Hvad er ISAE3000 SOC 2 og hvorfor er det vigtigt?

LeadDesk er ISAE3000 SOC 2 Type I-akkrediteret af KPMG. Men hvad betyder det egentlig for dig, og hvorfor er det vigtigt?

Hvorfor skal jeg bekymre mig om SOC 2?

ISAE3000 SOC 2 (SOC 2)-overensstemmelse er et must-have-krav for enhver sikkerhedsbevidst virksomhed, der køber en ekstern service, især når du har at gøre med personligt identificerbare oplysninger.

Offentlige myndigheder, styrelser og virksomheder

Når du udarbejder en Request for Information eller Request for Proposal (RFI/RFP) for en tjeneste, er minimumskravet ofte enten SOC 2-akkreditering eller ISO 27001-certificering eller begge dele.

[LeadDesk har også ISO 27001-certificering – læs mere her].

Små og mellemstore virksomheder

Hvis du arbejder i en særlig datafølsom branche, som f.eks. sundhedssektoren, skal du overveje, hvordan dine oplysninger håndteres af de tjenester, du bruger.

Kort sagt: Hvis du er interesseret i at holde dine kundeoplysninger sikre på tværs af alle dine tjenester, skal du kun vælge tjenester med SOC 2-akkreditering og/eller ISO 27001-certificering.

“Med SOC2 kan LeadDesk sikre vores kunder, at vores tjenester er bygget og administreret i overensstemmelse med en af de mest anerkendte sikkerhedsstandarder i verden.« – Trang Nguyen, intern revisor hos LeadDesk

Hvad er SOC 2?

Systems and Organizational Controls (SOC) er rapporter, som udarbejdes af en uafhængig revisor efter at have evalueret, hvordan en virksomhed håndterer kundedata, især følsomme data, i sine daglige procedurer.

SOC 2-akkreditering udstedes i henhold til International Standard on Assurance Engagement (ISAE).

LeadDesk blev revideret af KPMG for ISAE3000 SOC 2 Type I-akkreditering. Type I beskriver, om en virksomhed har evnen til at opfylde visse tillidsprincipper og -kriterier som tjenesteudbyder. Type II beskriver effektiviteten af disse kapaciteter i drift.

Hvordan får man SOC 2-akkreditering?

SOC 2-akkreditering består af to dele. I sin mest grundlæggende form skal organisationen vise, at den er i stand til at opfylde 17 krav i det, der er kendt som COSO-rammens principper for intern kontrol. Den anden del dækker de valgfrie Trust Service Criteria, som er opsummeret nedenfor.

SOC 2-krav: De 17 principper for intern kontrol

De 17 principper for intern kontrol er obligatoriske og skal udfyldes af alle organisationer, der ønsker SOC 2-akkreditering. Derudover er der 4 ekstra faktorer, som også kan evalueres.

Disse principper sikrer, at virksomheden har procedurer på plads til at holde oplysninger sikre, til at sikre, at kun relevante medarbejdere har adgang til fortrolige oplysninger, og til at minimere risici gennem løbende uddannelse, systemovervågning og konsekvent evaluering af partnere og tredjepartsleverandører.

Det betyder, at en virksomhed, der har bestået kravene i Principles of Control:

• Uddanner alle deres medarbejdere i informationssikkerhed.
• Sørger for, at alle, de køber tjenester fra, har lignende protokoller for informationssikkerhed.
• Sikrer, at alle kundedata er sikre, sikkerhedskopierede og begrænser den fysiske og digitale adgang til disse data. Og fjerner disse data ved afslutningen af et kundeforhold.
• Har procedurer på plads til hurtigt at reagere på eventuelle hændelser.
• Reviderer regelmæssigt informationssikkerhedsprocedurer internt og med en ekstern revisor.

COSO’s 17 Principles of Control, image adapted from CGCompliance.

De 5 Trust Service-kriterier

Hvis en organisation kan vise, at den lever op til de 17 principper for intern kontrol, kan den også vælge at blive undersøgt for et eller flere af de fem Trust Service-kriterier for SOC 2-akkreditering. I denne del kan virksomheden vælge, hvilke af de fem kriterier der er mest relevante for deres virksomhed.

Trust Service Criteria dækker, hvordan en virksomhed håndterer kundedata ved at undersøge:

1. Sikkerhed

Dette omfatter firewalls, indbrudsdetektering, og om virksomheden bruger multifaktorautentificering i sine tjenester.

At bestå disse krav i en SOC 2-audit betyder, at LeadDesk har minimeret muligheden for datalækager og sikkerhedsbrud.

2. Tilgængelighed

Virksomheder, der leverer kritiske forretningstjenester, skal være pålidelige og tilgængelige. Deres kunder skal have ro i sindet og vide, at eventuelle problemer løses hurtigt og ikke påvirker deres forretning negativt.

I revisionen blev LeadDesk undersøgt for, hvordan vi overvåger vores softwaretilgængelighed, og hvordan vi reagerer på og genopretter efter hændelser, hvis de sker.

3. Fortrolighed

Revisorer undersøger, hvordan virksomheden arbejder for at holde data fortrolige. Det omfatter adgangskontrol, så kun en udvalgt gruppe mennesker har adgang til dataene. Eksempler kan være forretningsplaner, intellektuel ejendom og følsomme finansielle oplysninger.

LeadDesk blev også undersøgt for, hvordan de data, de behandler, krypteres for at forhindre uautoriseret adgang undervejs.

4. Integritet i behandlingen

Holder det reviderede system dine data rene og uændrede? Behandlingsintegritet kræver, at data kun behandles, når de er autoriserede, og at de ikke forvrænges eller ændres.

Når auditører undersøger behandlingsintegritet, ser de på kvalitetssikringspraksis og procesovervågning.

5. Beskyttelse af personlige oplysninger

Personligt identificerbare oplysninger skal altid håndteres omhyggeligt af enhver organisation. Tidligere nævnte faktorer som kryptering, multifaktorautentificering og adgangskontrol spiller alle en rolle i at holde sådanne oplysninger private. Revisorer vil tjekke for disse faktorer, når de undersøger privatlivets fred under SOC 2.

Ud over de 17 COSO-rammekrav blev LeadDesk evalueret i forhold til de tre Trust Service-kriterier, der er mest relevante for vores organisation: Sikkerhed, tilgængelighed og fortrolighed.

Hvad er forskellen mellem SOC 2 og ISO 27001?

SOC 2 og ISO 27001 har nogle ligheder, men der er nogle vigtige forskelle i, hvordan de undersøger en virksomheds sikkerhedskontroller:

Hvis du gerne vil vide mere om, hvorfor LeadDesk er den mest sikre løsning til din kontaktcentersoftware, så book en demo.