Développé par l'American Institute of CPAs (AICPA), SOC 2 définit les critères de gestion des données des clients sur la base de cinq "principes de service de confiance" : sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée.

Contrairement à PCI DSS, dont les exigences sont très rigides, les rapports SOC 2 sont propres à chaque organisation. Conformément aux pratiques commerciales spécifiques, chaque organisation conçoit ses propres contrôles pour se conformer à un ou plusieurs des principes de confiance.

Ces rapports internes vous fournissent (ainsi qu'aux régulateurs, aux partenaires commerciaux, aux fournisseurs, etc.) des informations importantes sur la manière dont votre fournisseur de services gère les données.

• Le type I décrit les systèmes d'un fournisseur et indique si leur conception permet de respecter les principes de confiance applicables.
• Le type II détaille l'efficacité opérationnelle de ces systèmes.

 

Certification SOC2

La certification SOC 2 est délivrée par des auditeurs externes. Ils évaluent le degré de conformité d'un fournisseur à un ou plusieurs des cinq principes de confiance sur la base des systèmes et processus en place.

1. La sécurité

Le principe de sécurité fait référence à la protection des ressources du système contre les accès non autorisés. Les contrôles d'accès permettent d'éviter les abus potentiels du système, le vol ou la suppression non autorisée de données, l'utilisation abusive de logiciels et la modification ou la divulgation inappropriée d'informations.

Les outils de sécurité informatique tels que les pare-feu de réseau et d'application web (WAF), l'authentification à deux facteurs et la détection d'intrusion sont utiles pour prévenir les failles de sécurité susceptibles d'entraîner un accès non autorisé aux systèmes et aux données.

2. Disponibilité

Le principe de disponibilité fait référence à l'accessibilité du système, des produits ou des services comme stipulé dans un contrat ou un accord de niveau de service (SLA). En tant que tel, le niveau de performance minimum acceptable pour la disponibilité du système est fixé par les deux parties.

Ce principe ne concerne pas la fonctionnalité et la facilité d'utilisation du système, mais fait intervenir des critères liés à la sécurité qui peuvent avoir une incidence sur la disponibilité. Le contrôle des performances et de la disponibilité du réseau, le basculement du site et le traitement des incidents de sécurité sont essentiels dans ce contexte.

3. Intégrité de la transformation

Le principe d'intégrité du traitement vise à déterminer si un système atteint ou non son objectif (c'est-à-dire s'il fournit les bonnes données au bon prix et au bon moment). En conséquence, le traitement des données doit être complet, valide, exact, opportun et autorisé.

Toutefois, l'intégrité du traitement n'implique pas nécessairement l'intégrité des données. Si les données contiennent des erreurs avant d'être introduites dans le système, leur détection ne relève généralement pas de la responsabilité de l'entité chargée du traitement. Le contrôle du traitement des données, associé à des procédures d'assurance qualité, peut contribuer à garantir l'intégrité du traitement.

4. La confidentialité

Les données sont considérées comme confidentielles si leur accès et leur divulgation sont limités à un ensemble spécifique de personnes ou d'organisations. Il peut s'agir, par exemple, de données destinées uniquement au personnel de l'entreprise, de plans d'affaires, de propriété intellectuelle, de listes de prix internes et d'autres types d'informations financières sensibles.

Le cryptage est un contrôle important pour protéger la confidentialité pendant la transmission. Les pare-feu de réseau et d'application, ainsi que des contrôles d'accès rigoureux, peuvent être utilisés pour protéger les informations traitées ou stockées sur les systèmes informatiques.

5. Protection de la vie privée

Le principe de confidentialité porte sur la collecte, l'utilisation, la conservation, la divulgation et l'élimination des informations personnelles conformément à l'avis de confidentialité de l'organisation et aux critères énoncés dans les principes de confidentialité généralement acceptés (GAPP) de l'AICPA.

Les informations personnelles identifiables (IPI) font référence aux détails qui permettent de distinguer une personne (par exemple, le nom, l'adresse, le numéro de sécurité sociale). Certaines données personnelles relatives à la santé, à la race, à la sexualité et à la religion sont également considérées comme sensibles et nécessitent généralement un niveau de protection supplémentaire. Des contrôles doivent être mis en place pour protéger toutes les IPI contre un accès non autorisé.

L'importance de la conformité SOC 2

Bien que la conformité à la norme SOC 2 ne soit pas une obligation pour les fournisseurs de SaaS et d'informatique en nuage, son rôle dans la sécurisation de vos données ne peut être surestimé.

La division Enterprise IT (Summit) fait l'objet d'audits réguliers pour s'assurer que les exigences de chacun des cinq principes de confiance sont respectées et que nous restons conformes à la norme SOC 2. La conformité s'étend à tous les services que nous fournissons, y compris la sécurité des applications web, la protection DDoS, la diffusion de contenu via notre CDN, l'équilibrage de charge et l'analyse des attaques.