Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Wettelijke naleving > SOC 2-rapporten gebruiken om uw bestand- en e-mailgegevenscommunicatie te beschermen
SOC 2-rapporten gebruiken om uw bestand- en e-mailgegevenscommunicatie te beschermen

SOC 2-rapporten gebruiken om uw bestand- en e-mailgegevenscommunicatie te beschermen

by Robert Dougherty updated september 1, 2022 Wettelijke naleving
Reading Time: 8 minutes

SOC 2-rapporten zijn een uitstekende manier om te bepalen hoe goed een organisatie de gegevens van haar klanten beschermt. Maar het opstellen van een rapport is misschien niet zo eenvoudig als je denkt.

Wat is SOC 2?

SOC 2 (System and Organization Controls 2) is een type auditproces dat de controles van een serviceorganisatie beoordeelt op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Het SOC 2-rapport wordt afgegeven door een onafhankelijke auditor na een evaluatie van de controleomgeving van de organisatie. Organisaties kunnen een SOC 2-audit ondergaan om hun inzet voor gegevensbeveiliging en naleving van regelgeving aan te tonen. SOC 2-rapporten worden vaak gebruikt door cloudserviceproviders, Software-as-a-Service (SaaS)-bedrijven en andere dienstverleners om klanten en stakeholders te verzekeren dat zij risico’s effectief beheren.

Wie heeft een SOC 2-rapport nodig?

Organisaties die een SOC 2-rapport nodig hebben zijn onder andere cloudserviceproviders, SaaS-leveranciers en organisaties die klantinformatie in de cloud opslaan. Een SOC 2-rapport bewijst dat de gegevens van een klant beschermd zijn en privé blijven voor onbevoegde gebruikers.

Wat is een SOC-rapport?

SOC-rapporten verifiëren een audit van beveiligingsmaatregelen voor belangrijke aanvalsoppervlakken. Geen enkele specifieke sector vereist deze rapporten, maar ze worden meestal gevraagd door bedrijven in de financiële sector, waaronder banken, investeringen, verzekeringen en beveiliging. Dus als je een technische dienstverlener bent (of zo’n leverancier inhuurt), is de kans groot dat een klant of zakenpartner een SOC-audit zal eisen.

Binnen het System and Organization Controls-framework zijn er drie verschillende soorten rapporten:

1. Soorten SOC-rapporten: SOC 1 vs. SOC 2 vs. SOC 3

SOC 1, 2 en 3 verwijzen allemaal naar de System and Organization Controls (SOC)-rapporten die zijn ontwikkeld door het American Institute of Certified Public Accountants (AICPA).

Het SOC 1-rapport richt zich op interne controles met betrekking tot het financiële rapportageproces, met specifieke nadruk op de controles die van invloed zijn op de financiële overzichten van een bedrijf. Het beschrijft de beveiligingsmaatregelen die een organisatie heeft geïmplementeerd met betrekking tot financiële rapportage. Deze rapporten, ook wel bekend als de Statement on Standards for Attestation Engagements (SSAE) 18, tonen aan dat de organisatie de bedrijfsprocessen en technische infrastructuur heeft om financiële gegevens correct te rapporteren. Binnen SOC 1-attestatie zijn er twee soorten rapporten:

  1. SOC 1 Type I: Beschrijft de rapportage- en auditcontroles die aanwezig zijn en hoe deze helpen om de vereiste rapportagedoelstellingen te bereiken
  2. SOC 1 Type II: Beschrijft de rapportage- en auditcontroles die aanwezig zijn, maar bevat ook een audit van de operationele effectiviteit van de organisatie of het vermogen om rapportage- en controledoelstellingen te behalen

 

Een SOC 2-rapport toont aan dat de controles van een organisatie voldoen aan de AICPA en hun Trust Service-criteria (zie hieronder). Het SOC 2-rapport is ontworpen om de interne controles te evalueren die samenhangen met de systemen die de bedrijfsvoering en beveiliging van een bedrijf vormen. Het geeft informatie over de effectiviteit van de aanwezige controles met betrekking tot vertrouwelijkheid, privacy en beveiliging van de systemen van het bedrijf. Het SOC 2-rapport is ontworpen om de interne controles te evalueren die samenhangen met de systemen die de bedrijfsvoering en beveiliging van een bedrijf vormen. Het geeft informatie over de effectiviteit van de aanwezige controles met betrekking tot vertrouwelijkheid, privacy en beveiliging van de systemen van het bedrijf.

