Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Wettelijke naleving > Gebruik van SOC 2-rapporten om uw bestand- en e-mailgegevenscommunicatie te beveiligen
Gebruik van SOC 2-rapporten om uw bestand- en e-mailgegevenscommunicatie te beveiligen

Gebruik van SOC 2-rapporten om uw bestand- en e-mailgegevenscommunicatie te beveiligen

by Robert Dougherty updated september 1, 2022 Wettelijke naleving
Reading Time: 9 minutes

SOC 2-rapporten zijn een uitstekende manier om te bepalen hoe goed een organisatie de gegevens van haar klanten beschermt. Maar het opstellen van een rapport is misschien niet zo eenvoudig als je denkt.

Wat is SOC 2?

SOC 2 (System and Organization Controls 2) is een type auditproces dat de controles van een serviceorganisatie beoordeelt met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Het SOC 2-rapport wordt afgegeven door een onafhankelijke auditor na een evaluatie van de controleomgeving van de organisatie. Organisaties kunnen een SOC 2-audit ondergaan om hun inzet voor gegevensbeveiliging en naleving van wettelijke vereisten aan te tonen. SOC 2-rapporten worden vaak gebruikt door cloudserviceproviders, Software-as-a-Service (SaaS)-bedrijven en andere dienstverleners om klanten en belanghebbenden te verzekeren dat zij risico’s effectief beheren.

Wie heeft een SOC 2-rapport nodig?

Organisaties die een SOC 2-rapport nodig hebben zijn onder andere cloudserviceproviders, SaaS-aanbieders en organisaties die klantinformatie in de cloud opslaan. Een SOC 2-rapport bewijst dat de gegevens van een klant worden beschermd en privé blijven voor onbevoegde gebruikers.

Wat is een SOC-rapport?

SOC-rapporten verifiëren een audit van beveiligingsmaatregelen voor belangrijke aanvalsvlakken. Geen enkele specifieke sector vereist deze rapporten, maar ze worden meestal gevraagd door bedrijven in de financiële sector, waaronder banken, investeringen, verzekeringen en beveiliging. Dus als je een technische dienstverlener bent (of zo’n aanbieder inhuurt), is de kans groot dat een klant of zakenpartner een SOC-audit zal vereisen.

Binnen het System and Organization Controls-framework zijn er drie verschillende typen rapporten:

1. Typen SOC-rapporten: SOC 1 vs. SOC 2 vs. SOC 3

SOC 1, 2 en 3 verwijzen allemaal naar de System and Organization Controls (SOC)-rapporten die zijn ontwikkeld door het American Institute of Certified Public Accountants (AICPA).

Het SOC 1-rapport richt zich op interne controles met betrekking tot het financiële rapportageproces, met specifieke nadruk op de controles die invloed hebben op de financiële overzichten van een bedrijf. Het beschrijft de beveiligingsmaatregelen die door een organisatie zijn geïmplementeerd met betrekking tot financiële rapportage. Deze rapporten, ook wel bekend als de Statement on Standards for Attestation Engagements (SSAE) 18, tonen aan dat de organisatie de bedrijfsprocessen en technische infrastructuur heeft om financiële gegevens correct te rapporteren. Binnen SOC 1-attestatie zijn er twee typen rapporten:

  1. SOC 1 Type I: Beschrijft de rapportage- en auditcontroles die aanwezig zijn en hoe deze helpen om de vereiste rapportagedoelstellingen te bereiken
  2. SOC 1 Type II: Beschrijft de rapportage- en auditcontroles die aanwezig zijn, maar omvat ook een audit van de operationele effectiviteit van de organisatie of het vermogen om rapportage- en controledoelstellingen te behalen

Een SOC 2-rapport toont aan dat de controles van een organisatie voldoen aan de AICPA en hun Trust Service-criteria (zie hieronder). Het SOC 2-rapport is ontworpen om de interne controles te evalueren die samenhangen met de systemen die de bedrijfsvoering en beveiliging van een bedrijf vormen. Het biedt informatie over de effectiviteit van de aanwezige controles met betrekking tot vertrouwelijkheid, privacy en beveiliging van de systemen van het bedrijf. Het SOC 2-rapport is ontworpen om de interne controles te evalueren die samenhangen met de systemen die de bedrijfsvoering en beveiliging van een bedrijf vormen. Het biedt informatie over de effectiviteit van de aanwezige controles met betrekking tot vertrouwelijkheid, privacy en beveiliging van de systemen van het bedrijf.

