Sécurité de l'informatique dématérialisée 101 : toutes les bases à connaître

Il est facile de se laisser intimider par le nombre d'acronymes qui existent dans le domaine de la sécurité et de la conformité. Ces acronymes font qu'il est difficile de savoir à quoi s'attendre lorsqu'on choisit un fournisseur de logiciels en tant que service (SaaS) dans le nuage. En fin de compte, vous voulez avoir l'esprit tranquille en sachant que vos données sont sécurisées et protégées. C'est pourquoi nous souhaitons démystifier le processus d'évaluation et expliquer ce qu'il faut rechercher lors de la comparaison et de l'évaluation des fournisseurs de SaaS Cloud. Dans ce blog, nous décrirons les normes de conformité et leur impact sur la sécurité du cloud.

Que sont les normes de conformité ?

Parmi les acronymes les plus courants que vous pouvez rencontrer, citons le centre d'opérations de sécurité (SOC) et les principes de service de confiance (TSP). La responsabilité d'un centre d'opérations de sécurité (SOC) est de surveiller et d'analyser en permanence le niveau de sécurité d'une organisation. Les rapports SOC donnent une assurance sur les environnements de contrôle en ce qui concerne l'extraction, le stockage, le traitement et le transfert des données. Il existe plusieurs rapports qui prouvent qu'une organisation est en règle. Il s'agit des conformités SOC 1 et SOC 2 - il est important que les rapports de type 1 et de type 2 soient complets pour ces SOC.

• Rapport de type 1 - Démontre que les contrôles internes d'une entreprise sont correctement conçus pour répondre aux principes fiduciaires pertinents. Ce rapport ne confirme pas l'efficacité des contrôles sur une période donnée.
• Rapport de type 2 - Démontre en outre que vos contrôles fonctionnent efficacement sur une période donnée.

Le saviez-vous ? Pour prétendre être en conformité avec le SOC, les fournisseurs ne doivent avoir effectué qu'un rapport de type 1 du SOC 1, et non la conformité complète au SOC, qui comprend un rapport de type 2. Il est important de demander à un fournisseur si sa conformité SOC comprend un rapport de type 2. Ce n'est qu'à cette condition que vous aurez l'assurance que les contrôles ont été testés sur une certaine période.

Différences entre les conformités SOC 1 et SOC 2

Maintenant que nous avons décrit les normes de conformité les plus courantes (SOC), examinons les différences entre SOC 1 et SOC 2. SOC 1 - Un rapport SOC 1 garantit que vos informations financières sont traitées en toute sécurité. La version internationale du rapport SOC 1 est communément appelée ISAE 3402. En règle générale, lorsqu'un fournisseur déclare être conforme à la norme SOC 1, cela signifie qu'il a établi des rapports de type 1 et de type 2. SOC 2 - Ce rapport donne une assurance sur les environnements de contrôle en ce qui concerne l'extraction, le stockage, le traitement et le transfert des données. C'est ici que les principes de services de confiance (TSP) entrent en jeu. Les rapportsSOC 2 évaluent la conformité d'une organisation à cinq critères, communément appelés principes de service de confiance (TSP). Les cinq principes de service de confiance sont les suivants

1. Sécurité - Les informations et les systèmes sont protégés contre les accès non autorisés, la divulgation non autorisée d'informations et les dommages causés aux systèmes.
2. Disponibilité - Les informations et les systèmes sont disponibles pour le fonctionnement et l'utilisation.
3. Intégrité du traitement - Le traitement du système est complet, valide, exact, opportun et autorisé.
4. Confidentialité - Les informations désignées comme confidentielles sont protégées.
5. Protection de la vie privée - Les informations personnelles sont collectées, utilisées, conservées, divulguées et éliminées.

Le saviez-vous ? Pour prétendre être en conformité avec le rapport SOC 2 de type 2, les fournisseurs n'ont qu'à respecter au moins l'une des cinq FST. Il est important de demander à un fournisseur quels sont les principes du service de confiance qui sont respectés pour un rapport SOC 2 de type 2. Veillez à demander aux fournisseurs s'ils ont respecté les cinq TSP dans le cadre de leur conformité à SOC 2.

Sécurité et conformité de l'informatique en nuage de Prophix

Comprendre les différences entre les rapports SOC 1, SOC 2 et les rapports de type 1 et 2 vous aidera à faire un choix éclairé lorsque vous choisirez un fournisseur de SaaS Cloud. Cependant, il y a plusieurs autres aspects de la sécurité et de la conformité que vous devriez prendre en compte, y compris la fréquence des audits, les cadres dans lesquels le fournisseur est certifié, qui fournit la technologie cloud sous-jacente, et le degré de rationalisation de l'authentification de l'utilisateur final. Pour en savoir plus sur la manière de naviguer parmi les fournisseurs de services en nuage sur le marché actuel, lisez notre livre blanc sur la sécurité et la conformité. Prophix est certifié SOC 1 Type 1 & 2 et SOC 2 Type 1 & 2, ce qui signifie que nous sommes en conformité avec les cinq principes de confiance. Pour plus d'informations sur Prophix Cloud, visitez https://trust.prophix.com/.