V dnešní době, kdy digitální prostředí ovlivňuje každodenní fungování firem i jednotlivců, je ochrana dat a informační bezpečnost klíčovou prioritou pro úspěšné podnikání. S rostoucím využíváním cloudových služeb a outsourcingem informačních technologií se zvyšuje i potřeba důkladného řízení rizik spojených s poskytovateli těchto služeb. V této souvislosti zaujímá SOC2 report významnou roli jako nástroj pro snižování rizik a řízení dodavatelů.
V kontextu aktuálního legislativního a regulačního prostředí v oblasti e-government cloudu (eGC) a dalších regulací, jako například NIS2 a jeho transpozice do návrhu nového Zákona o kybernetické bezpečnosti, včetně prováděcích předpisů, nařízení DORA aj., nabývá SOC2 ještě většího významu. Všechny tyto regulace vyžadují, aby organizace měly implementované efektivní procesy pro řízení rizik a dodavatelů. Zajištění souladu s těmito požadavky je klíčové pro ochranu citlivých dat a splnění právních a regulačních požadavků. SOC2 report může být vhodným nástrojem pro prokázání tohoto souladu a poskytnutí záruky o zajištění bezpečnosti, důvěrnosti, dostupnosti a integritě systémů, jak interních, tak i těch externě poskytovaných.
Při výběru zprávy je vždy zásadní, zda je reálné provést ověření za celé kontrolní období, nebo se jedná o první ověření a není zajištěn soulad se všemi požadavky. Pokud není možné provést ověření za celé období (například kontroly byly zavedeny teprve nedávno), je vhodnější zvolit typ I a následně realizovat typ II.
Druhým příkladem je provedení prvního auditu SOC2. Pokud klient ví, že má zavedené kontroly a potřebuje je potvrdit před samotnou realizací typu II, zpracovává se zpráva typu I.
Třetí variantou je zcela výchozí provedení ověření existence kontrol. V tomto případě klientům doporučujeme realizaci vyhodnocení souladu interních kontrol s požadavky na SOC2 (preassessment).
Více informací najdete na WEBU: https://www.bdo.cz/cs-cz/sluzby/audit/overovani-tretich-stran-tpa/soc-reporting
V roce 2021 nabyla účinnosti Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu, kterou vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), a to Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu.
Pro zápis do eGC katalogu je vyžadováno splnění definovaných přísných bezpečnostních a technických kritérií, která zahrnují opatření pro bezpečnost, ochranu dat, šifrování, zálohování, dostupnost služeb, ochranu proti útokům a hrozbám aj., kde je nutné doložit i SOC2 Type II zprávy.
Organizace může SOC2 reportem prokázat, že má vytvořeny a zavedeny procesy a postupy, které zajišťují bezpečnost v oblastech požadovaných eGC.
Všechny tyto požadavky jsou během procesu SOC2 ověřeny a otestovány prostřednictvím důkladného auditu nezávislým auditorem.
Náš klient, společnost O2 Czech Republic, dosáhl certifikace SOC2 Type II. Tomuto projektu předcházely více než roční přípravné práce, na které se podařilo navázat provedením nezávislého auditu za období končící 30. 11. 2023.
Díky tomu ověření může společnost O2 Czech Republic své služby nabízet i veřejné správě. Jako jedna z mála českých společností splňuje požadavky zákona.
„Bezpečnost a ochrana zákaznických dat jsou pro O2 prioritou. Certifikát SOC 2 potvrzuje, že v rámci O2 Cloudu dodržujeme přísné bezpečnostní normy a naše pravidelné interní kontroly jsou v souladu s nejvyššími bezpečnostními požadavky na ochranu dat, vysvětluje Tomáš Křešťák, ředitel produktů pevné sítě. Celou tiskovou zprávu si můžete přečíst ZDE.
Velké poděkování patří celému týmu, vedeném Dominikou Adamcovou.
V kontextu aktuálního legislativního a regulačního prostředí v oblasti e-government cloudu (eGC) a dalších regulací, jako například NIS2 a jeho transpozice do návrhu nového Zákona o kybernetické bezpečnosti, včetně prováděcích předpisů, nařízení DORA aj., nabývá SOC2 ještě většího významu. Všechny tyto regulace vyžadují, aby organizace měly implementované efektivní procesy pro řízení rizik a dodavatelů. Zajištění souladu s těmito požadavky je klíčové pro ochranu citlivých dat a splnění právních a regulačních požadavků. SOC2 report může být vhodným nástrojem pro prokázání tohoto souladu a poskytnutí záruky o zajištění bezpečnosti, důvěrnosti, dostupnosti a integritě systémů, jak interních, tak i těch externě poskytovaných.