Een SOC 2-rapport is verreweg het meest voorkomende rapport als het gaat om beveiliging en gegevensvertrouwelijkheid, en het rapport waarnaar je het vaakst zult verwijzen als het gaat om naleving van algemeen geaccepteerde privacycontroles. Een SOC 2-certificering biedt een extra laag van beveiliging en vertrouwen bij je klanten of partners. Veel dienstverleners in sectoren zoals de financiële sector, zorgprocessen en overheidsopdrachten streven daarom naar SOC 2-audits, zelfs als deze niet verplicht zijn.

Het SOC 3-rapport is een publieke versie van het SOC 2-rapport. Een SOC 3-rapport vat een SOC 2-rapport samen, maar richt zich op een breder publiek (zoals stakeholders van het bedrijf) in plaats van een technisch publiek. Dit rapport is een subset van het SOC 2-rapport en is bedoeld voor openbaar gebruik. Het biedt de zekerheid dat de systemen van het bedrijf voldoen aan bepaalde normen voor beveiliging, privacy en vertrouwelijkheid, maar bevat geen specifieke details of resultaten van de evaluatie.

2. SOC 2 Type II: De ultieme SOC-naleving

SOC 2 Type II-naleving biedt een hoger niveau van zekerheid dan andere typen SOC-naleving. SOC 2 Type II-naleving vereist een onafhankelijke audit die de interne controles van de organisatie beoordeelt gedurende minimaal zes maanden. Deze audit omvat niet alleen de technologie en processen binnen de organisatie, maar ook het beleid van de organisatie op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. De audit beoordeelt of deze controles gedurende de periode effectief functioneren en biedt zekerheid dat de controles voldoen aan de gestelde doelstellingen van de organisatie. Het biedt ook zekerheid aan klanten en andere stakeholders dat de organisatie passende maatregelen neemt om hun gegevens te beschermen. SOC 2 Type II is het meest uitgebreide type SOC-naleving en biedt het hoogste niveau van zekerheid voor organisaties.

SOC 2-rapporten tonen de uitgebreide beveiligings- en rapportagecontroles aan die een IT-leverancier of -provider heeft geïmplementeerd om vertrouwelijke gegevens te beschermen. SOC-vereisten zijn gebaseerd op de vijf Trust Service-criteria:

1. Privacy in SOC 2

Hoe gegevens worden verzameld, gebruikt, bewaard en openbaar gemaakt als onderdeel van het gebruik door een organisatie.

2. Vertrouwelijkheid in SOC 2

Gegevens die als vertrouwelijk zijn aangemerkt, blijven vertrouwelijk tijdens het gebruik door een organisatie.

3. Beveiliging in SOC 2

Gegevens zijn beschermd tegen ongeautoriseerde toegang, diefstal, datalek of openbaarmaking, ook wel de “common criteria” genoemd.

4. Verwerkingsintegriteit in SOC 2

Alle gegevensverwerkende systemen zijn volledig, geldig, accuraat en tijdig op basis van de behoeften van een organisatie.

5. Beschikbaarheid in SOC 2

Gegevens zijn zichtbaar en direct beschikbaar als onderdeel van de bedrijfsprocessen.

Deze criteria behandelen verschillende vormen van beveiligingsmaatregelen, en een attestatie is een bewijs dat de organisatie deze maatregelen implementeert.

Niet elk SOC 2-rapport behandelt of attesteert al deze criteria. Elk criterium weerspiegelt echter de volledigheid en grondigheid van het IT-systeem van een organisatie (zoals het betrekking heeft op dat specifieke criterium). De beveiligingscriteria worden verreweg het vaakst geaudit, vooral bij een eerste attestatie.

