מה זה SOC 2

דו״ח על בקרות בארגון שירות, בהתאם לקריטריונים של Trust Services Criteria.

SOC (System and Organization Controls) הוא בחינה שמסתיימת בדו״ח על בקרות בארגון שירות, ביחס לאחד או יותר מהנושאים הבאים:

• Security
• Availability
• Processing Integrity
• Confidentiality
• Privacy

הדו״ח נועד לתת למשתמשים חיצוניים מידע מפורט ובטחון לגבי הבקרות שמגנות על המערכות והמידע שהארגון מעבד עבור לקוחותיו.

למי SOC  מתאים

כאשר לקוחות מבקשים “הוכחה” מסודרת לבקרות, ולא מסתפקים בשאלון אבטחה.

SOC 2 נפוץ במיוחד בקרב חברות SaaS, שירותי ענן, ספקים מנוהלים וארגונים שמחזיקים או מעבדים מידע רגיש עבור לקוחות.
במקרים רבים לקוחות Enterprise מבקשים SOC 2 כחלק מתהליך Vendor Risk, ולעיתים הוא הופך לדרישת סף מסחרית.

SOC 2 כדרישת סף מסחרית

לקוחות Enterprise משתמשים ב-SOC 2 כדי לקצר תהליכי Vendor Risk ולהחליט מהר יותר על ספקים.

בשווקים רבים, במיוחד אצל לקוחות Enterprise, הפך ה-SOC לדרישת סף מסחרית כחלק מתהליכי Vendor Risk והתקשרויות עם ספקי SaaS ושירותים מנוהלים. במקום לעבור שוב ושוב שאלוני אבטחה שונים לכל לקוח, דו״ח SOC 2 מספק מסגרת אחידה שמרכזת את הבקרות והראיות ומאפשרת ללקוח לבצע הערכת סיכון מהירה ומבוססת. כתוצאה מכך, ארגונים שמציגים SOC 2 מוכנים לרוב מתקדמים מהר יותר במו״מ, מצמצמים חיכוך באישור משפטי וביטחוני, ומשפרים משמעותית את יכולת הסגירה מול לקוחות גדולים.

Trust Services Criteria, מה באמת נבחן

הקריטריונים מגדירים מה נדרש להוכיח בבקרות, ואתם בוחרים את הדגשים לפי התחייבויות השירות.

ה-Trust Services Criteria (TSC) של AICPA כוללים חמישה תחומים:

1. Security
2. Availability
3. Processing Integrity
4. Confidentiality
5. Privacy

בפועל, אנחנו בונים יחד איתכם סט דרישות שמותאם ל-Scope, לסיכונים, להסכמים מול לקוחות ולהתחייבויות השירות, כדי למנוע מצב שבו מבקרים על דברים שלא התחייבתם אליהם או מפספסים דברים שכן.

AICPA (American Institute of Certified Public Accountants) 

AICPA  הוא הארגון המקצועי המרכזי של רואי חשבון מוסמכים (CPAs) בארה״ב, והוא הגוף שעומד מאחורי מסגרת ה-SOC (System and Organization Controls).
במסגרת זו, ה-AICPA מגדיר את Trust Services Criteria (TSC), כלומר קריטריונים לבקרות בתחומים כמו אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות, אשר משמשים בסיס לביקורות SOC 2. הקריטריונים נקבעים על ידי ועדת Assurance Services Executive Committee (ASEC) של ה-AICPA ומשמשים רואי חשבון מבקרים בביצוע הבחינה ובהפקת הדו״ח.

למה SOC רלוונטי לארגון ישראלי

• דרישת לקוחות ו-Vendor Risk: לקוחות (בעיקר Enterprise) מבקשים דו״ח SOC 2 כחלק מתהליך הערכת ספקים, כי הוא נותן להם assurance מובנה על בקרות אבטחה/זמינות/סודיות/פרטיות במערכת שמטפלת בנתוני הלקוחות.

• שוק אמריקאי ובינלאומי: SOC הוא סטנדרט שמקורו בארה״ב (AICPA), אבל הוא משמש בפועל לקוחות ושותפים גלובליים. ארגון ישראלי יכול בהחלט להיבחן ולקבל דו״ח SOC 2 גם אם אינו יושב בארה״ב.

• מי מנפיק את הדו״ח: דו״ח SOC 2 מונפק על ידי פירמת CPA עצמאית (רו״ח מוסמך), לפי תקני ה-AICPA.
  זה חשוב כי ה”משקל” המסחרי של SOC נשען על עצמאות המבקר ועל מסגרת הקריטריונים (TSC).

