Segurança na nuvem 101: todos os princípios básicos que você precisa saber

É fácil se sentir intimidado pelo grande volume de acrônimos que existem no espaço de segurança e conformidade. Esses acrônimos tornam difícil saber o que procurar ao escolher um provedor de nuvem de

fevereiro 22, 2022
by Prophix
Tempo de leitura: 4 min

Inscreva-se no blog
É fácil se sentir intimidado pelo grande volume de acrônimos que existem no espaço de segurança e conformidade. Esses acrônimos tornam difícil saber o que procurar ao escolher um provedor de nuvem de software como serviço (SaaS). No final das contas, você quer ter a tranquilidade de saber que seus dados estão seguros e protegidos. É por isso que gostaríamos de desmistificar o processo de avaliação e explicar o que procurar ao comparar e avaliar os fornecedores de nuvem SaaS. Neste blog, descreveremos os padrões de conformidade e como eles afetam a segurança da nuvem.

O que são padrões de conformidade?

Alguns dos acrônimos mais comuns que você pode encontrar são Security Operations Center (SOC) e Trust Service Principles (TSPs). A responsabilidade de um Centro de Operações de Segurança (SOC) é monitorar e analisar a postura de segurança de uma organização de forma contínua. Os relatórios do SOC oferecem garantia sobre os ambientes de controle relacionados à recuperação, ao armazenamento, ao processamento e à transferência de dados. Há vários relatórios que comprovam que uma organização está em boa situação. Ou seja, as conformidades SOC 1 e SOC 2 - é importante que os relatórios Tipo 1 e Tipo 2 estejam completos para esses SOCs.
  • Relatório Tipo 1 - Demonstra que os controles internos de uma empresa foram projetados adequadamente para atender aos Princípios de Confiança relevantes. Esse relatório não confirma a eficácia dos controles durante um período.
  • Relatório Tipo 2 - Demonstra ainda que os controles operam de forma eficaz durante um período.
Você sabia? Para declarar conformidade com o SOC, os fornecedores só precisam ter um relatório SOC 1 Tipo 1 concluído, e não a conformidade completa com o SOC, que inclui um relatório Tipo 2. É importante perguntar a um fornecedor se a conformidade com o SOC inclui um relatório Tipo 2. Somente assim você terá a certeza de que os controles foram testados durante um período de tempo.

Diferenças entre as conformidades SOC 1 e SOC 2

Agora que já descrevemos quais são os padrões de conformidade mais comuns (SOCs), vamos analisar as diferenças entre o SOC 1 e o SOC 2. SOC 1 - Um relatório SOC 1 garante que suas informações financeiras estão sendo tratadas de forma segura e protegida. A versão internacional do relatório SOC 1 é comumente chamada de ISAE 3402. Normalmente, quando um fornecedor diz que está em conformidade com o SOC 1, isso significa que ele concluiu os relatórios Tipo 1 e Tipo 2. SOC 2 - Esse relatório oferece garantia sobre os ambientes de controle relacionados à recuperação, ao armazenamento, ao processamento e à transferência de dados. É aqui que os Princípios de Serviços de Confiança (TSPs) entram em ação. Os relatóriosSOC 2 avaliam a conformidade de uma organização em relação a cinco critérios, que são comumente chamados de Princípios de Serviços de Confiança (TSPs). Os cinco Princípios de Serviços de Confiança são:
  1. Segurança - As informações e os sistemas são protegidos contra acesso não autorizado, divulgação não autorizada de informações e danos aos sistemas.
  2. Disponibilidade - As informações e os sistemas estão disponíveis para operação e uso.
  3. Integridade do processamento - O processamento do sistema é completo, válido, preciso, oportuno e autorizado.
  4. Confidencialidade - As informações designadas como confidenciais são protegidas.
  5. Privacidade - As informações pessoais são coletadas, usadas, retidas, divulgadas e descartadas.
Você sabia? Para declarar conformidade com o relatório SOC 2 Tipo 2, os fornecedores só precisam atender a pelo menos um dos cinco TSPs. É importante perguntar a um fornecedor quais Princípios de Serviço de Confiança estão sendo atendidos para um relatório SOC 2 Tipo 2. Certifique-se de perguntar aos fornecedores se eles atenderam a todos os cinco TSPs como parte de sua conformidade com o SOC 2.

Segurança e conformidade na nuvem da Prophix

Compreender as diferenças entre os relatórios SOC 1, SOC 2 e Tipo 1 e 2 o ajudará a fazer uma escolha informada ao escolher um fornecedor de nuvem SaaS. No entanto, há vários outros aspectos de segurança e conformidade que devem ser considerados, inclusive a frequência das auditorias, as estruturas em que o fornecedor é certificado, quem fornece a tecnologia de nuvem subjacente e o grau de simplificação da autenticação do usuário final. Para saber mais sobre como navegar pelos fornecedores de nuvem no mercado atual, leia nosso whitepaper sobre segurança e conformidade. A Prophix é certificada nas conformidades SOC 1 Tipo 1 e 2 e SOC 2 Tipo 1 e 2, o que significa que estamos em conformidade com todos os cinco Princípios de Confiança. Para obter mais informações sobre o Prophix Cloud, acesse https://trust.prophix.com/.

Você também pode gostar

julho 20, 2022
3 min leitura

O que ninguém lhe diz sobre segurança de dados

Na última década, houve uma adoção sem precedentes da computação em nuvem. Embora sua adoção inicial tenha sido mais bem-sucedida em aplicativos para consumidores, a adoção comercial foi mais lenta e

julho 12, 2022
Planejamento e análise financeira
4 min leitura

Por que os relatórios de analistas são fundamentais para a escolha de um fornecedor de CPM

Matriz do cenário de fornecedores do Unpacking BPM Partners 2022 Os relatórios de analistas são um ótimo ponto de partida para avaliar os prós e os contras de diferentes soluções financeiras. Eles fo