Bovendien zijn er twee verschillende typen SOC 2-rapporten:

  1. Type I biedt een “momentopname” van het systeem van een organisatie in relatie tot specifieke criteria, in feite een “as of”-datum die de naleving bevestigt.
  2. Type II biedt een meer diepgaand rapport dat een grondig onderzoek omvat van beveiligingsmaatregelen, interne beleidsregels en procedures over een bepaalde periode. Type II-rapporten worden vaak gezien als een meer volledige vorm van attestatie.

Wat is de reikwijdte van het SOC 2 Type II-rapport?

De reikwijdte van een SOC 2 Type II-rapport richt zich op hoe het systeem van een serviceorganisatie is ontworpen en wordt beheerd om te voldoen aan de toepasselijke trust service-principes en criteria. Deze principes en criteria zijn gerelateerd aan beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van klantgegevens. Een SOC 2 Type II-rapport biedt een diepgaand onderzoek naar het ontwerp en de werking van de maatregelen die de serviceorganisatie heeft genomen om klantgegevens te beschermen. De serviceorganisatie moet aantonen dat de maatregelen passend zijn ontworpen en effectief werken om te voldoen aan de trust service-criteria.

Het is belangrijk om te weten dat SOC 2 Type II-rapporten niet bedoeld zijn als vervanging van andere audit- of assurance-diensten, zoals traditionele systeem- en/of financiële audits, penetratietests of kwetsbaarheidsbeoordelingen. Ze vullen deze diensten juist aan met een focus op de maatregelen en werking van de informatiesystemen van een serviceorganisatie. Dit biedt zekerheid dat de serviceorganisatie zich houdt aan de trust service-principes en criteria en helpt de beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van klantgegevens te waarborgen.

Het proces om SOC 2-gecertificeerd te worden

Hier is een “snelle en eenvoudige” checklist voor organisaties die SOC 2-gecertificeerd willen worden of dit moeten zijn:

1. Begrijp de vereisten van SOC 2

Maak jezelf vertrouwd met de standaarden en criteria van de Trust Services Criteria (TSC) voor SOC 2-naleving.

2. Voer een pre-assessment van SOC 2 uit

Laat een onafhankelijke audit of beoordeling uitvoeren van je huidige beleid, procedures en andere relevante gebieden voor SOC 2-naleving.

3. Ontwikkel een actieplan voor SOC 2

Maak een stappenplan om SOC 2-naleving te bereiken, inclusief alle noodzakelijke stappen en tijdlijnen.

4. Implementeer een auditframework voor SOC 2

Ontwikkel en onderhoud een systeem van beleid en procedures dat in overeenstemming is met de vereisten van de TSC. Dit omvat een risicobeoordeling van de gebruikte technologie, een beoordeling van beveiligingsinstellingen en het doorvoeren van noodzakelijke wijzigingen.

5. Onderga een SOC 2-audit

Dit wordt doorgaans uitgevoerd door een onafhankelijke externe auditfirma. De audit beoordeelt je maatregelen en processen en bepaalt uiteindelijk of je voldoet aan de criteria voor SOC 2-naleving.

6. Monitor en onderhoud de SOC 2-naleving

Beoordeel en actualiseer regelmatig je systeemmaatregelen en processen om ervoor te zorgen dat ze blijven voldoen aan de SOC 2-standaarden.

Hoe lang is een SOC 2 Type II-rapport geldig?

Een SOC 2 Type II-rapport is één jaar geldig vanaf de datum van afgifte, mits er geen significante wijzigingen zijn in het onderzochte systeem of de procedures. Het is belangrijk om te weten dat het rapport alleen van toepassing is op de specifieke componenten en processen die tijdens de audit zijn geëvalueerd, en het is geen algemene goedkeuring van de algehele beveiligingsstatus van een organisatie. Om de geldigheid van het rapport te behouden, moeten organisaties ervoor zorgen dat alle als onderdeel van de audit beoordeelde maatregelen gedurende het jaar effectief blijven. Als er wijzigingen worden aangebracht in het onderzochte systeem of de procedures, is een bijgewerkt rapport vereist om deze wijzigingen te weerspiegelen.

Wat is een SOC 2 Type II-audit?