Co je SOC2
Service Organizations Controls (SOC2) je druhem certifikace v oblasti informační bezpečnosti poskytován společnostem, která zaručuje splnění určitých bezpečnostních standardů. Certifikát je vydán na základě auditu, který posuzuje, zda organizace splňuje principy a cíle definované standardem AICPA (American Institute of Certified Public Accountants). Tyto principy zahrnují oblast bezpečnosti, dostupnosti, důvěrnosti, procesní integrity a soukromí.SOC2 type I
SOC2 typ I hodnotí kontroly kybernetické bezpečnosti organizace v jednom časovém okamžiku. Cílem je zjistit, zda jsou vnitřní kontroly zavedené dostatečně a správně navržené tak, aby poskytovaly správnou ochranu dat zákazníků. Audity a zprávy typu 1 lze dokončit během několika týdnů.SOC2 type II
Zpráva SOC2 typ II zkoumá, jak dobře funguje systém a kontrolní mechanismy organizace poskytující služby po určitou dobu (obvykle 3-12 měsíců). Zkoumá, jaká je provozní činnost a zdali systémy fungují tak, jak bylo původně zamýšleno po celé kontrolované období. Doba nezbytná pro provedení tohoto auditu se zpravidla pohybuje mezi 3–6 měsíci.SOC2 type I vs. SOC2 type II
Oba typy SOC2 vyžadují provedení auditorskou společností.Při výběru zprávy je vždy zásadní, zda je reálné provést ověření za celé kontrolní období, nebo se jedná o první ověření a není zajištěn soulad se všemi požadavky. Pokud není možné provést ověření za celé období (například kontroly byly zavedeny teprve nedávno), je vhodnější zvolit typ I a následně realizovat typ II.
Druhým příkladem je provedení prvního auditu SOC2. Pokud klient ví, že má zavedené kontroly a potřebuje je potvrdit před samotnou realizací typu II, zpracovává se zpráva typu I.
Třetí variantou je zcela výchozí provedení ověření existence kontrol. V tomto případě klientům doporučujeme realizaci vyhodnocení souladu interních kontrol s požadavky na SOC2 (preassessment).
Více informací najdete na WEBU: https://www.bdo.cz/cs-cz/sluzby/audit/overovani-tretich-stran-tpa/soc-reporting
Cloud computing, e-government cloud a SOC2
Cloud computing je způsob zajištění provozu informačního systému veřejné správy nebo jeho části, prostřednictvím dálkového přístupu k sdílenému technickému nebo programovému prostředku, který je zpřístupněný poskytovatelem cloud computingu a nastavitelný správcem informačního systému veřejné správy. Služby eGC zahrnují tři hlavní kategorie cloudových služeb:- IaaS (Infrastructure as a Service)
- PaaS (Platform as a Service)
- SaaS (Software as a Service)
V roce 2021 nabyla účinnosti Vyhláška o některých požadavcích pro zápis do katalogu cloud computingu, kterou vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), a to Vyhláška č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu.
Pro zápis do eGC katalogu je vyžadováno splnění definovaných přísných bezpečnostních a technických kritérií, která zahrnují opatření pro bezpečnost, ochranu dat, šifrování, zálohování, dostupnost služeb, ochranu proti útokům a hrozbám aj., kde je nutné doložit i SOC2 Type II zprávy.
Organizace může SOC2 reportem prokázat, že má vytvořeny a zavedeny procesy a postupy, které zajišťují bezpečnost v oblastech požadovaných eGC.
Řízení rizik, dodavatelů a SOC2 report
SOC2 definuje bezpečnostní požadavky v oblastech řízení rizik i řízení dodavatelů. Organizace, která obdržela SOC2 report, má vytvořené a implementované postupy pro vyhodnocování a výběr dodavatelů, analýzu rizik dodavatelů, jejich monitorování, hodnocení a kontrolu v oblasti dodržování nastavených požadavků. Dále má definované postupy při terminaci dodavatele s ohledem na zajištění důvěrnosti dat a vypracovanou exit strategii pro zajištění dostupnosti svých služeb. Uvnitř organizace je navržen a implementován systém řízení rizik, který je procesně efektivní a organizace je tak schopna reagovat na rizika a minimalizovat jejich negativní dopady.Všechny tyto požadavky jsou během procesu SOC2 ověřeny a otestovány prostřednictvím důkladného auditu nezávislým auditorem.
Náš klient, společnost O2 Czech Republic, dosáhl certifikace SOC2 Type II. Tomuto projektu předcházely více než roční přípravné práce, na které se podařilo navázat provedením nezávislého auditu za období končící 30. 11. 2023.
Díky tomu ověření může společnost O2 Czech Republic své služby nabízet i veřejné správě. Jako jedna z mála českých společností splňuje požadavky zákona.
„Bezpečnost a ochrana zákaznických dat jsou pro O2 prioritou. Certifikát SOC 2 potvrzuje, že v rámci O2 Cloudu dodržujeme přísné bezpečnostní normy a naše pravidelné interní kontroly jsou v souladu s nejvyššími bezpečnostními požadavky na ochranu dat, vysvětluje Tomáš Křešťák, ředitel produktů pevné sítě. Celou tiskovou zprávu si můžete přečíst ZDE.
Velké poděkování patří celému týmu, vedeném Dominikou Adamcovou.