Compliance • Artikel

Vad är SOC 2?

SOC 2 är ett rapporteringsramverk som syftar till att intyga säkerheten hos tjänsteleverantörer, och i synnerhet de som lagrar kunddata i molnet. Genom att efterleva ramverket kan du på ett effektivt sätt förse kunder, tillsynsmyndigheter och samarbetspartners med information om aktuell säkerhetsstatus, och på så sätt visa att du tar din säkerhet på allvar. Här är en introduktion till ramverket.

SOC 2 (Service Organization Control) är ett ramverk från AICPA (American Institute of Certified Public Accountants) som säkerställer och formaliserar informationssäkerheten hos tjänsteleverantörer. Ramverket är särskilt utformad för tjänsteleverantörer som lagrar kunddata i molnet. Det betyder att SOC 2 är applicerbart på nästan alla SaaS-företag, samt företag som använder molnet för att lagra sina kunders information.

Kontroller inom SOC 2

SOC 2:s kontroller baseras på fem grundprinciper, så kallade Trust Service Criterias; security, availability, confidentiality, privacy och processing integrity.

Kontrollerna är delvis fördefinierade, men lämnar till skillnad från exempelvis ISO 27001 utrymme för egna tolkningar och tillämpningar beroende på de krav som kunderna ställer. Det innebär att organisationen i viss utsträckning kan anpassa kontrollerna efter den egna verksamheten, som sedan rapporteras in och valideras genom externa revisioner.

Trust Service Criterias

1. Security

Säkerhetsprincipen avser skydd mot obehörig åtkomst av system och resurser. Åtkomstkontrollernas uppgift är att förhindra potentiellt missbruk, stöld eller obehörig borttagning av data, missbruk av programvara och felaktig ändring eller läckage av information.

2. Availability

Tillgänglighetsprincipen avser att tillgängligheten till de system, produkter eller tjänster som ingår i avtal lever upp till överenskomna nivåer. Denna princip behandlar inte systemfunktionalitet och användbarhet, men innefattar säkerhetsrelaterade kriterier som kan påverka tillgängligheten. 

3. Processing integrity

Principen behandlar huruvida ett system uppnår sitt syfte, det vill säga levererar rätt data till rätt pris vid rätt tidpunkt. Följaktligen måste databehandlingen vara fullständig, giltig, korrekt, snabb och godkänd.

4. Privacy

Sekretessprincipen avser systemets insamling, användning, lagring och gallring av personlig information i enlighet med en organisations verksamhet, samt med kriterier som anges i AICPA: s allmänt accepterade integritetsprinciper (GAPP).

Personligt identifierbar information kan till exempel bestå av namn, personnummer, ålder och adress, men även information om religion, hälsa och sexualitet som anses extra känsliga.

5. Confidentiality

Sekretessprincipen avser data som betraktas som konfidentiella om dess åtkomst är begränsad till vissa personer eller organisationer, såsom affärsplaner, immateriella rättigheter, interna prislistor och andra typer av känslig ekonomisk information.

SOC 2-certifiering

När det väl är dags för certifiering utfärdas den av externa revisorer, och baseras på hur väl organisationen efterlever ovan nämnda kontroller. Revisionen för SOC 2 är uppdelad i två delar; SOC 2 typ 1 som är en revision av kontrollefterlevnad och granskad vid tillfället för revisionen, samt SOC 2 typ 2 som är en revision av kontrollefterlevnad under en period om minst 6 månader. Skillnaden mellan typ 1 och typ 2 är med andra ord perioden för mätning, där typ 2 beaktar efterlevnad av kontroller under en längre period. 

Dessa rapporter kan sedan användas för att förse kunder, tillsynsmyndigheter, samarbetspartners och den egna organisationen med information om aktuell säkerhetsstatus. Att arbeta med SOC 2-ramverket är även ett bra sätt att vara transparent och bevisa för kunder och intressenter att man som organisation tar säkerheten på allvar genom revision från en tredje part. 

Vill du efterleva SOC 2? Vi hjälper dig på vägen!

Vi på Sentor har väglett flera företag i arbetet med att implementera SOC 2 i sina verksamheter. Då ramverkets kontroller bara är delvis fördefinierade, hjälper vi dig att tolka och tillämpa de efter just din organisation, och använder en väletablerad metodik som tar dig hela vägen från start till certifiering. Läs mer eller kontakta oss för mer information om hur vi kan hjälpa dig.