Sicurezza del cloud 101: tutte le nozioni di base da conoscere

È facile essere intimiditi dall'enorme quantità di acronimi che esistono nel settore della sicurezza e della conformità. Questi acronimi rendono difficile sapere cosa cercare quando si sceglie un fornitore di software-as-a-service (SaaS) Cloud. In fin dei conti, si vuole avere la certezza che i propri dati siano sicuri e protetti. Ecco perché vorremmo demistificare il processo di valutazione e spiegare cosa cercare quando si confrontano e si valutano i fornitori di cloud SaaS. In questo blog illustreremo gli standard di conformità e il loro impatto sulla sicurezza del cloud.

Cosa sono gli standard di conformità?

Alcuni degli acronimi più comuni in cui ci si può imbattere sono Security Operations Center (SOC) e Trust Service Principles (TSP). La responsabilità di un Security Operations Center (SOC) è quella di monitorare e analizzare la posizione di sicurezza di un'organizzazione su base continuativa. I rapporti del SOC forniscono garanzie sugli ambienti di controllo in relazione al recupero, all'archiviazione, all'elaborazione e al trasferimento dei dati. Esistono diversi report che dimostrano che un'organizzazione è in regola. È importante che i rapporti SOC 1 e SOC 2 siano completi.

• Rapporto di tipo 1 - Dimostra che i controlli interni di un'azienda sono progettati correttamente per soddisfare i principi fiduciari pertinenti. Questo rapporto non conferma l'efficacia dei controlli per un periodo.
• Rapporto di tipo 2 - Dimostra ulteriormente che i controlli funzionano efficacemente per un periodo.

Lo sapevate? Per dichiarare la conformità al SOC, i fornitori devono solo aver completato un report SOC 1 di tipo 1, e non la conformità completa al SOC, che include un report di tipo 2. È importante chiedere a un fornitore se la sua conformità SOC include un report di tipo 2. Solo in questo modo avrete la certezza che i fornitori siano in grado di garantire il funzionamento efficace del SOC. Solo così avrete la certezza che i controlli siano stati testati per un certo periodo di tempo.

Differenze tra le conformità SOC 1 e SOC 2

Ora che abbiamo delineato quali sono gli standard di conformità più comuni (SOC), analizziamo le differenze tra SOC 1 e SOC 2. SOC 1 - Un rapporto SOC 1 garantisce che le informazioni finanziarie vengono gestite in modo sicuro e protetto. La versione internazionale del rapporto SOC 1 è comunemente nota come ISAE 3402. In genere, quando un fornitore dichiara di essere conforme al SOC 1, significa che ha compilato sia il report di tipo 1 che quello di tipo 2. SOC 2 - Questo rapporto fornisce garanzie sugli ambienti di controllo in relazione al reperimento, all'archiviazione, all'elaborazione e al trasferimento dei dati. È qui che entrano in gioco i Trust Service Principles (TSP). I rapportiSOC 2 valutano la conformità di un'organizzazione rispetto a cinque criteri, comunemente denominati Trust Service Principles (TSP). I cinque principi del servizio di fiducia sono:

1. Sicurezza - Le informazioni e i sistemi sono protetti da accessi non autorizzati, divulgazione non autorizzata di informazioni e danni ai sistemi.
2. Disponibilità - Le informazioni e i sistemi sono disponibili per il funzionamento e l'uso.
3. Integrità dell'elaborazione - L'elaborazione del sistema è completa, valida, accurata, tempestiva e autorizzata.
4. Riservatezza - Le informazioni designate come riservate sono protette.
5. Privacy - Le informazioni personali vengono raccolte, utilizzate, conservate, divulgate e smaltite.

Lo sapevate? Per dichiarare la conformità al rapporto SOC 2 di tipo 2, i fornitori devono soddisfare almeno uno dei cinque TSP. È importante chiedere al fornitore quali sono i principi del servizio fiduciario che vengono rispettati per ottenere un report SOC 2 di tipo 2. Assicuratevi di chiedere ai fornitori se hanno soddisfatto tutti e cinque i TSP nell'ambito della loro conformità SOC 2.

Sicurezza e conformità del cloud di Prophix

Comprendere le differenze tra i rapporti SOC 1, SOC 2 e i rapporti di tipo 1 e 2 vi aiuterà a fare una scelta informata quando sceglierete un fornitore SaaS Cloud. Tuttavia, ci sono molti altri aspetti della sicurezza e della conformità da considerare, tra cui la frequenza degli audit, i framework in cui il fornitore è certificato, chi fornisce la tecnologia cloud sottostante e la facilità di autenticazione degli utenti finali. Per saperne di più su come orientarsi tra i fornitori di cloud presenti oggi sul mercato, leggete il nostro whitepaper su sicurezza e conformità. Prophix ha ottenuto la certificazione SOC 1 Tipo 1 e 2 e SOC 2 Tipo 1 e 2, il che significa che siamo conformi a tutti e cinque i principi di fiducia. Per maggiori informazioni su Prophix Cloud, visitate il sito https://trust.prophix.com/.