Le aziende che forniscono servizi ad altre organizzazioni e desiderano rafforzare il proprio livello di sicurezza delle informazioni spesso completano un audit Service Organization Control 2 (SOC 2), con un'attenzione crescente al rispetto dei requisiti per le password. Il processo di certificazione SOC 2 prevede la dimostrazione di controlli adeguati sugli accessi ai sistemi, per garantire che i dati sensibili restino sempre protetti e al sicuro. I report SOC 2 sono spesso richiesti da clienti e partner commerciali dei fornitori di soluzioni in outsourcing, a conferma dell'importanza della conformità SOC 2. Molte aziende che puntano alla conformità SOC 2 si affidano a soluzioni come un gestore di password conforme a SOC 2 per soddisfare i requisiti.
Consulta il Centro risorse per altre guide su come raggiungere la conformità ad altri standard di sicurezza.
Riepilogo dei criteri dei servizi fiduciari SOC 2
I report SOC 2 sono rilevanti per le organizzazioni di servizi e riguardano i controlli relativi ad aspetti come sicurezza e privacy. L'American Institute of Certified Public Accountants (AICPA) ha introdotto il report Service Organization Control o SOC 2 per aiutare a valutare le società di servizi, ad esempio società finanziarie, operatori sanitari, fornitori di servizi cloud e fornitori SaaS, e la loro capacità di mantenere controlli rigorosi “rilevanti per la sicurezza, la disponibilità e l'integrità dell'elaborazione dei sistemi … per elaborare i dati degli utenti e per la riservatezza e la privacy delle informazioni elaborate da tali sistemi.”
SOC 2 include due tipi di report:
Tipo 1: report sulla descrizione del sistema di un'azienda e sull'adeguatezza della progettazione dei relativi controlli.
Tipo 2: report sulla descrizione del sistema di un'azienda e sull'adeguatezza e sull'efficacia operativa dei relativi controlli.
Durante gli audit SOC 2, i controlli di un'organizzazione di servizi vengono valutati per garantire la conformità al framework di sicurezza. Entrambi i tipi di report SOC 2 descrivono in che modo le aziende elaborano i dati, ma il SOC 2 Tipo 2 descrive in modo più approfondito i controlli di sicurezza dei dati implementati, inclusa la gestione delle credenziali. Entrambi i tipi di report sono riservati a determinate entità (ad esempio clienti o auditor). Tuttavia, le aziende possono anche produrre un report SOC 3 disponibile al pubblico, che riepiloga alcuni dei criteri di sicurezza dei dati presenti nel report SOC 2.
Panoramica del processo di certificazione SOC 2
Le aziende che cercano la certificazione SOC 2 devono superare un audit condotto da un rappresentante AICPA accreditato. I cinque criteri dei servizi fiduciari costituiscono i componenti fondamentali del framework di conformità SOC 2 e includono Sicurezza, Disponibilità, Integrità dell'elaborazione, Riservatezza e Privacy. Sviluppati per la prima volta nel 2017 e aggiornati da ultimo alla fine del 2022 per “riflettere un ambiente fatto di tecnologie, minacce e vulnerabilità in continua evoluzione … requisiti legali e normativi in cambiamento e relative aspettative culturali in materia di privacy” e per “affrontare la gestione dei dati, in particolare quando è correlata alla riservatezza”, i criteri sono i seguenti:
Sicurezza - Le informazioni e i sistemi sono protetti da accessi non autorizzati, divulgazione non autorizzata di informazioni e danni ai sistemi che potrebbero compromettere la disponibilità, l'integrità dei dati, la riservatezza e la privacy delle informazioni o dei sistemi e influire sulla capacità dell'entità di raggiungere i propri obiettivi.
Disponibilità - Le informazioni e i sistemi sono disponibili per il funzionamento e vengono utilizzati per raggiungere gli obiettivi dell'entità.
Integrità dell'elaborazione - L'elaborazione del sistema è completa, valida, accurata, tempestiva e autorizzata per raggiungere gli obiettivi dell'entità.
Riservatezza - Le informazioni designate come riservate sono protette per raggiungere gli obiettivi dell'entità.
Privacy - Le informazioni personali vengono raccolte, utilizzate, conservate, divulgate ed eliminate per raggiungere gli obiettivi dell'entità.
I controlli interni svolgono un ruolo cruciale nel garantire la conformità ai criteri dei servizi fiduciari durante gli audit.
Le aziende devono conformarsi solo ai principi applicabili al proprio caso. Ad esempio, il principio di Disponibilità si applica in genere alle aziende che offrono ai clienti servizi di colocation, data center, servizi basati su SaaS o servizi di hosting.
Potrebbe interessarti anche:
Il principio di Sicurezza: controlli di sicurezza SOC 2 e requisiti per le password
Il principio di Sicurezza si applica alla maggior parte delle aziende che puntano alla conformità SOC 2 e si concentra sulla protezione dei dati dei clienti. La maggior parte dei requisiti del principio di Sicurezza rientra nella sezione CC6 dei criteri dei servizi fiduciari, che descrive anche in dettaglio i requisiti SOC 2 per le password. Le sezioni seguenti mostrano come un gestore di password possa supportare molti requisiti chiave.
