SOC 2 Amerika’da ve Amerika’ya hizmet veren firmaların kullandığı Bilgi Güvenliği Yönetimi Çerçevesidir. Yıllık olarak denetim yapılması sonrasında rapor hazırlanır, bu rapora Assessment adı verilir. Ön hazırlık (readiness) ile birlikte yaklaşık 12 haftalık bir süreçtir. Hazırlanan raporun geçerliliği 1 yıl olup, her yıl tekrarlanması gerekir. Ancak takip eden yıllarda ilk yıl kadar iş yükü yoktur, süreç daha kısa olmaktadır.
Bu içeriğimizde size 5 kritik noktasından bahsedeceğiz.
SOC 2 bir satıcının, mevcut sistemlere ve süreçlere dayalı olarak beş güven ilkesinden bir veya daha fazlasına ne ölçüde uyduğunu değerlendirirler.
Bu güven ilkeleri şunlardır:
1. Güvenlik
Güvenlik ilkesi, sistem kaynaklarının yetkisiz erişime karşı korunmasını ifade eder. Erişim kontrolleri, olası sistem suistimalini, verilerin çalınmasını veya yetkisiz olarak kaldırılmasını, yazılımın kötüye kullanılmasını ve bilgilerin uygunsuz değiştirilmesini veya ifşa edilmesini önlemeye yardımcı olur.
Ağ ve web uygulaması güvenlik duvarları (WAF’ler), iki faktörlü kimlik doğrulama ve izinsiz giriş tespiti gibi BT güvenlik araçları, sistemlere ve verilere yetkisiz erişime yol açabilecek güvenlik ihlallerini önlemede faydalıdır.
2. Kullanılabilirlik
Kullanılabilirlik ilkesi, bir sözleşme veya hizmet düzeyi sözleşmesi (SLA) tarafından şart koşulan sistem, ürün veya hizmetlerin erişilebilirliğini ifade eder. Bu nedenle, sistem kullanılabilirliği için kabul edilebilir minimum performans düzeyi her iki tarafça belirlenir.
Bu ilke, sistem işlevselliğini ve kullanılabilirliğini ele almaz, ancak kullanılabilirliği etkileyebilecek güvenlikle ilgili kriterleri içerir. Ağ performansının ve kullanılabilirliğinin izlenmesi, site yük devretme ve güvenlik olayının ele alınması bu bağlamda kritik öneme sahiptir.
3. İşleme bütünlüğü
İşleme bütünlüğü ilkesi, bir sistemin amacına ulaşıp ulaşmadığını (yani, doğru verileri doğru zamanda doğru fiyata teslim edip etmediğini) ele alır. Buna göre, veri işlemenin eksiksiz, geçerli, doğru, zamanında ve yetkilendirilmiş olması gerekir.
Ancak, işleme bütünlüğü mutlaka veri bütünlüğü anlamına gelmez. Veriler, sisteme girilmeden önce hatalar içeriyorsa, bunları tespit etmek genellikle işleyen varlığın sorumluluğunda değildir. Kalite güvence prosedürleriyle birlikte veri işlemenin izlenmesi, işleme bütünlüğünün sağlanmasına yardımcı olabilir.
4. Mahremiyet
Erişimi ve ifşası belirli bir grup kişi veya kuruluşla sınırlıysa, veriler gizli olarak kabul edilir. Örnekler, yalnızca şirket personeline yönelik verileri, ayrıca iş planlarını, fikri mülkiyeti, şirket içi fiyat listelerini ve diğer hassas finansal bilgileri içerebilir.
Şifreleme, iletim sırasında gizliliği korumak için önemli bir kontroldür. Ağ ve uygulama güvenlik duvarları, sıkı erişim kontrolleriyle birlikte, bilgisayar sistemlerinde işlenen veya depolanan bilgileri korumak için kullanılabilir.
5. Gizlilik
Gizlilik ilkesi, sistemin kişisel bilgilerin bir kuruluşun gizlilik bildirimine ve ayrıca AICPA’nın genel kabul görmüş gizlilik ilkelerinde (GAPP) belirtilen kriterlere uygun olarak toplanması, kullanılması, saklanması, ifşa edilmesi ve elden çıkarılmasına yöneliktir.
Kişisel olarak tanımlanabilir bilgiler (PII), bir kişiyi ayırt edebilecek ayrıntılara atıfta bulunur (ör. ad, adres, Sosyal Güvenlik numarası). Sağlık, ırk, cinsellik ve din ile ilgili bazı kişisel veriler de hassas olarak kabul edilir ve genellikle ekstra bir koruma düzeyi gerektirir. Tüm PII’leri yetkisiz erişime karşı korumak için kontroller yerleştirilmelidir.