Een SOC 2 Type II-audit is een diepgaande beoordeling van de maatregelen en processen van een serviceorganisatie met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van een systeem. Het is specifieker en meer gefocust dan een Type I-audit en kan meerdere locaties, processen en systemen omvatten. De audit beslaat een periode van minimaal zes maanden, waardoor de auditor de details van de serviceorganisatie over die periode kan beoordelen. Daarnaast beoordeelt de auditor het ontwerp en de operationele effectiviteit van de aanwezige maatregelen.

Beste practices voor SOC 2-naleving

Het is belangrijk om vooraf de reikwijdte van de audit te bepalen. Niet elk bedrijf of contract vereist naleving van elk Trust Criteria (hoewel beveiliging meestal wordt gebruikt). Als je de reikwijdte of behoeften van een audit niet begrijpt, kan je organisatie waardevolle tijd en middelen verspillen aan het najagen van attestaties die niet nodig zijn.

Het is uiteraard van groot belang dat je je technische infrastructuur begrijpt voordat je aan een audit begint. Als je bijvoorbeeld geen compliant software gebruikt, moet je die uiteraard upgraden. Als je een extern platform of SaaS-product gebruikt, moeten deze oplossingen compliant zijn.

Je hebt echter mogelijk nooit een SOC 2-attestatie nodig. Een IT-bedrijf dat actief is in zorgprocessen moet bijvoorbeeld voldoen aan HIPAA-vereisten en deze kunnen voldoende zijn. Covered Entities (CE’s) zoals ziekenhuizen of verzekeringsmaatschappijen kunnen desondanks een SOC-audit eisen om een extra niveau van controle op je beveiligingssystemen te waarborgen. Hetzelfde geldt voor een bedrijf in de financiële sector dat betalingsinformatie verwerkt. Hoewel ze mogelijk voldoen aan de Payment Card Industry Data Security Standard (PCI DSS)-vereisten, kunnen ze er ook voor kiezen om SOC 2-audits te ondergaan voor extra geloofwaardigheid.

Kiteworks Private Content Network SOC 2-gecertificeerd

Voor organisaties die gevoelige communicatie van content vereisen die SOC 2-gecertificeerd is, is Kiteworks een uitstekende optie. Kiteworks heeft zes opeenvolgende jaren een SOC 2-certificering ontvangen en beschikt over diverse andere nalevingsprestaties, zoals FedRAMP-autorisatie voor Moderate Level Impact, ISO 27001, 27017 en 27018, Cyber Essentials Plus en Infosec Registered Assessors Program (IRAP) ASSESSED tegen PROTECTED level controls.

Een van de belangrijkste factoren die bijdragen aan de SOC 2-certificering van Kiteworks is het gebruik van een hardened virtual appliance die het Private Content Network omhult. De hardened virtual appliance van Kitework maakt gebruik van meerdere beveiligingslagen, waaronder firewalls, inbraakdetectie- en preventiesystemen en endpointbescherming, om de kwetsbaarheid voor exploits en de impact van cyberaanvallen te verminderen. Kiteworks voldoet ook aan strenge SOC 2-nalevingsnormen in de vijf categorieën die zijn vastgesteld door de AICPA: Security, Availability, Processing Integrity, Confidentiality en Privacy.

Beveiligingsmaatregelen zijn aanwezig om ervoor te zorgen dat het platform beschermd is tegen ongeautoriseerde toegang en wordt continu gemonitord en geaudit op verdachte activiteiten. Beschikbaarheid is gegarandeerd 24/7/365 en het platform biedt verwerkingsintegriteit die volledig, accuraat, tijdig en geautoriseerd is. Vertrouwelijke informatie wordt beschermd en persoonlijke informatie wordt met de grootst mogelijke zorg behandeld, in overeenstemming met de richtlijnen van AICPA en CICA.

Naast de strenge SOC 2-nalevingsnormen maakt Kiteworks ook gebruik van continue monitoring en rapportage om klantgegevens te beschermen. Dit omvat zichtbaarheid van contentopslag, toegang en gebruik, evenals gedetailleerde, controleerbare rapportages. De gegevensbescherming van Kiteworks wordt ook gevalideerd door SOC 2-nalevingscertificeringen en periodieke externe beoordelingen volgens SAS 70 Type II.

Organisaties die meer willen weten over het Kiteworks Private Content Network kunnen vandaag nog een op maat gemaakte demo aanvragen.

 

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks