Bedrijven die diensten leveren aan andere organisaties en hun informatiebeveiliging willen versterken, laten vaak een Service Organization Control 2 (SOC 2)-audit uitvoeren, waarbij steeds meer aandacht is voor het voldoen aan de SOC 2-wachtwoordvereisten. Het SOC 2-certificeringsproces omvat het aantonen van adequate toegangscontroles voor systemen, zodat gevoelige gegevens te allen tijde beschermd en beveiligd blijven. SOC 2-rapporten worden vaak opgevraagd door klanten en zakelijke partners van aanbieders van uitbestede oplossingen, wat het belang van SOC 2-compliance onderstreept. Veel bedrijven die SOC 2-compliance nastreven, maken gebruik van oplossingen zoals een SOC 2-conforme wachtwoordbeheerder om aan de vereisten te helpen voldoen.
Bekijk het Resourcecentrum voor meer handleidingen over hoe je kunt voldoen aan andere beveiligingsnormen.
Een samenvatting van de SOC 2 Trust Services Criteria
SOC 2-rapporten zijn relevant voor dienstverlenende organisaties en hebben betrekking op beheersmaatregelen rond aspecten zoals beveiliging en privacy. Het American Institute of Certified Public Accountants (AICPA) introduceerde het Service Organization Control- of SOC 2-rapport om dienstverlenende bedrijven te helpen beoordelen – d.w.z. financiële instellingen, zorgverleners, cloudserviceproviders en SaaS-aanbieders – en hun vermogen om sterke beheersmaatregelen te handhaven “die relevant zijn voor de beveiliging, beschikbaarheid en verwerkingsintegriteit van de systemen … voor het verwerken van gebruikersgegevens en de vertrouwelijkheid en privacy van de informatie die door deze systemen wordt verwerkt.”
SOC 2 omvat twee soorten rapporten:
Type 1: Rapporten over de systeembeschrijving van een bedrijf en de geschiktheid van het ontwerp van de beheersmaatregelen.
Type 2: Rapporten over de systeembeschrijving van een bedrijf en de geschiktheid en operationele effectiviteit van de beheersmaatregelen.
Tijdens SOC 2-audits worden de beheersmaatregelen van een dienstverlenende organisatie geëvalueerd om te waarborgen dat ze voldoen aan het beveiligingskader. Beide soorten SOC 2-rapporten beschrijven hoe bedrijven gegevens verwerken, maar SOC 2 Type 2 beschrijft de aanwezige maatregelen voor gegevensbeveiliging uitgebreider, waaronder beheer van inloggegevens. Beide soorten rapporten zijn beperkt tot bepaalde partijen (bijv. klanten of auditors). Bedrijven kunnen echter ook een openbaar beschikbaar SOC 3-rapport opstellen, waarin enkele criteria voor gegevensbeveiliging uit het SOC 2-rapport worden samengevat.
Overzicht van het SOC 2-certificeringsproces
Bedrijven die SOC 2-certificering nastreven, moeten slagen voor een audit die wordt uitgevoerd door een geaccrediteerde AICPA-vertegenwoordiger. De vijf Trust Services Criteria vormen de fundamentele onderdelen van het SOC 2-compliancekader, waaronder Beveiliging, Beschikbaarheid, Verwerkingsintegriteit, Vertrouwelijkheid en Privacy. De criteria zijn voor het eerst ontwikkeld in 2017 en voor het laatst bijgewerkt eind 2022 om “een omgeving van voortdurend veranderende technologieën, dreigingen en kwetsbaarheden … veranderende wettelijke en regelgevende vereisten en gerelateerde culturele verwachtingen rond privacy te weerspiegelen,” en “gegevensbeheer aan te pakken, met name wanneer dit verband houdt met vertrouwelijkheid.” De criteria zijn als volgt:
Beveiliging - Informatie en systemen worden beschermd tegen onbevoegde toegang, onbevoegde openbaarmaking van informatie en schade aan systemen die de beschikbaarheid, gegevensintegriteit, vertrouwelijkheid en privacy van informatie of systemen in gevaar kunnen brengen en het vermogen van de organisatie om haar doelstellingen te bereiken kunnen beïnvloeden.
Beschikbaarheid - Informatie en systemen zijn beschikbaar voor gebruik en worden ingezet om de doelstellingen van de organisatie te bereiken.
Verwerkingsintegriteit - Systeemverwerking is volledig, geldig, nauwkeurig, tijdig en geautoriseerd om de doelstellingen van de organisatie te bereiken.
Vertrouwelijkheid - Informatie die als vertrouwelijk is aangemerkt, wordt beschermd om de doelstellingen van de organisatie te bereiken.
Privacy - Persoonsgegevens worden verzameld, gebruikt, bewaard, openbaar gemaakt en verwijderd om de doelstellingen van de organisatie te bereiken.
Interne beheersmaatregelen spelen een cruciale rol bij het waarborgen van compliance met de Trust Services Criteria tijdens audits.
Bedrijven hoeven alleen te voldoen aan de principes die op hen van toepassing zijn. Het Beschikbaarheidsprincipe is bijvoorbeeld doorgaans van toepassing op bedrijven die klanten colocatie-, datacenter-, SaaS-gebaseerde of hostingdiensten aanbieden.
Misschien vind je dit ook interessant:
Het Beveiligingsprincipe: SOC 2-beheersmaatregelen voor beveiliging en wachtwoordvereisten
Het Beveiligingsprincipe is van toepassing op de meeste bedrijven die SOC 2-compliance nastreven en richt zich op het beschermen van klantgegevens. Het grootste deel van de vereisten van het Beveiligingsprincipe valt onder sectie CC6 van de Trust Services Criteria, waarin ook de SOC 2-wachtwoordvereisten worden beschreven. In de volgende secties wordt uitgelegd hoe een wachtwoordbeheerder veel belangrijke vereisten kan ondersteunen.