Een SOC 2-rapport is veruit het meest voorkomende rapport als het gaat om beveiliging en gegevensvertrouwelijkheid, en het rapport waarnaar je het vaakst zult verwijzen in termen van naleving van algemeen geaccepteerde privacycontroles. Een SOC 2-certificering biedt een extra laag van beveiliging en vertrouwen met je klanten of partners. Veel dienstverleners in sectoren zoals de financiële sector, zorgprocessen en overheidsopdrachten streven daarom naar SOC 2-audits, zelfs als deze niet verplicht zijn.

Het SOC 3-rapport is een publieke versie van het SOC 2-rapport. Een SOC 3-rapport vat een SOC 2-rapport samen, maar richt zich op een breder publiek (zoals bedrijfsaandeelhouders) in plaats van een technisch publiek. Dit rapport is een subset van het SOC 2-rapport en bedoeld voor openbaar gebruik. Het biedt zekerheid dat de systemen van het bedrijf aan bepaalde normen voor beveiliging, privacy en vertrouwelijkheid voldoen, maar bevat geen specifieke details of resultaten van de evaluatie.

2. SOC 2 Type II: Het ultieme in SOC-naleving

SOC 2 Type II-naleving biedt een hoger niveau van zekerheid dan andere typen SOC-naleving. SOC 2 Type II-naleving vereist een onafhankelijke audit die de interne controles van de organisatie beoordeelt over een periode van minimaal zes maanden. Deze audit bestrijkt niet alleen de technologie en processen binnen de organisatie, maar ook het beleid van de organisatie met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. De audit beoordeelt of deze controles gedurende de periode effectief werken en biedt zekerheid dat de controles voldoen aan de gestelde doelstellingen van de organisatie. Het biedt ook zekerheid aan klanten en andere belanghebbenden dat de organisatie passende stappen onderneemt om hun gegevens te beschermen. SOC 2 Type II is het meest uitgebreide type SOC-naleving en biedt het hoogste niveau van zekerheid voor organisaties.

SOC 2-rapporten tonen de uitgebreide beveiligings- en rapportagecontroles aan die een IT-leverancier of aanbieder heeft geïmplementeerd om vertrouwelijke gegevens te beschermen. SOC-vereisten zijn gebaseerd op de vijf Trust Service-criteria:

1. Privacy in SOC 2

Hoe gegevens worden verzameld, gebruikt, bewaard en openbaar gemaakt als onderdeel van het gebruik door een organisatie.

2. Vertrouwelijkheid in SOC 2

Gegevens die als vertrouwelijk zijn aangemerkt, blijven vertrouwelijk tijdens het gebruik door een organisatie.

3. Beveiliging in SOC 2

Gegevens worden beschermd tegen onbevoegde toegang, diefstal, datalek of openbaarmaking, ook wel de “common criteria” genoemd.

4. Verwerkingsintegriteit in SOC 2

Alle gegevensverwerkende systemen zijn volledig, geldig, accuraat en tijdig op basis van de behoeften van de organisatie.

5. Beschikbaarheid in SOC 2

Gegevens zijn zichtbaar en direct beschikbaar als onderdeel van de bedrijfsprocessen.

Deze criteria behandelen diverse vormen van beveiligingscontroles, en een attestatie is een bewijs dat de organisatie deze controles implementeert.

Niet elk SOC 2-rapport behandelt of attesteert al deze criteria. Elk criterium weerspiegelt echter de volledigheid en grondigheid van het IT-systeem van een organisatie (voor zover het dat specifieke criterium betreft). De beveiligingscriteria worden veruit het vaakst geaudit, met name bij een eerste attestatie.

Bovendien zijn er twee verschillende typen SOC 2-rapporten:

  1. Type I biedt een “momentopname” van het systeem van een organisatie met betrekking tot specifieke criteria, feitelijk een “as of”-datum die de naleving bevestigt.
  2. Type II biedt een diepgaander rapport dat een grondig onderzoek omvat van beveiligingscontroles, interne beleidsregels en procedures over een bepaalde periode. Type II-rapporten worden vaak gezien als een meer volledige vorm van attestatie.

Wat is de reikwijdte van het SOC 2 Type II-rapport?

De reikwijdte van een SOC 2 Type II-rapport richt zich op hoe het systeem van een serviceorganisatie is ontworpen en wordt beheerd om te voldoen aan de toepasselijke trust service-principes en criteria. Deze principes en criteria hebben betrekking op beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van klantgegevens. Een SOC 2 Type II-rapport biedt een diepgaand onderzoek naar het ontwerp en de werking van de controles die de serviceorganisatie heeft geïmplementeerd om klantgegevens te beschermen. De serviceorganisatie moet aantonen dat de controles geschikt zijn ontworpen en effectief werken om aan de trust service-criteria te voldoen.

