Tháng Mười Một 2, 2022
iProov tự hào là nhà cung cấp xác thực sinh trắc học khuôn mặt và phát hiện sự sống được xác thực nhất trên thế giới. Chúng tôi làm việc với một số tổ chức có ý thức bảo mật nhất trên thế giới; Để làm như vậy, chúng tôi làm việc siêng năng để đáp ứng nhiều quy trình chứng nhận và tuân thủ nghiêm ngặt nhằm duy trì tính bảo mật, quyền riêng tư và hiệu suất của công nghệ của chúng tôi.
Điều này có nghĩa là người dùng của chúng tôi có thể chắc chắn iProov cung cấp các tiêu chuẩn bảo mật và quyền riêng tư cao nhất có thể.
SOC 2 là một tiêu chuẩn được quốc tế công nhận nhằm đảm bảo các biện pháp kiểm soát phù hợp và mạnh mẽ được áp dụng để quản lý hoạt động dữ liệu khách hàng trong môi trường lưu trữ trên đám mây.
Chứng nhận SOC 2 Loại II nêu bật sự cống hiến của iProov trong việc đảm bảo tính bảo mật và quyền riêng tư của thông tin được xử lý bởi hệ thống của chúng tôi. Nó cũng xác nhận thêm sự tin tưởng vào hoạt động kinh doanh và quy trình của chúng tôi - được chứng nhận bởi các bên thứ ba độc lập, riêng biệt.
Trong bài viết này, chúng tôi sẽ giải thích:
- Chính xác ý nghĩa của chứng nhận SOC 2
- Tại sao chứng nhận SOC 2 lại quan trọng
- Sự khác biệt giữa SOC 2 và các chứng nhận khác
- Những tổ chức nào cần tuân thủ SOC và tại sao nó lại quan trọng đối với tổ chức của bạn.
Chứng nhận SOC 2 là gì?
Kiểm soát hệ thống và tổ chức (SOC) là một tiêu chuẩn được phát triển bởi Viện Kế toán Công chứng Hoa Kỳ (AICPA). SOC nhằm mục đích chứng nhận sự tin tưởng và tin cậy vào các hệ thống mà nó kiểm toán và khẳng định sự cống hiến của tổ chức trong việc bảo vệ dữ liệu và quyền riêng tư của khách hàng.
Chứng nhận Tổ chức Dịch vụ 2 (SOC 2) có nghĩa là chúng tôi đã vượt qua các cuộc kiểm tra nghiêm ngặt về bảo mật, quản lý dữ liệu và quy trình vận hành của mình. SOC 2 phải tuân theo quy trình công nhận hàng năm – điều này có nghĩa là khả năng quản lý an toàn dữ liệu phi tài chính của chúng tôi để bảo vệ lợi ích của tổ chức và quyền riêng tư của người dùng của họ được đánh giá liên tục.
Để đạt được chứng nhận SOC 2, các tổ chức phải thực hiện các biện pháp kiểm soát về:
- Giám sát hệ thống
- Cảnh báo vi phạm dữ liệu
- Thủ tục kiểm toán
- Forensics
Làm thế nào và tại sao iProov đạt được chứng nhận SOC 2?
iProov là nhà cung cấp công nghệ sinh trắc học dựa trên đám mây . Các tổ chức dịch vụ hoạt động trên đám mây đạt được chứng nhận SOC 2 để đảm bảo với các đối tác và khách hàng rằng quy trình thu thập và lưu trữ dữ liệu của họ là minh bạch. Chứng nhận SOC 2 chứng minh tổ chức cảm thấy thoải mái khi cách tiếp cận của mình được xem xét kỹ lưỡng và thách thức bởi các kiểm toán viên bên ngoài.
iProov đã vượt qua thử nghiệm mà không có ngoại lệ. Chúng tôi được tìm thấy tuân theo các quy trình được xác định để quản lý và phê duyệt các thay đổi đối với nền tảng.
Ai cần tuân thủ SOC 2?
Chứng nhận SOC 2 là không bắt buộc. Tuy nhiên, bất kỳ tổ chức nào hoạt động trong môi trường đám mây đều có thể chọn chứng minh rằng công nghệ của mình chịu được sự kiểm toán và giám sát bên ngoài trong khi bảo vệ dữ liệu khách hàng.
