Företag som tillhandahåller tjänster till andra organisationer och vill stärka sin informationssäkerhet genomför ofta en Service Organization Control 2-granskning (SOC 2), med allt större fokus på att uppfylla SOC 2-lösenordskraven. SOC 2-certifieringsprocessen innefattar att visa att det finns tillräckliga kontroller för systemåtkomst, så att känsliga data alltid är skyddade och säkra. SOC 2-rapporter efterfrågas ofta av kunder och affärspartner till leverantörer av outsourcade lösningar, vilket understryker vikten av SOC 2-efterlevnad. Många företag som vill uppnå SOC 2-efterlevnad använder lösningar som en SOC 2-kompatibel lösenordshanterare för att uppfylla kraven.
Ta del av resurscentret för fler guider om hur du uppnår efterlevnad av andra säkerhetsstandarder.
Sammanfattning av SOC 2:s kriterier för betrodda tjänster
SOC 2-rapporter är relevanta för tjänsteorganisationer och avser kontroller som rör områden som säkerhet och integritet. American Institute of Certified Public Accountants (AICPA) introducerade Service Organization Control- eller SOC 2-rapporten för att hjälpa till att utvärdera tjänsteföretag – t.ex. finansföretag, vårdgivare, molntjänstleverantörer och SaaS-leverantörer – och deras förmåga att upprätthålla starka kontroller ”relevanta för säkerhet, tillgänglighet och behandlingsintegritet i systemen … för att behandla användares data samt konfidentialiteten och integriteten för den information som behandlas av dessa system.”
SOC 2 omfattar två typer av rapporter:
Typ 1: Rapporter om ett företags systembeskrivning och lämpligheten i utformningen av dess kontroller.
Typ 2: Rapporter om ett företags systembeskrivning samt lämpligheten och den operativa effektiviteten hos dess kontroller.
Vid SOC 2-granskningar utvärderas en tjänsteorganisations kontroller för att säkerställa efterlevnad av säkerhetsramverket. Båda typerna av SOC 2-rapporter beskriver hur företag behandlar data, men SOC 2 Typ 2 beskriver mer ingående de datasäkerhetskontroller som finns på plats, inklusive hantering av autentiseringsuppgifter. Båda rapporttyperna är begränsade till vissa aktörer (t.ex. kunder eller revisorer). Företag kan dock även ta fram en offentligt tillgänglig SOC 3-rapport, som sammanfattar vissa av datasäkerhetskriterierna i SOC 2-rapporten.
Översikt över SOC 2-certifieringsprocessen
Företag som vill bli SOC 2-certifierade måste klara en granskning som genomförs av en ackrediterad AICPA-representant. De fem kriterierna för betrodda tjänster utgör de grundläggande komponenterna i ramverket för SOC 2-efterlevnad, inklusive säkerhet, tillgänglighet, behandlingsintegritet, konfidentialitet och integritet. Kriterierna togs först fram 2017 och uppdaterades senast i slutet av 2022 för att ”spegla en miljö med ständigt föränderliga tekniker, hot och sårbarheter … förändrade juridiska och regulatoriska krav samt relaterade kulturella förväntningar på integritet” och för att ”hantera datahantering, särskilt när den rör konfidentialitet”. Kriterierna är följande:
Säkerhet – Information och system skyddas mot obehörig åtkomst, obehörigt röjande av information och skador på system som kan äventyra tillgänglighet, dataintegritet, konfidentialitet och integritet för information eller system samt påverka organisationens förmåga att uppnå sina mål.
Tillgänglighet – Information och system är tillgängliga för drift och används för att uppnå organisationens mål.
Behandlingsintegritet – Systembehandlingen är fullständig, giltig, korrekt, sker i rätt tid och är auktoriserad för att uppnå organisationens mål.
Konfidentialitet – Information som klassats som konfidentiell skyddas för att uppnå organisationens mål.
Integritet – Personuppgifter samlas in, används, lagras, lämnas ut och raderas för att uppnå organisationens mål.
Interna kontroller spelar en avgörande roll för att säkerställa efterlevnad av kriterierna för betrodda tjänster vid granskningar.
Företag behöver endast följa de principer som gäller för dem. Till exempel gäller tillgänglighetsprincipen vanligtvis företag som erbjuder kunder samlokalisering, datacenter-, SaaS-baserade tjänster eller hostningstjänster.
Du kanske också gillar:
Säkerhetsprincipen: SOC 2-säkerhetskontroller och lösenordskrav
Säkerhetsprincipen gäller de flesta företag som vill uppnå SOC 2-efterlevnad och fokuserar på att skydda kunddata. Huvuddelen av kraven i säkerhetsprincipen finns i avsnitt CC6 i kriterierna för betrodda tjänster, som även beskriver SOC 2-lösenordskraven. Följande avsnitt visar hur en lösenordshanterare kan stödja många viktiga krav.