I controlli SOC 2 sono importanti per mitigare le violazioni dei dati e proteggere le informazioni sensibili.
Gestione delle credenziali dell'infrastruttura per proteggere i dati dei clienti
“L'entità implementa software, infrastrutture e architetture di sicurezza per l'accesso logico sugli asset informativi protetti, al fine di proteggerli da eventi di sicurezza e raggiungere gli obiettivi dell'entità.” - CC6.1 (Pag. 34-35)
Le aziende devono dimostrare come gestiscono le credenziali per infrastrutture e software, inclusa la rimozione dell'accesso quando non è più necessario o richiesto. Con un password manager, gli amministratori possono automatizzare facilmente l'accesso, assegnare ruoli e limitare gli utenti all'accesso in sola lettura per le credenziali di sistema. Il controllo granulare degli accessi consente agli amministratori di nascondere le credenziali per impedire la copia delle password, dei TOTP seed o dei campi personalizzati.
Durante un audit SOC 2, un CPA accreditato valuta la progettazione dei controlli di un'organizzazione e la loro efficacia operativa per garantire che siano in linea con gli standard richiesti per la protezione dei dati sensibili.
Le aziende devono crittografare i propri dati e proteggere le chiavi di crittografia in ogni momento. Con un password manager cifrato end-to-end a conoscenza zero che utilizza la crittografia AES a 256 bit, le aziende proteggono le proprie credenziali e le informazioni sensibili che possono essere condivise tra i dipendenti, come i documenti finanziari. Inoltre, PBKDF2 SHA-256 rafforza la protezione delle chiavi di crittografia limitando il recupero della chiave al solo utente che accede con la propria password principale.
Onboarding e avvicendamento
“Prima di emettere credenziali di sistema e concedere l'accesso al sistema, l'entità registra e autorizza i nuovi utenti interni ed esterni il cui accesso è amministrato dall'entità. Per tali utenti il cui accesso è amministrato dall'entità, le credenziali di sistema dell'utente vengono rimosse quando l'accesso non è più autorizzato.” - CC6.2 (Pag. 36)
Le aziende devono mostrare come registrano e autenticano i nuovi utenti, inclusi i livelli di accesso. Con un password manager, gli amministratori possono collegare il proprio servizio di directory (LDAP) per semplificare l'onboarding e l'avvicendamento degli utenti. Utenti e gruppi nell'LDAP aziendale si sincronizzano con l'Organizzazione del password manager, replicandone la stessa struttura. Ancora meglio, ogni volta che un nuovo utente viene aggiunto all'LDAP, viene creato anche nel password manager e, viceversa, viene rimosso quando viene deprovisionato dall'LDAP.
Le aziende devono autorizzare l'accesso agli asset protetti. Un password manager con Single Sign-On consente al proprio Identity Provider esistente di offrire l'autenticazione agli utenti del password manager. Gli amministratori possono impostare criteri per le password che richiedono agli utenti di accedere tramite il metodo Single Sign-On per consultare le credenziali.
Controllo granulare degli accessi
“L'entità autorizza, modifica o rimuove l'accesso a dati, software, funzioni e altri asset informativi protetti in base a ruoli, responsabilità oppure alla progettazione e alle modifiche del sistema, tenendo conto dei concetti di privilegio minimo e separazione dei compiti, per raggiungere gli obiettivi dell'entità.” - CC6.3 (pag. 36)
Le aziende devono dimostrare controlli di accesso basati sui ruoli (RBAC). Con un password manager, gli amministratori possono impostare tipi di utenti e creare ruoli personalizzati per assegnare controllo granulare e autorizzazioni utente ai componenti del password manager. I controlli di accesso basati sui ruoli possono essere configurati per funzioni quali la gestione degli utenti, l'accesso ai registri eventi o l'importazione/esportazione dei dati.
Vuoi scoprire altri modi per rafforzare la sicurezza della tua azienda? Dai un'occhiata a Bitwarden Secrets Manager per proteggere i segreti degli sviluppatori.
Scopri Bitwarden per supportare la conformità SOC 2 e i requisiti relativi alle password
L'adozione di un password manager, come Bitwarden, può dimostrare agli auditor SOC 2 l'impegno dei fornitori di servizi a proteggere i dati dei clienti. Bitwarden offre sicurezza di livello enterprise, svolge regolari audit di sicurezza di terze parti ed è conforme ai principali standard di privacy e sicurezza, incluso SOC 2.
Bitwarden supporta le organizzazioni di servizi nel soddisfare i requisiti di conformità SOC 2 garantendo la presenza di controlli efficaci per la protezione dei dati.
Approfitta di una prova gratuita Enterprise con accesso completo per scoprire come Bitwarden può aiutare i fornitori di servizi a prepararsi a un audit di sicurezza SOC 2 e a soddisfare i requisiti SOC 2 relativi alle password.