מה זה אומר “בארץ” בפועל

בדרך כלל אין חובה רגולטורית ישראלית להחזיק SOC 2, אבל הוא הופך לדרישה חוזית/מסחרית כשאתם:

• מוכרים SaaS/שירות ענן ללקוחות בחו״ל (ובעיקר בארה״ב)
• מחזיקים או מעבדים נתוני לקוחות רגישים
• רוצים לקצר תהליכי אבטחת מידע מול לקוחות (במקום שאלונים אינסופיים)
  והוא גם משתלב יפה לצד ISO 27001 או עמידה ברגולציות פרטיות, כי הוא “מוכיח” בפועל בקרות ותהליכים על בסיס קריטריונים מוגדרים.

SOC 2 Type I מול SOC 2 Type II

ההבדל הוא האם בוחנים תכנון בנקודת זמן, או גם אפקטיביות לאורך תקופה.

• Type I מתמקד בתכנון הבקרות בנקודת זמן מסוימת.

• Type II בוחן גם את האפקטיביות של הבקרות לאורך תקופת בדיקה מוגדרת, לרוב מספר חודשים (לעיתים 3 עד 12 חודשים, בהתאם למבקר ולתכנון).

אנחנו באינפוגארד בונים מסלול שמאפשר להתחיל נכון (Design), ואז לעבור לתפעול עקבי שמייצר Evidence איכותי לתקופת ה-Type II.

איך נראה הליווי של Infoguard ב5 שלבים

תהליך מוכנות שמחבר Governance, תפעול, טכנולוגיה ותיעוד, עד לביקורת.

1. אבחון תחילי והגדרת Scope: שירותים, מערכות, גבולות, צדדים שלישיים, וקריטריונים רלוונטיים (TSC).
2. Gap Analysis ומפת דרכים: אנחנו ממפים פערים מול הקריטריונים שנבחרו ומגדירים תכנית עבודה מתועדפת.
3. בניית בקרות ונהלים: IAM והרשאות, SDLC, ניהול שינויים, לוגים וניטור, ניהול אירועים, המשכיות עסקית, ניהול ספקים ועוד (לפי Scope).
4. Evidence ותיק ביקורת: אנחנו בונים “Data Room” מסודר, מגדירים מי מספק מה, ומוודאים שהראיות עקביות ונסגרות בזמן.
5. תיאום מול רו״ח מבקר: אנחנו מכינים אתכם לשאלות, Walkthroughs ובדיקות מדגמיות. חשוב לציין, דו״ח SOC 2 עצמו מונפק על ידי מבקר מוסמך (CPA), ואנחנו מובילים את המוכנות והיישום עד לביקורת.

תוצרים אופייניים בפרויקט

מה תקבלו “ביד” כדי להפעיל, להציג ולהצליח בביקורת.

• מסמך Scope ו-TSC שנבחרו + מפת התחייבויות שירות
• דו״ח Gap Analysis ותכנית Remediation עם תעדוף ולוחות זמנים
• סט מדיניות ונהלים רלוונטיים ל-SOC 2 (מותאם לסביבה שלכם)
• Control Matrix (בקרות, בעלי אחריות, ראיות, תדירות)
• תיק Evidence מסודר לפי תחומים ותקופות
• הכנה ל-Walkthroughs, בדיקות מדגמיות ומענה לממצאים

SOC 2 מול ISO 27001, ואיפה זה מתחבר

אנחנו משתמשים במה שכבר קיים, ומונעים כפילויות בין תקינה, רגולציה ודרישות לקוח.

SOC 2 ו-ISO 27001 לא “מתחרים”, הם משלימים. ISO 27001 בונה מערכת ניהול (ISMS) ואילו SOC 2 מוכיח בפועל כיצד הבקרות פועלות בהתאם לקריטריונים שנבחרו. אנחנו באינפוגארד מבצעים מיפוי בין הקיים (למשל נהלים, בקרות, תהליכים, ניטור ותיעוד) לבין דרישות SOC 2, כדי לקצר זמן, לחסוך מאמץ ולהוציא תוצר שניתן להציג ללקוחות בצורה ברורה.

רוצים לבדוק אם SOC 2 מתאים לכם ומה המסלול הנכון?

אנחנו באינפוגארד נבצע בדיקת צרכים קצרה, נגדיר יחד את ה-Scope ואת הקריטריונים הרלוונטיים, ונזהה את הפערים המרכזיים שמונעים מכם להתקדם לביקורת. לאחר השיחה תקבלו כיוון ברור למסלול Type I או Type II, כולל תעדוף משימות ותוצרים נדרשים.

השאירו פרטים ונחזור אליכם לתיאום שיחת אבחון.