Cloud Sicurezza 101: tutte le nozioni di base che devi sapere

È facile essere intimiditi dall'enorme volume di acronimi che esistono nell'ambito della sicurezza e della conformità. Questi acronimi rendono difficile sapere cosa cercare quando si sceglie un provider cloud software-as-a-service (SaaS). Alla fine della giornata, vuoi avere la tranquillità che i tuoi Dati siano sicuri e protetti. Ecco perché vorremmo demistificare il processo di valutazione e spiegare cosa cercare quando si confrontano e si valutano i fornitori di SaaS Cloud. In questo blog, illustreremo gli standard di conformità e il loro impatto su Cloud Sicurezza.

Cosa sono gli standard di conformità?

Alcuni degli acronimi più comuni che si possono incontrare sono Sicurezza Operations Center (SOC) e Trust Service Principles (TSP). La responsabilità di un SOC (Security Operations Center) è quella di monitorare e analizzare la posizione di sicurezza di un'organizzazione su base continuativa. Il rapporto SOC fornisce garanzie sugli ambienti di controllo in relazione al recupero, all'archiviazione, all'elaborazione e al trasferimento dei dati. Ci sono diversi report che dimostrano che un'organizzazione è in regola. Vale a dire, conformità SOC 1 e SOC 2: è importante che sia il rapporto di tipo 1 che quello di tipo 2 siano completi per questi SOC.

• Tipo 1 Report - Dimostra che i controlli interni di un'azienda sono adeguatamente progettati per soddisfare i principi di fiducia pertinenti. Questo Report non conferma l'efficacia dei controlli su un certo periodo.
• Tipo 2 Report - Dimostra inoltre che i controlli funzionano in modo efficace per un certo periodo.

Lo sapevi? Per dichiarare la conformità al SOC, i fornitori devono solo aver completato un Report SOC 1 di tipo 1, non la conformità SOC completa che include un Reportdi tipo 2. È importante chiedere a un fornitore se la sua conformità SOC include un Reportdi tipo 2. Solo così si ha la certezza che i controlli sono stati testati per un certo periodo di tempo.

Differenze tra le conformità SOC 1 e SOC 2

Quindi, ora che abbiamo delineato quali sono gli standard di conformità (SOC) più comuni, diamo un'occhiata alle differenze tra SOC 1 e SOC 2. SOC 1 – Un Report SOC 1 garantisce che le tue informazioni finanziarie vengano gestite in modo sicuro e protetto. La versione internazionale del Report SOC 1 è comunemente indicata come ISAE 3402. In genere, quando un fornitore afferma di essere conforme allo standard SOC 1, l'implicazione è che abbia completato sia il report di tipo 1 che quello di tipo 2. SOC 2 – Questo Report fornisce garanzie sugli ambienti di controllo in relazione al recupero, all'archiviazione, all'elaborazione e al trasferimento di dati. È qui che entrano in gioco i Trust Service Principles (TSP). SOC 2 Il report valuta la conformità di un'organizzazione in base a cinque criteri, comunemente denominati principi di servizio fiduciario (TSP). I cinque principi del servizio fiduciario sono:

1. Sicurezza– Le informazioni e i sistemi sono protetti contro l'accesso non autorizzato, la divulgazione non autorizzata di informazioni e i danni ai sistemi.
2. Disponibilità– Le informazioni e i sistemi sono disponibili per il funzionamento e l'uso.
3. Integrità del trattamento – L'elaborazione del sistema è completa, valida, accurata, tempestiva e autorizzata.
4. Riservatezza– Le informazioni designate come riservate sono protette.
5. Privacy– Le informazioni private vengono raccolte, utilizzate, conservate, divulgate ed eliminate.

Lo sapevi? Per dichiarare la conformità al SOC 2 Tipo 2 Report, i fornitori devono soddisfare almeno uno dei cinque TSP. È importante chiedere a un fornitore quali entità del servizio fiduciario vengono soddisfatte per un SOC 2 di tipo 2 Report. Assicurati di chiedere ai fornitori se hanno soddisfatto tutti e cinque i TSP come parte della loro conformità SOC 2.

Sicurezza e conformità cloud di Prophix

Comprendere le differenze tra SOC 1, SOC 2 e Report di tipo 1 e 2 ti aiuterà a fare una scelta informata quando scegli un fornitore di cloud SaaS. Tuttavia, ci sono molti altri aspetti della sicurezza e della conformità che dovresti considerare, tra cui la frequenza degli audit, i framework in cui il fornitore è certificato, chi fornisce la tecnologia cloud sottostante e quanto è semplificata l'autenticazione dell'utente finale. Per saperne di più su come orientarsi tra i fornitori di cloud presenti oggi sul mercato, leggi il nostro white paper su sicurezza e conformità. Prophix è certificata sia SOC 1 Tipo 1 e 2 che SOC 2 Tipo 1 e 2, il che significa che siamo conformi a tutti e cinque i principi di fiducia. Per ulteriori informazioni su Prophix Cloud, visitare il sito https://trust.prophix.com/.