Het is belangrijk op te merken dat SOC 2 Type II-rapporten niet bedoeld zijn ter vervanging van andere audit- of assurance-diensten, zoals traditionele systeem- en/of financiële audits, penetratietests of kwetsbaarheidsbeoordelingen. In plaats daarvan vullen ze deze diensten aan met een focus op de controles en werking van de informatiesystemen van een serviceorganisatie. Dit biedt zekerheid dat de serviceorganisatie zich houdt aan de trust service-principes en criteria en helpt de beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van klantgegevens te waarborgen.

Het proces om SOC 2-gecertificeerd te worden

Hier is een “quick and dirty” checklist voor organisaties die SOC 2-gecertificeerd willen worden of dit moeten zijn:

1. Begrijp de vereiste van SOC 2

Maak jezelf vertrouwd met de standaarden en criteria van de Trust Services Criteria (TSC) voor SOC 2-naleving.

2. Voer een pre-assessment van SOC 2 uit

Laat een onafhankelijke audit of beoordeling uitvoeren van je huidige beleid, procedures en andere relevante gebieden voor SOC 2-naleving.

3. Ontwikkel een actieplan voor SOC 2

Stel een stappenplan op om SOC 2-naleving te bereiken, inclusief alle noodzakelijke stappen en tijdlijnen.

4. Implementeer een auditframework voor SOC 2

Ontwikkel en onderhoud een systeem van beleid en procedures in overeenstemming met de vereiste van de TSC. Dit omvat een risicobeoordeling van de gebruikte technologie, een beoordeling van de beveiligingsinstellingen en het doorvoeren van eventuele noodzakelijke wijzigingen.

5. Onderga een SOC 2-audit

Dit wordt doorgaans uitgevoerd door een onafhankelijke externe auditfirma. De audit beoordeelt je controles en processen en bepaalt uiteindelijk of je voldoet aan de criteria voor SOC 2-naleving.

6. Monitor en onderhoud SOC 2-naleving

Beoordeel en actualiseer regelmatig je systeemcontroles en processen om te waarborgen dat ze blijven voldoen aan de SOC 2-standaarden.

Hoe lang is een SOC 2 Type II-rapport geldig?

Een SOC 2 Type II-rapport is één jaar geldig vanaf de datum van afgifte, mits er geen significante wijzigingen zijn in het onderzochte systeem of de procedures. Het is belangrijk te weten dat het rapport alleen van toepassing is op de specifieke componenten en processen die binnen de scope van de audit zijn geëvalueerd, en het is geen algemene goedkeuring van de algehele beveiligingsstatus van een organisatie. Om de geldigheid van het rapport te behouden, moeten organisaties ervoor zorgen dat alle als onderdeel van de audit beoordeelde controles gedurende het jaar effectief blijven. Als er wijzigingen worden aangebracht in het onderzochte systeem of de procedures, is een bijgewerkt rapport vereist om deze wijzigingen te weerspiegelen.

Wat is een SOC 2 Type II-audit?

Een SOC 2 Type II-audit is een diepgaande beoordeling van de controles en processen van een serviceorganisatie met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van een systeem. Het is specifieker en gerichter dan een Type I-audit en kan meerdere locaties, processen en systemen omvatten. De audit beslaat een periode van minimaal zes maanden, waardoor de auditor de details van de serviceorganisatie gedurende die periode kan beoordelen. Daarnaast zal de auditor het ontwerp en de operationele effectiviteit van de aanwezige controles evalueren.

Beste practices voor SOC 2-naleving

Het is belangrijk om vooraf de scope van de audit te bepalen. Niet elk bedrijf of contract vereist naleving van elk Trust Criteria (hoewel Security het vaakst wordt gebruikt). Als je de scope of behoeften van een audit niet begrijpt, kan je organisatie waardevolle tijd en middelen verspillen aan attestaties die niet nodig zijn.

Het is uiteraard essentieel dat je je technische infrastructuur begrijpt voordat je aan een audit begint. Als je bijvoorbeeld geen compliant software gebruikt, zul je die uiteraard moeten upgraden. Als je gebruikmaakt van een extern platform of SaaS-product, moeten deze oplossingen compliant zijn.

Het kan echter zijn dat je nooit een SOC 2-attestatie nodig hebt. Een IT-bedrijf dat actief is in de zorgprocessen moet bijvoorbeeld voldoen aan HIPAA-vereiste en deze kunnen voldoende zijn. Covered Entities (CE’s) zoals ziekenhuizen of verzekeringsmaatschappijen kunnen desondanks een SOC-audit vereisen om een extra niveau van controle op je beveiligingssystemen te waarborgen. Hetzelfde geldt voor een bedrijf in de financiële sector dat betalingsinformatie verwerkt. Hoewel ze mogelijk voldoen aan de Payment Card Industry Data Security Standard (PCI DSS)-vereiste, kunnen ze er ook voor kiezen om SOC 2-audits te ondergaan voor extra geloofwaardigheid.

