信息安全是所有组织关注的一个原因，包括那些将关键业务运营外包给第三方供应商（如SaaS、云计算提供商）的组织。这是理所当然的，因为数据处理不当，尤其是应用程序和网络安全提供商处理不当的数据，会使企业容易受到攻击，例如数据盗窃、敲诈和恶意软件安装。

SOC 2是一种审计程序，可确保您的服务提供商安全地管理您的数据，以保护您组织的利益及其客户的隐私。对于有安全意识的企业，在考虑SaaS提供商时，符合SOC 2是最低要求。

什么是SOC 2

由美国注册会计师协会（AICPA）开发的SOC 2定义了基于五个“信任服务原则”的客户数据管理标准-安全性、可用性、处理完整性、保密性和隐私。

与PCI DSS不同，PCI DSS具有非常严格的要求，SOC 2报告对于每个组织都是唯一的。根据具体的业务实践，每一家公司都设计了自己的控制措施，以符合一项或多项信托原则。

这些内部报告为您（以及监管机构、业务合作伙伴、供应商等）提供了有关服务提供商如何管理数据的重要信息。

有两种类型的SOC报告：

类型I描述了供应商的系统及其设计是否适合满足相关的信任原则。

第二类详细说明了这些系统的作战效能。

SOC 2认证

SOC 2认证由外部审计师颁发。他们根据现有的系统和流程评估供应商遵守五项信任原则中的一项或多项的程度。

信任原则细分如下：

1.安全

安全原则是指保护系统资源免受未经授权的访问。访问控制有助于防止潜在的系统滥用、数据被盗或未经授权的删除、软件误用以及信息的不当更改或披露。

网络和web应用程序防火墙（WAF）、双因素身份验证和入侵检测等IT安全工具在防止可能导致未经授权访问系统和数据的安全漏洞方面非常有用。

2.可用性

可用性原则是指合同或服务水平协议（SLA）规定的系统、产品或服务的可访问性。因此，系统可用性的最低可接受性能水平由双方设定。

该原则不涉及系统功能和可用性，但涉及可能影响可用性的安全相关标准。在这种情况下，监控网络性能和可用性、站点故障切换和安全事件处理至关重要。

3.处理完整性

处理完整性原则涉及系统是否达到其目的（即在正确的时间以正确的价格提供正确的数据）。因此，数据处理必须完整、有效、准确、及时且经过授权。

然而，处理完整性并不一定意味着数据完整性。如果数据在输入系统之前包含错误，则检测错误通常不是处理实体的责任。对数据处理的监控，加上质量保证程序，可以帮助确保处理的完整性。

4.保密

如果数据的访问和披露仅限于特定的一组人员或组织，则视为机密数据。示例可能包括仅针对公司人员的数据，以及业务计划、知识产权、内部价目表和其他类型的敏感财务信息。

加密是在传输过程中保护机密性的重要控制。网络和应用程序防火墙，加上严格的访问控制，可用于保护计算机系统上正在处理或存储的信息。

5.隐私

隐私原则根据组织的隐私通知以及AICPA普遍接受的隐私原则（GAPP）中规定的标准，解决系统收集、使用、保留、披露和处置个人信息的问题。

个人可识别信息（PII）是指能够区分个人的详细信息（例如姓名、地址、社会保险号）。一些与健康、种族、性和宗教有关的个人数据也被视为敏感数据，通常需要额外的保护。必须实施控制，以保护所有PII免受未经授权的访问。

SOC 2合规性的重要性

虽然SOC 2合规性不是SaaS和云计算供应商的要求，但它在保护数据安全方面的作用怎么强调都不过分。

Imperva定期接受审计，以确保满足五项信托原则中的每项要求，并确保我们符合SOC 2。法规遵从性扩展到我们提供的所有服务，包括web应用程序安全、DDoS防护、通过我们的CDN交付的内容、负载平衡和攻击分析。

本文：