Hoe kies je de juiste SOC 2 principes?
Vaak vraagt men zich af wie er verantwoordelijk is voor het bepalen en selecteren van de principes die worden meegenomen in een SOC 2 onderzoek. Het antwoord op deze vraag is niet altijd wat een serviceorganisatie wil horen. Net zoals bij een SOC 1 krijgt het management altijd de taak om de Trust Services Principles (TSP) te kiezen. Dat komt vaak neer op welke principes passen bij jouw zaak, services en klanten. Helaas bestaat er niet een lijst met regels die in acht moeten worden genomen als deze principes worden gekozen. Hieronder zie je een omschrijving van deze zogenaamde TSP’s:
- Informatiebeveiliging. Het systeem is beschermd tegen ongeautoriseerd(e) toegang, gebruik of veranderingen in de afspraken of systeemvereisten van het bedrijf.
- Beschikbaarheid. Het systeem kan gebruikt worden op de afgesproken manier en voldoet aan de systeemvereisten.
- Integriteit van processen. Het systeemproces is compleet, geldig, accuraat, tijdsgebonden en gemachtigd.
- Betrouwbaarheid. Informatie die is gemarkeerd als betrouwbaar wordt beschermd en voldoet aan de vereisten van de entiteit.
- Privacy. Persoonlijke informatie wordt verzameld, bewaard, openbaargemaakt en verwijderd om aan de verplichtingen van de entiteit en systeemvereisten te voldoen.
De scope
Voordat je besluit wat de principes zijn, moet je eerst vaststellen wat de scope van het onderzoek zal. Dit doet men door het identificeren van de verschillende onderdelen die binnen de scope vallen, inclusief derde partijen die dezelfde diensten aanbieden. Dit is een belangrijke stap gezien de organisaties zelf vaak een smallere visie hebben op hun diensten en wat meegenomen moet worden in een SOC 2 systeem. Bovendien moeten organisatie bijzonder voorzichtig hun infrastructuur, software, medewerkers, procedures en data in acht nemen als ze de outline bepalen van een SOC 2 onderzoek. Elke van deze afzonderlijke componenten wordt verder omschreven in SOC 2 literatuur.
Informatiebeveiliging
Nadat het vaststellen van de scope is de volgende stap om te bepalen welke principes van toepassing zijn op het systeem van de serviceorganisatie. Neem bijvoorbeeld het Veiligheidsprincipe. Dit moet worden opgenomen in alle SOC 2 onderzoeken omdat het criteria bevat die betrekkingen hebben op alle andere principes. Deze gemeenschappelijke criteria hebben onder andere betrekking op het waarborgen van de veiligheid van een systeem. Dit gaat over het opmerken en voorkomen van een wijziging, of vernietiging of openbaarmaking van informatie.
Als een klant een redelijke zekerheid wil over de veiligheid van hun data, dan zijn ze waarschijnlijk het meeste geïnteresseerd in het Veiligheidsprincipe. Dit principe is zo breed dat het voor de klant soms kan volstaan om alleen dit principe te onderzoeken om ze een zeker gevoel te geven over de veiligheid van hun data.
Beschikbaarheid
Het tweede meest gekozen principe voor een SOC 2 onderzoek is Beschikbaarheid. Aangezien de meeste serviceorganisaties een uitbestede dienst verstrekken aan hun klant, ligt de beschikbaarheid hiervan vaak contractueel vast doormiddel van zogenaamde Service level Agreements (SLA’s). Hierom is het principe Beschikbaarheid een zeer interessante om mee te nemen in een SOC 2 onderzoek.
Processen
Als de serviceorganisatie transacties voor zijn klanten verstrekt, is een derde interessant principe de Processen. Dit principe draagt bij aan het gevoel van veiligheid dat de gegevens op een complete, geldige, accurate en geautoriseerde manier worden verwerkt. Naast het Veiligheidsprincipe, het Beschikbaarheidsprincipe en de Processen zijn er nog twee principes die meegenomen kunnen worden in een SOC 2 onderzoek.
Betrouwbaarheid en privacy
De laatste twee principes zijn Betrouwbaarheid en Privacy. Regelmatig wordt er over beide gesproken in dezelfde context alhoewel de principes wel degelijk anders van aarde zijn. Daar bovenop zijn diverse organisaties van mening dat deze twee principes van groot belang zijn voor het SOC 2 onderzoek. De principes lijken op elkaar omdat ze beiden betrekking hebben op de informatie die ‘in’ het systeem zit. Het verschil is dat het privacyprincipe alleen betrekking heeft op persoonlijke informatie. Echter kan de term ‘vertrouwelijke informatie’ verschillende betekenissen bij verschillende bedrijven hebben. Neemt de serviceorganisatie vertrouwelijke informatie waar en zijn specifieke afspraken gemaakt over de beveiliging van deze data?
Dan is het betrouwbaarheidsprincipe interessant. Binnen de context van een SOC 2 onderzoek heeft Privacy betrekking op de beveiliging van persoonlijke informatie. Als een serviceorganisatie een verantwoordelijkheid heeft over het bewaren van de ‘levenscyclus’ van persoonlijke informatie, (ook wel PII, Personally identifiable information genoemd) dan is dit principe interessant om mee te nemen in het onderzoek. Met de levenscyclus wordt het verzamelen, gebruiken, verstrekken, bewaren en vernietigen van persoonlijke informatie bedoelt.
Al met al is het kiezen van de goede principes een belangrijk proces. Dit begint met goed op de hoogte zijn over welke principes men het best kan toepassen in een bepaalde situatie. Hiervoor is een goede kennis van de organisatie vereist. Vervolgens is de kennis en ervaring van een ervaren SOC 2 bedrijf van onschatbare waarde. Een gerenommeerde onderneming begeleidt een organisatie bij het kiezen van de juiste principes voor het SOC 2 onderzoek.