Segurança na nuvem 101: todos os princípios básicos que você precisa saber

É fácil se sentir intimidado pelo grande volume de acrônimos que existem no espaço de segurança e conformidade. Essas siglas tornam difícil saber o que procurar ao escolher um provedor de nuvem de software como serviço (SaaS). No final das contas, você quer ter a tranquilidade de saber que seus dados estão seguros e protegidos. É por isso que gostaríamos de desmistificar o processo de avaliação e explicar o que procurar ao comparar e avaliar fornecedores de nuvem SaaS. Neste blog, descreveremos os padrões de conformidade e como eles afetam a segurança na nuvem.

O que são padrões de conformidade?

Alguns dos acrônimos mais comuns que você pode encontrar são Centro de Operações de Segurança (SOC) e Princípios de Serviço de Confiança (TSPs). A responsabilidade de um Centro de Operações de Segurança (SOC) é monitorar e analisar a postura de segurança de uma organização de forma contínua. Os Relatórios SOC oferecem garantia sobre os ambientes de controle relacionados à recuperação, armazenamento, processamento e transferência de dados. Existem vários Relatórios que comprovam que uma organização está em situação regular. Ou seja, as conformidades SOC 1 e SOC 2 - é importante que os Relatórios Tipo 1 e Tipo 2 estejam completos para esses SOCs.

• Relatório Tipo 1 - Demonstra que os controles internos de uma empresa são adequadamente projetados para atender aos Princípios de Confiança relevantes. Este Relatório não confirma a eficácia dos controles durante um período.
• Relatório Tipo 2 - Demonstra que seus controles funcionam de forma eficaz durante um período.

Você sabia? Para declarar conformidade com o SOC, os fornecedores só precisam ter um Relatório SOC 1 Tipo 1 concluído, e não a conformidade total com o SOC, que inclui um Relatório Tipo 2. É importante perguntar ao fornecedor se a conformidade do SOC inclui um Relatório Tipo 2. Só então você tem certeza de que os controles foram testados por um período de tempo.

Diferenças entre as conformidades com SOC 1 & SOC 2

Portanto, agora que já descrevemos quais são os padrões de conformidade mais comuns (SOCs), vamos analisar as diferenças entre o SOC 1 e o SOC 2. SOC 1 - Um relatório SOC 1 garante que suas informações financeiras estão sendo tratadas de forma segura e protegida. A versão internacional do Relatório SOC 1 é comumente chamada de ISAE 3402. Normalmente, quando um fornecedor diz que está em conformidade com o SOC 1, isso significa que ele concluiu os Relatórios Tipo 1 e Tipo 2. SOC 2 - Este relatório oferece garantia sobre os ambientes de controle relacionados à recuperação, armazenamento, processamento e transferência de dados. É aqui que os Princípios de Serviço de Confiança (TSPs) entram em jogo. Os Relatórios SOC 2 avaliam a conformidade de uma organização em relação a cinco critérios, que são comumente chamados de Princípios de Serviço de Confiança (TSPs). Os cinco Princípios do Trust Service são:

1. Segurança - As informações e os sistemas são protegidos contra acesso não autorizado, divulgação não autorizada de informações e danos aos sistemas.
2. Disponibilidade — As informações e os sistemas estão disponíveis para operação e uso.
3. Integridade do processamento — O processamento do sistema é completo, válido, preciso, oportuno e autorizado.
4. Confidencialidade — As informações designadas como confidenciais são protegidas.
5. Privacidade - As informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas.

Você sabia? Para reivindicar a conformidade com o Relatório SOC 2 Tipo 2, os fornecedores só precisam atender a pelo menos um dos cinco TSPs. É importante perguntar ao fornecedor quais princípios de serviço de confiança estão sendo atendidos para um relatório SOC 2 Tipo 2. Certifique-se de perguntar aos fornecedores se eles atenderam a todos os cinco TSPs como parte de sua conformidade com o SOC 2.

Segurança na nuvem da Prophix & Compliance

Entender as diferenças entre SOC 1, SOC 2 e Tipo 1 & 2 Relatórios ajudará você a fazer uma escolha informada ao escolher um fornecedor de nuvem SaaS. No entanto, há vários outros aspectos de segurança e conformidade que você deve considerar, inclusive a frequência das auditorias, as estruturas em que o fornecedor é certificado, quem fornece a tecnologia de nuvem subjacente e o grau de simplificação da autenticação do usuário final. Para saber mais sobre como navegar pelos fornecedores de nuvem no mercado atual, leia nosso whitepaper sobre segurança e conformidade. A Prophix é certificada nas conformidades SOC 1 Tipo 1 & 2 e SOC 2 Tipo 1 & 2, o que significa que estamos em conformidade com todos os cinco Princípios de Confiança. Para obter mais informações sobre o Prophix Cloud, acesse https://trust.prophix.com/.