliğini içeren sıkı bilgi güvenliği politikaları ve prosedürleri oluşturmalarını ve takip etmelerini gerektirir.
SOC 2 Tip 2, Tip 1’den Nasıl Farklıdır?
Tip 1 raporu, Güven Faktörü kriterlerini sağlama politikalarımızı ve prosedürlerimizi vurgularken, Tip 2 süreci üçüncü taraflarca 6 aylık bir denetim süresi gerektirir. Başka bir deyişle, SOC2 Tip 1, Güven Faktörlerini yönetmek için kullanılan politikaların ve prosedürlerin zaman içinde ölçülmesidir, SOC2 Tip 2 ise bu politikaların 6 aylık bir raporlama penceresinde güçlü kanıtlarla takip edildiğini kanıtlamaktadır.
SOC 2 Tip 2 Denetimi Neyi İnceliyor?
SOC 2, güvenli veri işleme ve depolamanın “Beş Güven Faktörü”ne bakar. Bu kriterlerden bir tanesinde yeterlilik göstermek, mahremiyet ve güvenlik kontrollerinin bir kanıtıdır:
Security: Sistem hem fiziksel hem de mantıksal olarak yetkisiz erişime karşı korunur
Availability: Sistem çalıştırma için uygundur ve taahhüt edildiği veya kararlaştırıldığı şekilde kullanılır
Processing Integrity: Sistem, eksiksiz, doğru, zamanında ve yetkili olarak işlemektedir.
Confidentiality: Gizli olarak belirtilen bilgi taahhüt veya kararlaştırılmış olarak korunur
Privacy: Kişisel bilgiler, operasyonun gizlilik bildirimine ve American Institute of Certified Public Accountants (AICPA) ve Canadian Institute of Chartered Accountants (CICA) tarafından belirlenen ilkelere uygun olarak toplanır, kullanılır, saklanır ve açıklanır.
SOC 2 raporları, yukarıdaki Güven Faktörlerinden bir veya daha fazlasına yönelik olabilir.
SOC 2 Tip 2 Uyumluluğu, Değişen Müşteriler İçin Ne İfade Ediyor?
SOC 2 Tip 2 uyumluluğu, müşterilerimize, bilgilerin güvenliğini sağlamak için sınıfının en iyisi koruma önlemlerine ve prosedürlerine sahip olduğumuzu garanti eder.