Cloud Security 101: Todos los conceptos básicos que necesita saber

Es fácil sentirse intimidado por el gran volumen de acrónimos que existen en el espacio de seguridad y cumplimiento. Estos acrónimos hacen que sea difícil saber qué buscar al elegir un proveedor de software como servicio (SaaS) en la nube. Al final del día, desea tener la tranquilidad de que sus datos están seguros y protegidos. Es por eso que nos gustaría desmitificar el proceso de evaluación y explicar qué buscar al comparar y evaluar proveedores de SaaS Cloud. En este blog, describiremos los estándares de cumplimiento y cómo afectan a la seguridad en la nube.

¿Qué son los estándares de cumplimiento?

Algunos de los acrónimos más comunes con los que puede encontrarse son Centro de operaciones de seguridad (SOC) y Principios de servicio de confianza (TSP). La responsabilidad de un Centro de Operaciones de Seguridad (SOC) es supervisar y analizar la postura de seguridad de una organización de forma continua. Los informes SOC ofrecen seguridad sobre los entornos de control en lo que respecta a la recuperación, el almacenamiento, el procesamiento y la transferencia de datos. Hay múltiples informes que demuestran que una organización está en buen estado. Es decir, el cumplimiento de SOC 1 y SOC 2: es importante que los informes de Tipo 1 y Tipo 2 estén completos para estos SOC.

• Informe Tipo 1 - Demuestra que los controles internos de una empresa están diseñados adecuadamente para cumplir con los Principios de Confianza relevantes. Este informe no confirma la eficacia de los controles a lo largo de un período.
• Informe Tipo 2 - Además, demuestra que los controles funcionan de forma eficaz durante un período.

¿Sabías que...? Para reclamar el cumplimiento de SOC, los proveedores solo necesitan tener un informe SOC 1 Tipo 1 completado, no el cumplimiento completo de SOC que incluye un informe Tipo 2. Es importante preguntar a un proveedor si su cumplimiento de SOC incluye un informe de Tipo 2. Solo entonces tendrá la seguridad de que los controles han sido probados durante un período de tiempo.

Diferencias entre los cumplimientos de SOC 1 y SOC 2

Ahora que hemos esbozado cuáles son los estándares de cumplimiento (SOC) más comunes, veamos las diferencias entre SOC 1 y SOC 2. SOC 1 – Un informe SOC 1 garantiza que su información financiera se maneja de forma segura. La versión internacional del informe SOC 1 se conoce comúnmente como ISAE 3402. Normalmente, cuando un proveedor dice que cumple con SOC 1, la implicación es que ha completado los informes de Tipo 1 y Tipo 2. SOC 2 – Este informe ofrece garantías sobre los entornos de control en relación con la recuperación, el almacenamiento, el procesamiento y la transferencia de datos. Aquí es donde entran en juego los Principios de Servicio de Confianza (TSP). Los informes SOC 2 evalúan el cumplimiento de una organización en función de cinco criterios, que comúnmente se conocen como Principios de Servicio de Confianza (TSP). Los cinco Principios del Servicio de Confianza son:

1. Seguridad– La información y los sistemas están protegidos contra el acceso no autorizado, la divulgación no autorizada de información y los daños a los sistemas.
2. Disponibilidad– La información y los sistemas están disponibles para su operación y uso.
3. Integridad del procesamiento – El procesamiento del sistema es completo, válido, preciso, oportuno y autorizado.
4. Confidencialidad– La información designada como confidencial está protegida.
5. Privacidad– La información personal se recopila, utiliza, conserva, divulga y elimina.

¿Sabías que...? Para reclamar el cumplimiento del informe SOC 2 Tipo 2, los proveedores solo deben cumplir con al menos uno de los cinco TSP. Es importante preguntar a un proveedor qué entidades de servicio de confianza se cumplen para un informe SOC 2 Tipo 2. Asegúrese de preguntar a los proveedores si han cumplido con los cinco TSP como parte de su cumplimiento de SOC 2.

Seguridad y cumplimiento en la nube de Prophix

Comprender las diferencias entre los informes SOC 1, SOC 2 y Tipo 1 y 2 lo ayudará a tomar una decisión informada al elegir un proveedor de SaaS Cloud. Sin embargo, hay varios otros aspectos de la seguridad y el cumplimiento que debe tener en cuenta, incluida la frecuencia de las auditorías, los marcos en los que está certificado el proveedor, quién proporciona la tecnología en la nube subyacente y qué tan optimizada está la autenticación del usuario final. Para obtener más información sobre cómo navegar por los proveedores de nube en el mercado actual, lea nuestro documento técnico de seguridad y cumplimiento. Prophix está certificado en los cumplimientos de SOC 1 Tipo 1 y 2 y SOC 2 Tipo 1 y 2, lo que significa que cumplimos con los cinco Principios de Confianza. Para obtener más información sobre Prophix Cloud, visite https://trust.prophix.com/.