この記事は機械翻訳されました。
SOC 2 コンプライアンス監査では、会社概要 がデータを安全に管理する能力を実証します。 言い換えれば、適切なシステムと保護手段が整っていることを監査役に証明し、現在および将来のクライアントに見せることができる認定を得ることができます。
SOC 2 への準拠は、 SaaS (サービスとしてのソフトウェア(SaaS)) プロバイダーにとって重要であると考えられています。 このような会社概要 クライアントのデータの優れた案件を扱い、ほとんどの企業が触れる情報を変更することができる。 SOC 2 コンプライアンスは、顧客が貴社を信頼していることを証明します。
SOC 2とは?
SOC 2 の SOC は、「システムと組織の制御」の略です。この用語がわかりにくいと思われる場合は、コントロールを "標準" という単語に置き換えてください。SOC 2 監査では、独立した会社概要 により、データと情報を保護するために認められた基準に従っていることが確認されます。
潜在的なクライアントがSaaSベンダーパートナーを購入するとき、彼らはリスクを評価します。IT部門がデータに基づく問題を引き起こす可能性はどのくらいありますか? SOC 2 監査は、これらの懸念を軽減するのに役立ちます。
SOC 2 レポートには、次の 2 つのタイプがあります。
- タイプ1: システムがどのように設計されているかを説明します。監査役は、あなたの説明に同意するか、同意しません。 あなたの監査役は、ある時点だけを見ています。
- タイプ2: システムがどのように設計されているかを説明します。監査役は、6か月以上続く指定された期間にわたってどれだけうまく働くかを決定します。 このレポートにより、クライアントはより詳細な保証を得ることができます。
これらのレポートは通常、毎年実施されます。このレポートフレームワークは AICPAによって開発されたもので、レポートのオーディエンスには幅広い人々が含まれているとされています。 要するに、セキュリティ制御に関する詳細な情報が必要な人は、SOC 2レポートが必要になる可能性があるのです。
5 SOC 2 認定 要因
監査役は、SOC 2監査中に見たいことを何も見ません。 代わりに、彼らは認識されたチェックリストに基づいて作業します。
あなたの監査役は、あなたのビジネスのこれらの側面を調査します。
- 可用性: あなたのサーバーはどのくらいの頻度で顧客のためにオンラインになっていますか?災害からどのように回復しますか?インシデントをどのくらいの速さで検出しますか?
- 機密性: データをどのように保護していますか?暗号化と認証に関してどのようなプロトコルを使用していますか?
- プライバシー: 適切な人がデータを見ることができるようにするにはどうすればよいでしょうか?暗号化と二要素認証のどちらを使用していますか?
- 加工: 品質保証はどのように行っていますか?どのくらいの頻度で機能を監視していますか?
- 安全: データを安全に保つために何をしていますか?
ここでは、ファイアウォールや 2 要素認証などの一部のツールが複数の役割を果たします。 強力なソリューションは、このチェックリストから複数の項目をチェックするのに役立ちます。
すべての会社概要には固有のレポートがあり、自分のコントロールは隣の会社が使用するコントロールとは異なる場合があります。 しかし、監査役は仕事と同じ種類のものを探す傾向があります。
その他のSOCレポート
SOC 2、Type 2 レポートは、 SaaS 会社概要のゴールド標準と見なされます。 このプロセスを進めると、クライアントデータを保護しているという強力な証拠が得られます。しかし、他のSOCレポートは存在します。
SOC 1 レポートには、財務情報が詳細に記載されています。お金が関係するものを扱い、そのデータを変更できる場合は、SOC 1レポートが役立つ可能性があります。
SOC 3 レポートは、SOC 2 レポートの簡易版です。データ負荷が小さく、短くて完了しやすい傾向があります。規制がそれほど厳しくない環境で働く場合は、これらが適している可能性があります。
SOC 2: サービス組織向けの SOC。トラストサービスの基準。AICPAの。
