“个人数据”一词是适用《一般数据保护条例》（GDPR）的入口。只有当数据处理涉及个人数据时，才适用《一般数据保护条例》。该术语的定义见第4（1）条。个人数据是与已识别或可识别自然人相关的任何信息。

如果公司选择使用个人数据加密，则可以降低数据泄露的概率，从而降低未来罚款的风险。处理个人数据自然会带来一定程度的风险。尤其是如今，对于规模以上的公司来说，网络攻击几乎是不可避免的。因此，风险管理在IT安全方面发挥着越来越大的作用，数据加密尤其适用于这些公司。

避免大额GDPR罚款的一个简单方法是在使用用户的个人数据之前始终获得用户的许可。本文解释了GDPR同意要求，以帮助您遵守。 与普遍的看法相反，欧盟GDPR（一般数据保护条例）并不要求企业在将个人信息用于商业目的之前获得他人的同意。相反，同意只是GDPR第6条概述的六个法律基础之一。企业必须确定其数据处理的法律依据。

因此，您已经在AWS或其他基础设施即服务提供商的基础上构建了软件即服务（SaaS）应用程序。您这样做的原因之一可能是为了利用符合AWS SOC 2的基础设施。AWS等服务组织收到SOC 2报告，向投资者和客户等利益相关者证明AWS基础设施是安全和可用的。此外，AWS的用户希望知道AWS的控件设计合理，运行有效。利用AWS SOC 2创建您自己的符合SOC 2的应用程序在我们的客户中很常见。

偶尔，我们会收到客户的询问，

“AWS已经有了SOC 2，我们也需要自己的SOC 2吗？”

答案是，这取决于您的客户和利益相关者。仅仅因为AWS负责某些控制以满足SOC 2标准，并不意味着贵公司不负责其他控制以满足SOC 2标准。如果你的客户有精明的审计师，他们也会要求保证你公司负责的控制措施设计和运行有效。

如果您在AWS或Azure上构建应用程序，您公司的SOC 2将不包括AWS或Azure负责的控制。这些都是从报告中分离出来的，报告仅涵盖您的SaaS公司为满足适用的SOC 2信任服务标准而实施的控制。

摘要：在本文中，我们将查看SOC 2 Type 2报告，并将其与ISO/IEC 27001和HITRUST进行比较。您将了解法规遵从性评估之间的显著差异、范围、谁受益、何时应考虑评估以及认证持续时间。在本文结束时，您将了解Soc 2 Type 2报告涵盖的内容、主要好处以及开始评估所需采取的步骤。

什么是SOC 2类型2报告？

SOC 2类型2报告是服务组织控制（SOC）对基于云的服务提供商如何处理敏感信息的审计。它涵盖了公司控制措施的适用性及其运营效率。

对于云和数据存储公司来说，对其安全保障进行独立评估是信任的基石，涵盖了五大信任服务原则（TSP）：安全性、可用性、处理完整性、保密性和隐私。作为评估的一部分，基于云的供应商托管独立检查员，向他们提供控制文档，并允许对其系统进行采样和测试。

SOC 2是一个流行的安全和风险评估框架，但公司可能会考虑使用ISO/IEC 27001或HITRUST。

随着当今数据泄露和黑客行为的激增，难怪人们更加关注信息安全。SOC 2报告是通用报告，向用户组织和利益相关者提供特定服务安全提供的保证。SOC 2还可以包括与可用性、机密性、处理完整性和隐私相关的标准。

在本文中，我们将讨论与SOC 2报告相关的一些常见问题。SOC 2合规性并不一定很难，尽管在某些术语中，最初可能会令人困惑。那么什么是SOC 2报告和检查？让我们潜水吧！

什么是SOC 2认证？

SOC 2不是认证，但通常称为认证。干净的报告意见表明，审计事务所同意管理层关于控制设计（I类和II类）和操作（仅II类）的主张。清洁报告是一种“通行证”，有时也称为认证。在许多情况下，意见是积极的，会计师事务所同意管理层的主张。在某些情况下，会计师事务所不同意管理层的主张，并提供了保留意见或反对意见。请参阅这篇关于保留意见的博客文章。虽然SOC 2在技术上是一份认证报告，但人们通常将SOC 2称为认证。有关更多信息，请参阅与认证报告相关的AICPA页面。

信息安全是所有组织关注的一个原因，包括那些将关键业务运营外包给第三方供应商（如SaaS、云计算提供商）的组织。这是理所当然的，因为数据处理不当，尤其是应用程序和网络安全提供商处理不当的数据，会使企业容易受到攻击，例如数据盗窃、敲诈和恶意软件安装。

SOC 2是一种审计程序，可确保您的服务提供商安全地管理您的数据，以保护您组织的利益及其客户的隐私。对于有安全意识的企业，在考虑SaaS提供商时，符合SOC 2是最低要求。

什么是SOC 2

由美国注册会计师协会（AICPA）开发的SOC 2定义了基于五个“信任服务原则”的客户数据管理标准-安全性、可用性、处理完整性、保密性和隐私。

与PCI DSS不同，PCI DSS具有非常严格的要求，SOC 2报告对于每个组织都是唯一的。根据具体的业务实践，每一家公司都设计了自己的控制措施，以符合一项或多项信托原则。

云帮助企业通过经济高效的解决方案保持灵活性，但它安全吗？了解SOC 2 Type 2报告如何确保云提供商保持最高级别的安全性。

云提供商安全控制。

云服务提供商管理大量重要的用户数据，这就是为什么必须遵守最严格的安全准则来确保信息安全。

服务组织控制（SOC）第2类报告概述了公司的内部控制，并详细说明了它们如何保护客户数据，特别是针对云服务提供商。具体来说，它是一个第三方审计，显示安全协议是否安全有效。

当服务提供商通过SOC类型2审计时，这证明了他们的内部控制在较长的一段时间内仍然有效。

SOC 2类型2报告所涵盖的标准。

所有SOC 2审计涵盖五项信托服务标准：

2022年6月30日，中国网络空间管理局（“CAC”）发布了期待已久的个人信息出口标准合同草案（“标准合同”），以及标准合同规则草案（“规则”）。对标准合同在企业跨境数据传输策略中的应用和要求进行分析至关重要，因为签署标准合同预计将是实现个人信息从中国大陆国际传输的最常用方法。Linklaters的Alex Roberts和Yang Fan以及赵盛律师事务所的Tiantian Ke研究了标准合同最新草案的关键方面，并与欧盟2021标准合同条款（“欧盟SCCs”）进行了比较。

印度拟议的数据保护法已经制定了很长时间。2018年，由印度政府组成的专家委员会发布了拟议数据保护法初稿。2019年底，该草案的修订版本，名为2019年个人数据保护法案（“PDPB”），提交给印度议会。PDPB受到争议的困扰，特别是在政府机构的豁免、匿名数据的处理、数据本地化要求和受监管的跨境传输方面。为了更深入地审查拟议的法律，草案被提交给由议会两院议员组成的联合议会委员会（“委员会”）。