Kiteworks Private Content Network SOC 2-gecertificeerd

Voor organisaties die gevoelige communicatie van inhoud vereisen en SOC 2-gecertificeerd willen zijn, is Kiteworks een uitstekende optie. Kiteworks heeft zes opeenvolgende jaren een SOC 2-certificering ontvangen en beschikt over diverse andere nalevingsprestaties, zoals FedRAMP Autorisatie voor Matige Impact, ISO 27001, 27017 en 27018, Cyber Essentials Plus en Infosec Registered Assessors Program (IRAP) ASSESSED tegen PROTECTED level controls.

Een van de belangrijkste factoren die bijdragen aan de SOC 2-certificering van Kiteworks is het gebruik van een hardened virtual appliance die het Private Content Network omhult. De Kiteworks hardened virtual appliance maakt gebruik van meerdere beveiligingslagen, waaronder firewalls, inbraakdetectie- en preventiesystemen en endpointbescherming, om kwetsbaarheden en de impact van cyberaanvallen te verminderen. Kiteworks voldoet ook aan strenge SOC 2-nalevingsstandaarden in de vijf categorieën die door de AICPA zijn vastgesteld: Security, Availability, Processing Integrity, Confidentiality en Privacy.

Beveiligingsmaatregelen zijn aanwezig om ervoor te zorgen dat het platform is beschermd tegen onbevoegde toegang en wordt continu gemonitord en geaudit op verdachte activiteiten. Beschikbaarheid is 24/7/365 gegarandeerd en het platform beschikt over verwerkingsintegriteit die volledig, accuraat, tijdig en geautoriseerd is. Vertrouwelijke informatie wordt beschermd en persoonlijke informatie wordt met de grootste zorg behandeld en in overeenstemming met de AICPA- en CICA-richtlijnen.

Naast de strenge SOC 2-nalevingsstandaarden maakt Kiteworks ook gebruik van continue monitoring en rapportage om klantgegevens te beschermen. Dit omvat zichtbaarheid van opslag, toegang en gebruik van inhoud, evenals gedetailleerde, controleerbare rapportages. De gegevensbescherming van Kiteworks wordt ook gevalideerd door SOC 2-nalevingscertificeringen en periodieke externe beoordelingen volgens SAS 70 Type II.

Organisaties die meer willen weten over het Kiteworks Private Content Network kunnen vandaag nog een op maat gemaakte demo inplannen.

Veelgestelde vragen

Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Naleving is cruciaal voor het behouden van de reputatie van het bedrijf, het vermijden van juridische sancties en het waarborgen van de veiligheid en beveiliging van de bedrijfsvoering.

Naleving van regelgeving beïnvloedt diverse sectoren op verschillende manieren, afhankelijk van de specifieke regelgeving die op elke sector van toepassing is. Zo moeten organisaties in de zorgprocessen voldoen aan regelgeving zoals HIPAA die patiëntgegevens beschermt, terwijl financiële instellingen zich moeten houden aan regels zoals de PCI DSS die financiële crises willen voorkomen. Defensie-aannemers moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.

Enkele veelvoorkomende uitdagingen zijn het bijhouden van veranderende regelgeving, het beheren en beveiligen van gegevens, het informeren van medewerkers over nalevingsvereiste en het toewijzen van voldoende middelen voor nalevingsactiviteiten. Daarnaast kunnen internationale organisaties te maken krijgen met de extra complexiteit van naleving van regelgeving in meerdere rechtsbevoegdheden.

Organisaties kunnen hun naleving van regelgeving aantonen via diverse middelen, zoals het bijhouden van uitgebreide documentatie van hun nalevingsactiviteiten, het uitvoeren van regelmatige audits en het bijhouden van opleidingsregistraties. Bovendien kunnen sommige regels vereisen dat organisaties regelmatig rapportages indienen of externe audits ondergaan om hun naleving aan te tonen.

Gegevensencryptie speelt een cruciale rol bij naleving van regelgeving omdat het helpt gevoelige gegevens te beschermen tegen onbevoegde toegang. Veel regelgeving vereist dat organisaties passende beveiligingsmaatregelen implementeren, waaronder encryptie, om gegevens te beschermen. Door gegevens te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo bijdragen aan naleving.

 

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks