SOC iyi tanımlanmış süreçlerin yardımı ile siber güvenlik olaylarını önlemeyi hedefleyen bir sistemdir.
Hizmet Organizasyonu Kontrolü (SOC) herhangi bir hizmet sunan BT kuruluşlarının idare prosedürlerinin bir tür denetimini ifade eder. Temel olarak SOC 2, siber güvenlik risk yönetimi sistemlerine yönelik uluslararası bir raporlama standardıdır. Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından geliştirilen bu standart 2018 yılı Mart ayında güncellenmiştir.
Bir SOC 1 raporu, finansal raporlama üzerindeki dahili kontrolleri ele almak için tasarlanırken, bir SOC 2 raporu, bir hizmet kuruluşunun operasyonları ve uyumluluğuyla ilgili kontrollerini ele alır.
SOC 2, hizmet sağlayıcılarınızın kuruluşunuzun çıkarlarını ve müşterilerinin gizliliğini korumak için verilerinizi güvenli bir şekilde yönetmesini sağlayan bir denetim prosedürüdür. Güvenlik bilincine sahip işletmeler için SOC 2 uyumluluğu, bir SaaS sağlayıcısı düşünüldüğünde asgari bir gerekliliktir.
SOC 2 raporu ne kadar süreyle geçerlidir?
SOC 2 raporunda belirtilen görüş, SOC 2 raporunun yayınlandığı tarihi izleyen on iki ay boyunca geçerlidir.
SOC 2 denetimleri ne sıklıkla yapılır?
Bir Hizmet Kuruluşu SOC 2 Denetimini Ne Sıklıkta Planlamalıdır; SOC 2 raporlarının çoğu 12 aylık bir dönemi kapsar, ancak hizmet kuruluşlarının müşterinin tercihine ve operasyonel kontrol ortamındaki devam eden endişelerine bağlı olarak bu denetimi altı ayda bir gerçekleştirdiği zamanlar vardır.
Peki neden bu denetimlerden geçmemiz gerekiyor?
Herhangi bir hizmet sunan her türlü şirket, müşterilerine tehdit oluşturma potansiyeline sahiptir. Her bakımdan yasal bir şirket dahi, saldırı gerçekleştirmek için kullanılan bir tedarik zincirinde bağlantı işlevi görebilir. Ancak bilgi güvenliği alanında çalışan şirketlere çok daha büyük bir sorumluluk düşmektedir: Bu şirketlerin ürünlerinin, kullanıcı bilgi sistemlerine en yüksek düzeyde erişmesi gerekmektedir.
Bu sebeple, zaman zaman müşterilerin, özellikle de büyük kurumsal şirketlerin son derece makul olan şu soruları sormaları beklenebilir: Bu hizmetlere ne kadar güvenebiliriz? Kullandığımız bu hizmetlere yönelik ne tür şirket içi politikalar mevcut? Birisi ürünleriyle veya bunlarla ilişkili hizmetleriyle bize zarar verebilir mi?
Müşterilerinizin ve iş ortaklarınızın, ürünleriniz ve hizmetlerinizin güvenilir olduğu konusunda kafalarında hiçbir şüphe olmaması hayati önemdedir. Ayrıca şirket içi süreçlerinizin uluslararası standartlar ve en iyi yöntemlerle uyumlu olmasının da çok önemli olduğuna inanıyoruz. Bu sebeple uluslararası denetim tecrübesine sahip bağımsız denetçiler ile çalışıyoruz.
Denetçilerimiz, satıcı süreçlerinin beş temel güvenlik ilkesine uyup uymadığını incelediler:
Koruma (süreç yetkisiz erişime karşı korunmakta mıdır?),
Kullanılabilirlik (süreç genel olarak işlevsel midir?),
Süreç bütünlüğü (istemciye ulaştırılan veriler güvende tutulmakta mıdır?),
Gizlilik (diğer kişiler bu verilere erişebilir mi?)
Mahremiyet (kişisel veriler tarafımızdan saklanmakta mıdır, eğer saklanıyorsa bu işlem nasıl yapılıyor?)