SOC 2-kontroller är viktiga för att minska risken för dataintrång och skydda känslig information.
Hantering av infrastrukturens inloggningsuppgifter för att skydda kunddata
”Organisationen implementerar programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet för skyddade informationstillgångar för att skydda dem mot säkerhetshändelser och uppfylla organisationens mål.” – CC6.1 (s. 34–35)
Företag måste visa hur de hanterar inloggningsuppgifter för infrastruktur och programvara, inklusive hur åtkomst tas bort när den inte längre behövs eller krävs. Med en lösenordshanterare kan administratörer enkelt automatisera åtkomst, tilldela roller och begränsa användare till skrivskyddad åtkomst till systemuppgifter. Detaljerad åtkomstkontroll gör det möjligt för administratörer att dölja inloggningsuppgifter för att förhindra kopiering av lösenord, TOTP-seed eller anpassade fält.
En auktoriserad revisor utvärderar utformningen och den operativa effektiviteten hos en organisations kontroller under en SOC 2-granskning för att säkerställa att de följer de standarder som krävs för att skydda känsliga data.
Företag måste kryptera sina data och alltid skydda krypteringsnycklar. Med en 100 % lösenordshanterare med end-to-end-kryptering och zero knowledge som använder AES-256-bitarskryptering skyddar företag sina inloggningsuppgifter och känslig information som kan delas mellan medarbetare, till exempel finansiella dokument. Dessutom stärker PBKDF2 SHA-256 skyddet av krypteringsnycklar genom att begränsa åtkomst till nycklar till endast den användare som loggar in med sitt huvudlösenord.
Onboarding och succession
”Innan systemuppgifter utfärdas och systemåtkomst beviljas registrerar och auktoriserar organisationen nya interna och externa användare vars åtkomst administreras av organisationen. För de användare vars åtkomst administreras av organisationen tas användarnas systemuppgifter bort när deras åtkomst inte längre är auktoriserad.” – CC6.2 (s. 36)
Företag måste visa hur de registrerar och autentiserar nya användare, inklusive åtkomstnivåer. Med en lösenordshanterare kan administratörer koppla sin katalogtjänst (LDAP) för att effektivisera onboarding och succession av användare. Användare och grupper i företagets LDAP synkroniseras med lösenordshanterarens organisation och replikerar samma struktur. Ännu bättre är att när en ny användare läggs till i LDAP skapas den också i lösenordshanteraren – och omvänt tas den bort när den avprovisioneras från LDAP.
Företag måste auktorisera åtkomst till skyddade tillgångar. En lösenordshanterare med Single Sign-On gör det möjligt för er befintliga identitetsleverantör att erbjuda autentisering för användare av lösenordshanteraren. Administratörer kan ställa in lösenordspolicyer som kräver att användare loggar in via Single Sign-On-metoden för att få åtkomst till inloggningsuppgifter.
Detaljerad åtkomstkontroll
”Organisationen auktoriserar, ändrar eller tar bort åtkomst till data, programvara, funktioner och andra skyddade informationstillgångar baserat på roller, ansvar eller systemets utformning och ändringar, med hänsyn till principerna om minsta möjliga behörighet och ansvarsfördelning, för att uppfylla organisationens mål.” – CC6.3 (s. 36)
Företag måste kunna visa rollbaserad åtkomstkontroll (RBAC). Med en lösenordshanterare kan administratörer ange användartyper och skapa anpassade roller för att tilldela detaljerad kontroll och användarbehörigheter för komponenter i lösenordshanteraren. Rollbaserad åtkomstkontroll kan konfigureras för funktioner som vem som kan hantera användare, få åtkomst till händelseloggar eller importera/exportera data.
Undrar du hur ni annars kan stärka företagets säkerhet? Kolla in Bitwarden Secrets Manager för att säkra era utvecklarhemligheter.
Utforska Bitwarden för att stödja SOC 2-efterlevnad och lösenordskrav
Att lägga till en lösenordshanterare, som Bitwarden, kan visa tjänsteleverantörers engagemang för att skydda kunddata och gentemot SOC 2-revisorer. Bitwarden erbjuder säkerhet på företagsnivå, genomför regelbundna säkerhetsgranskningar av tredje part och uppfyller viktiga integritets- och säkerhetsstandarder, inklusive SOC 2.
Bitwarden hjälper tjänsteorganisationer att uppfylla kraven för SOC 2-efterlevnad genom att säkerställa att effektiva kontroller finns på plats för att skydda data.
Dra nytta av en kostnadsfri Enterprise-provperiod med full åtkomst för att se hur Bitwarden kan hjälpa tjänsteleverantörer att förbereda sig för en SOC 2-säkerhetsgranskning och uppfylla SOC 2-lösenordskrav.