SOC 2-beheersmaatregelen zijn belangrijk om datalekken te beperken en gevoelige informatie te beschermen.
Beheer van infrastructuurreferenties om klantgegevens te beschermen
“De entiteit implementeert software, infrastructuur en architecturen voor logische toegangsbeveiliging voor beschermde informatie-assets om deze te beschermen tegen beveiligingsincidenten en de doelstellingen van de entiteit te behalen.” - CC6.1 (pag. 34-35)
Bedrijven moeten aantonen hoe zij referenties voor infrastructuur en software beheren, inclusief het verwijderen van toegang zodra die niet langer nodig of vereist is. Met een wachtwoordbeheerder kunnen beheerders eenvoudig toegang automatiseren, rollen toewijzen en gebruikers beperken tot alleen-lezen-toegang voor systeemreferenties. Gedetailleerde toegangscontrole stelt beheerders in staat referenties te verbergen om het kopiëren van wachtwoorden te voorkomen, TOTP-seeds of aangepaste velden.
Een geaccrediteerde CPA beoordeelt tijdens een SOC 2-audit het ontwerp en de operationele effectiviteit van de beheersmaatregelen van een organisatie om te waarborgen dat deze aansluiten bij de vereiste normen voor het beschermen van gevoelige gegevens.
Bedrijven moeten hun gegevens versleutelen en hun encryptiesleutels te allen tijde beschermen. Met een 100% end-to-end versleutelde zero-knowledge-wachtwoordbeheerder die AES-256-bits versleuteling gebruikt, beschermen bedrijven hun referenties en gevoelige informatie die onder medewerkers kan worden gedeeld, zoals financiële documenten. Daarnaast versterkt PBKDF2 SHA-256 de bescherming van encryptiesleutels door het ophalen van sleutels te beperken tot alleen de gebruiker die inlogt met diens hoofdwachtwoord.
Onboarding en opvolging
“Voordat systeemreferenties worden verstrekt en systeemtoegang wordt verleend, registreert en autoriseert de entiteit nieuwe interne en externe gebruikers van wie de toegang door de entiteit wordt beheerd. Voor gebruikers van wie de toegang door de entiteit wordt beheerd, worden gebruikersreferenties voor systemen verwijderd wanneer gebruikerstoegang niet langer is geautoriseerd.” - CC6.2 (pag. 36)
Bedrijven moeten laten zien hoe zij nieuwe gebruikers registreren en authenticeren, inclusief toegangsniveaus. Met een wachtwoordbeheerder kunnen beheerders hun directoryservice koppelen (LDAP) om onboarding en opvolging van gebruikers te stroomlijnen. Gebruikers en groepen in uw bedrijfs-LDAP synchroniseren met de organisatie van uw wachtwoordbeheerder, waarbij dezelfde structuur wordt gerepliceerd. Sterker nog, wanneer een nieuwe gebruiker aan de LDAP wordt toegevoegd, wordt deze ook in de wachtwoordbeheerder aangemaakt; omgekeerd wordt deze verwijderd wanneer deze uit de LDAP wordt gedeprovisioneerd.
Bedrijven moeten toegang tot beschermde assets autoriseren. Met een wachtwoordbeheerder met Single Sign-On kan uw bestaande Identity Provider authenticatie bieden voor gebruikers van de wachtwoordbeheerder. Beheerders kunnen wachtwoordbeleid instellen dat gebruikers verplicht via de Single Sign-On-methode in te loggen om toegang te krijgen tot referenties.
Gedetailleerde toegangscontrole
“De entiteit autoriseert, wijzigt of verwijdert toegang tot gegevens, software, functies en andere beschermde informatie-assets op basis van rollen, verantwoordelijkheden of het systeemontwerp en wijzigingen, met inachtneming van de principes van minimale rechten en functiescheiding, om de doelstellingen van de entiteit te behalen.” - CC6.3 (pag. 36)
Bedrijven moeten rolgebaseerde toegangscontroles (RBAC) kunnen aantonen. Met een wachtwoordbeheerder kunnen beheerders gebruikerstypen instellen en aangepaste rollen maken om gedetailleerde controle en gebruikersmachtigingen toe te wijzen voor onderdelen van de wachtwoordbeheerder. Rolgebaseerde toegangscontroles kunnen worden geconfigureerd voor functies zoals wie gebruikers mag beheren, toegang heeft tot gebeurtenislogboeken of gegevens mag importeren/exporteren.
Benieuwd hoe u de beveiliging van uw bedrijf verder kunt versterken? Bekijk Bitwarden Secrets Manager om uw ontwikkelaarsgeheimen te beveiligen.
Ontdek hoe Bitwarden SOC 2-naleving en wachtwoordvereisten ondersteunt
Het toevoegen van een wachtwoordbeheerder, zoals Bitwarden, kan aan SOC 2-auditors aantonen dat serviceproviders zich inzetten voor de bescherming van klantgegevens. Bitwarden biedt beveiliging op ondernemingsniveau, laat regelmatig beveiligingsaudits door derden uitvoeren en voldoet aan belangrijke privacy- en beveiligingsnormen, waaronder SOC 2.
Bitwarden ondersteunt serviceorganisaties bij het voldoen aan SOC 2-nalevingsvereisten door te waarborgen dat er effectieve beheersmaatregelen zijn voor het beschermen van gegevens.
Profiteer van een gratis Enterprise-proefversie met volledige toegang om te zien hoe Bitwarden serviceproviders kan helpen zich voor te bereiden op een SOC 2-beveiligingsaudit en te voldoen aan SOC 2-wachtwoordvereisten.