Các công ty sử dụng các nhà cung cấp dịch vụ đám mây có thể (và nên) yêu cầu bằng chứng về chứng nhận SOC 2 để thu thập sự đảm bảo về rủi ro của các dịch vụ công nghệ mà họ đang làm việc.
ISO 27001 so với SOC 2
Giống như SOC 2, ISO 27001 chỉ định các tiêu chuẩn nhất định về cách một tổ chức quản lý bảo mật, bảo mật và xử lý toàn vẹn dữ liệu khách hàng.
Sự khác biệt là ISO 27001 cung cấp một khuôn khổ để quản lý dữ liệu và xác minh rằng một ISMS (hệ thống quản lý bảo mật thông tin) hoạt động được đưa ra. SOC 2, mặt khác, tập trung vào các chi tiết cụ thể về cách kiểm soát bảo mật dữ liệu đã được thực hiện.
iProov tuân thủ ISO 27001 và duy trì trạng thái này liên tục với các cuộc kiểm toán hàng năm. Điều quan trọng, phạm vi chứng nhận ISO bao gồm toàn bộ công ty, bao gồm tất cả các sản phẩm và dịch vụ mà nó cung cấp, được kiểm soát từ trụ sở iProov.
Vì vậy, iProov tuân thủ cả hai - cùng với một loạt các quy định nghiêm ngặt khác. Điều này bao gồm, nhưng không giới hạn ở: iRAP, IP3, eIDAS En 319 401, iBeta Cấp 1 và Cấp 2, ISO / IEC 30107-3 và ISO / IEC 19795-1: 2006. Đọc thêm về Quản trị của chúng tôi tại đây.
SOC 1 so với SOC 2
SOC 2 khác với SOC 1. Với SOC 1, trọng tâm là báo cáo và kiểm soát tài chính, trong khi SOC 2 đánh giá các kiểm soát phi tài chính - cụ thể là tuân thủ Nguyên tắc dịch vụ ủy thác (tính khả dụng, bảo mật, tính toàn vẹn xử lý, tính bảo mật và quyền riêng tư).
Ngoài ra, báo cáo SOC 2 có hai dạng, Loại I và Loại II.
Loại I: Đánh giá thiết kế các quy trình bảo mật tại một thời điểm cụ thể.
Loại II: Đánh giá mức độ đầy đủ của các biện pháp kiểm soát đó bằng cách quan sát các hoạt động trong khoảng thời gian tối thiểu là sáu tháng.
iProov được chứng nhận SOC 2 Loại II, đã trải qua quy trình kiểm toán nghiêm ngặt nhất.
SOC 3 là một biến thể của SOC 2 và chứa thông tin tương tự như SOC 2, nhưng nó được trình bày cho khán giả nói chung chứ không phải là thông tin.
iProov và SOC 2 Loại II: tóm tắt
- Kiểm soát tổ chức dịch vụ 2 (SOC 2) là một bộ tiêu chuẩn đánh giá cách tổ chức xử lý dữ liệu và bảo mật của khách hàng. Nó dựa trên năm nguyên tắc tin cậy: bảo mật, tính khả dụng, tính toàn vẹn khi xử lý, bảo mật và quyền riêng tư.
- iProov hoàn toàn phù hợp với SOC 2 Loại II. Không có ngoại lệ nào được tìm thấy khi chúng tôi được kiểm toán. Hệ thống của chúng tôi được chứng nhận hoạt động theo nguyên tắc ít tin cậy nhất.
- SOC 2 Loại II là nghiêm ngặt nhất trong số 3 SOC và đánh giá các kiểm soát phi tài chính của một tổ chức bằng cách quan sát các hoạt động trong khoảng thời gian tối thiểu là sáu tháng.
- Chứng nhận này, ngoài các chứng nhận hiện có của chúng tôi, cung cấp cho các đối tác, khách hàng và khách hàng tương lai của chúng tôi sự đảm bảo rằng dữ liệu của họ và dữ liệu của người dùng được iProov bảo vệ đúng cách.
- Một bản sao của chứng nhận có sẵn cho khách hàng của chúng tôi theo yêu cầu.
Nếu bạn muốn tìm hiểu thêm về cách iProov có thể giúp tổ chức của bạn xác minh danh tính khách hàng trực tuyến một cách an toàn bằng sinh trắc học khuôn mặt, hãy đặt bản demo của bạn ngay hôm nay.
