Segurança na nuvem 101: todos os princípios básicos que você precisa saber
prophix
Feb 22, 2022, 3:25:00 AM
É fácil se sentir intimidado pelo grande volume de acrônimos que existem no espaço de segurança e conformidade. Essas siglas tornam difícil saber o que procurar ao escolher um provedor de nuvem de software como serviço (SaaS). No final das contas, você quer ter a tranquilidade de saber que seus dados estão seguros e protegidos. É por isso que gostaríamos de desmistificar o processo de avaliação e explicar o que procurar ao comparar e avaliar fornecedores de nuvem SaaS. Neste blog, descreveremos os padrões de conformidade e como eles afetam a segurança na nuvem.
O que são padrões de conformidade?
Alguns dos acrônimos mais comuns que você pode encontrar são Centro de Operações de Segurança (SOC) e Princípios de Serviço de Confiança (TSPs). A responsabilidade de um Centro de Operações de Segurança (SOC) é monitorar e analisar a postura de segurança de uma organização de forma contínua. Os Relatórios SOC oferecem garantia sobre os ambientes de controle relacionados à recuperação, armazenamento, processamento e transferência de dados. Existem vários Relatórios que comprovam que uma organização está em situação regular. Ou seja, as conformidades SOC 1 e SOC 2 - é importante que os Relatórios Tipo 1 e Tipo 2 estejam completos para esses SOCs.- Relatório Tipo 1 - Demonstra que os controles internos de uma empresa são adequadamente projetados para atender aos Princípios de Confiança relevantes. Este Relatório não confirma a eficácia dos controles durante um período.
- Relatório Tipo 2 - Demonstra que seus controles funcionam de forma eficaz durante um período.
Diferenças entre as conformidades com SOC 1 & SOC 2
Portanto, agora que já descrevemos quais são os padrões de conformidade mais comuns (SOCs), vamos analisar as diferenças entre o SOC 1 e o SOC 2. SOC 1 - Um relatório SOC 1 garante que suas informações financeiras estão sendo tratadas de forma segura e protegida. A versão internacional do Relatório SOC 1 é comumente chamada de ISAE 3402. Normalmente, quando um fornecedor diz que está em conformidade com o SOC 1, isso significa que ele concluiu os Relatórios Tipo 1 e Tipo 2. SOC 2 - Este relatório oferece garantia sobre os ambientes de controle relacionados à recuperação, armazenamento, processamento e transferência de dados. É aqui que os Princípios de Serviço de Confiança (TSPs) entram em jogo. Os Relatórios SOC 2 avaliam a conformidade de uma organização em relação a cinco critérios, que são comumente chamados de Princípios de Serviço de Confiança (TSPs). Os cinco Princípios do Trust Service são:- Segurança - As informações e os sistemas são protegidos contra acesso não autorizado, divulgação não autorizada de informações e danos aos sistemas.
- Disponibilidade — As informações e os sistemas estão disponíveis para operação e uso.
- Integridade do processamento — O processamento do sistema é completo, válido, preciso, oportuno e autorizado.
- Confidencialidade — As informações designadas como confidenciais são protegidas.
- Privacidade - As informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas.