تعتبر البيانات سلعة ذات قيمة متزايدة، ولذلك تخضع الإجراءات التي تتخذها المؤسسات للحفاظ على بيانات العملاء آمنة لمزيد من التدقيق.
وهذا شئ ضروري — في ريموت باس، لدينا إيمان راسخ بأنه يجب التعامل مع بيانات عملائنا بأقصى قدر من العناية والاهتمام. ولهذا السبب قررنا تبني مقاييس ومعايير الصناعة، وهي تدقيق طوعي لحماية البيانات يسمى (معايير مراقبة تنظيم الخدمات 2) أو باختصار SOC2.
سنتعمق في هذه المقالة عن معايير SOC2، وما يعنيه بالنسبة لنا في ريموت باس، وما هي الإجراءات التي سنتخذها في المستقبل لضمان بقاء تعاملنا مع البيانات آمنًا قدر الإمكان.
ما معنى معايير SOC2؟
SOC2 هو معيار امتثال طوعي تم تطويره من قبل المعهد الأمريكي للمحاسبين القانونيين (AICPA) والذي يقيّم كيفية تعامل المؤسسات مع بيانات العملاء.
ومن أجل تحقيق معايير SOC2، يجب على المؤسسات الموافقة على عمليات تفتيش صارمة من قبل مدققين مستقلين، الذين يقومون بتقييم المنظمة مقابل مجموعة من المعايير، والتي يطلقون عليها "مبادئ خدمة الثقة". وتشمل هذه:
- الخصوصية
في سياق معايير SOC2، تشير الخصوصية إلى الطريقة التي يجمع بها النظام المعلومات الشخصية ويستخدمها ويحتفظ بها ويفصح عنها واخيراً يتخلص منها، بما يتماشى مع سياسات الخصوصية، بالإضافة إلى "مبادئ الخصوصية المقبولة عمومًا" (GAPP) الخاصة بـ AICPA. يجب وضع الضوابط اللازمة لحماية معلومات التعريف الشخصية (PII) من أي وصول غير مصرح به.
- الحماية
تشير الحماية او الأمان إلى الطريقة التي تحمي بها المؤسسة موارد النظام من الوصول غير المصرح به. يجب أن تكون ضوابط الوصول القوية في مكانها الصحيح لمنع الوصول غير المصرح به أو إساءة الاستخدام أو السرقة أو إزالة البيانات، فضلاً عن الكشف غير المناسب عن المعلومات أو تعديلها. يبحث مبدأ خدمة الثقة هذا عن تنفيذ أنظمة مثل جدران الحماية، والمصادقة الثنائية (2FA)، والكشف عن الاختراقات والتسلل - وكلها تقلل من مخاطر الانتهاكات بشكل كبير.
- السرية
المعلومات السرية هي التي يقتصر الوصول إليها على أفراد أو مجموعات محددة، مثل الملكية الفكرية أو معلومات التسعير، على سبيل المثال. بموجب مبدأ خدمة الثقة، سيتم عملية تدقيق بمعايير SOC2 للنظر إذا كان التشفير مطبقًا في نقل المعلومات السرية، وإذا كانت هناك جدران حماية، وإذا كانت ضوابط الوصول مستخدمة - وكلها تحمي البيانات التي تتم معالجتها أو تخزينها.
- سلامة العمليات
يأخذ تدقيق SOC2 أيضًا في الاعتبار سلامة عمليات إدارة البيانات، لتحديد ما إذا كانت تحقق أغراضها المتسهدفة، بتقديم البيانات الصحيحة في الوقت المناسب. هذا لا يقيم سلامة البيانات نفسها، ولكن طريقة معالجة البيانات.
- الجاهزية
بموجب مبدأ ثقة "الجاهزية" ، يقوم تدقيق SOC2 بمراجعة وفحص إمكانية الوصول إلى النظام، وفقا للاتفاقيات مستوى الخدمة (SLAs) أو العقود. لا ينظر هذا إلى الأداء، ولكنه يستكشف الجوانب المتعلقة بالأمان التي قد تؤثر على توفر البيانات.
لماذا يعتبر SOC2 مهمًا؟
بالنسبة لشركات البرمجيات كخدمة (SaaS)، لا يعتبر SOC2 شرط أو ضرورة، ولكنه إجراء تطوعي يمكن اتخاذه من أجل ضمان أمان سياسات المؤسسة في إدارة البيانات.
لا يمكن المبالغة في أهمية اتخاذ هذه التدابير والاحتياطات - لأن الانتهاكات مكلفة للجميع - وبالتالي يجب أن يكون العملاء حريصين على اختيار مقدمي الخدمات الذين يأخذون أمن البيانات على محمل الجد. SOC2 هي إحدى علامات الثقة التي يمكن لعملاء SaaS الاعتماد عليها. يضيف SOC2 طبقة إضافية من الاجتهاد - وبالتالي الثقة - في عمليات إدارة البيانات القوية بالفعل.
إعداد الموظفين وكشف رواتب ملتزم بـ SOC2 مع ريموت باس
تعاونت ريموت باس مع منظمة تقييم وقياس امتثال الأمن السيبراني المستقلة Kompleye التي أكملت فحصًا شاملاً، متضمن:
- فهم نطاق خدمات ريموت باس والالتزامات ومتطلبات النظام.
- وصف مفصل للنظام وتقييم كفاءة وتصميم ضوابط الشركة.
- تحسين إجراءات التشغيل لضمان أعلى مستوى من خصوصية البيانات وأمانها.
- القيام بالإجراءات وجمع الأدلة
تم اعتماد ريموت باس رسميًا من خلال SOC2 Type 1 اعتبارًا من 30 سبتمبر 2022.
ماذا يعني SOC2 لـ ريموت باس
كمنظمة دولية، تخدم الآلاف من العاملين عن بعد حول العالم، يعد الامتثال بأمن البيانات موضوعًا رئيسيًا. كموظفين يعملون عن بعد تمامًا، كان علينا تصور البنية التحتية التقنية لدينا وفقًا لذلك وتخيل سير عمل يمنح أعلى مستوى من الوصول إلى البيانات وحمايتها لجميع مستخدمينا.
نحن نتفهم أن إدارة البيانات ليست عملية ثابتة، وبالتالي لا يوجد تدقيق واحد يمكن أن يكون مفيدًا وصالحًا مدى الحياة. لذلك تلتزم ريموت باس بالخضوع لتدقيق SOC 2 سنويًا لضمان تحسين الامتثال وتحديثه باستمرار.
ونحن نشجع شركات SAAS بشدة على إجراء تدقيق SOC2، حيث يمكنها حقًا تحويل وتحسين الممارسات والسياسات الداخلية للشركة وبالتالي طمأنة العملاء والعملاء المحتملين بأن بياناتهم محمية بشكل آمن.
Need help onboarding, hiring, and paying global teams?
Try RemotePassTry RemotePassتعتبر البيانات سلعة ذات قيمة متزايدة، ولذلك تخضع الإجراءات التي تتخذها المؤسسات للحفاظ على بيانات العملاء آمنة لمزيد من التدقيق.
وهذا شئ ضروري — في ريموت باس، لدينا إيمان راسخ بأنه يجب التعامل مع بيانات عملائنا بأقصى قدر من العناية والاهتمام. ولهذا السبب قررنا تبني مقاييس ومعايير الصناعة، وهي تدقيق طوعي لحماية البيانات يسمى (معايير مراقبة تنظيم الخدمات 2) أو باختصار SOC2.
سنتعمق في هذه المقالة عن معايير SOC2، وما يعنيه بالنسبة لنا في ريموت باس، وما هي الإجراءات التي سنتخذها في المستقبل لضمان بقاء تعاملنا مع البيانات آمنًا قدر الإمكان.
ما معنى معايير SOC2؟
SOC2 هو معيار امتثال طوعي تم تطويره من قبل المعهد الأمريكي للمحاسبين القانونيين (AICPA) والذي يقيّم كيفية تعامل المؤسسات مع بيانات العملاء.
ومن أجل تحقيق معايير SOC2، يجب على المؤسسات الموافقة على عمليات تفتيش صارمة من قبل مدققين مستقلين، الذين يقومون بتقييم المنظمة مقابل مجموعة من المعايير، والتي يطلقون عليها "مبادئ خدمة الثقة". وتشمل هذه:
- الخصوصية
في سياق معايير SOC2، تشير الخصوصية إلى الطريقة التي يجمع بها النظام المعلومات الشخصية ويستخدمها ويحتفظ بها ويفصح عنها واخيراً يتخلص منها، بما يتماشى مع سياسات الخصوصية، بالإضافة إلى "مبادئ الخصوصية المقبولة عمومًا" (GAPP) الخاصة بـ AICPA. يجب وضع الضوابط اللازمة لحماية معلومات التعريف الشخصية (PII) من أي وصول غير مصرح به.
- الحماية
تشير الحماية او الأمان إلى الطريقة التي تحمي بها المؤسسة موارد النظام من الوصول غير المصرح به. يجب أن تكون ضوابط الوصول القوية في مكانها الصحيح لمنع الوصول غير المصرح به أو إساءة الاستخدام أو السرقة أو إزالة البيانات، فضلاً عن الكشف غير المناسب عن المعلومات أو تعديلها. يبحث مبدأ خدمة الثقة هذا عن تنفيذ أنظمة مثل جدران الحماية، والمصادقة الثنائية (2FA)، والكشف عن الاختراقات والتسلل - وكلها تقلل من مخاطر الانتهاكات بشكل كبير.
- السرية
المعلومات السرية هي التي يقتصر الوصول إليها على أفراد أو مجموعات محددة، مثل الملكية الفكرية أو معلومات التسعير، على سبيل المثال. بموجب مبدأ خدمة الثقة، سيتم عملية تدقيق بمعايير SOC2 للنظر إذا كان التشفير مطبقًا في نقل المعلومات السرية، وإذا كانت هناك جدران حماية، وإذا كانت ضوابط الوصول مستخدمة - وكلها تحمي البيانات التي تتم معالجتها أو تخزينها.
- سلامة العمليات
يأخذ تدقيق SOC2 أيضًا في الاعتبار سلامة عمليات إدارة البيانات، لتحديد ما إذا كانت تحقق أغراضها المتسهدفة، بتقديم البيانات الصحيحة في الوقت المناسب. هذا لا يقيم سلامة البيانات نفسها، ولكن طريقة معالجة البيانات.
- الجاهزية
بموجب مبدأ ثقة "الجاهزية" ، يقوم تدقيق SOC2 بمراجعة وفحص إمكانية الوصول إلى النظام، وفقا للاتفاقيات مستوى الخدمة (SLAs) أو العقود. لا ينظر هذا إلى الأداء، ولكنه يستكشف الجوانب المتعلقة بالأمان التي قد تؤثر على توفر البيانات.
لماذا يعتبر SOC2 مهمًا؟
بالنسبة لشركات البرمجيات كخدمة (SaaS)، لا يعتبر SOC2 شرط أو ضرورة، ولكنه إجراء تطوعي يمكن اتخاذه من أجل ضمان أمان سياسات المؤسسة في إدارة البيانات.
لا يمكن المبالغة في أهمية اتخاذ هذه التدابير والاحتياطات - لأن الانتهاكات مكلفة للجميع - وبالتالي يجب أن يكون العملاء حريصين على اختيار مقدمي الخدمات الذين يأخذون أمن البيانات على محمل الجد. SOC2 هي إحدى علامات الثقة التي يمكن لعملاء SaaS الاعتماد عليها. يضيف SOC2 طبقة إضافية من الاجتهاد - وبالتالي الثقة - في عمليات إدارة البيانات القوية بالفعل.
إعداد الموظفين وكشف رواتب ملتزم بـ SOC2 مع ريموت باس
تعاونت ريموت باس مع منظمة تقييم وقياس امتثال الأمن السيبراني المستقلة Kompleye التي أكملت فحصًا شاملاً، متضمن:
- فهم نطاق خدمات ريموت باس والالتزامات ومتطلبات النظام.
- وصف مفصل للنظام وتقييم كفاءة وتصميم ضوابط الشركة.
- تحسين إجراءات التشغيل لضمان أعلى مستوى من خصوصية البيانات وأمانها.
- القيام بالإجراءات وجمع الأدلة
تم اعتماد ريموت باس رسميًا من خلال SOC2 Type 1 اعتبارًا من 30 سبتمبر 2022.
ماذا يعني SOC2 لـ ريموت باس
كمنظمة دولية، تخدم الآلاف من العاملين عن بعد حول العالم، يعد الامتثال بأمن البيانات موضوعًا رئيسيًا. كموظفين يعملون عن بعد تمامًا، كان علينا تصور البنية التحتية التقنية لدينا وفقًا لذلك وتخيل سير عمل يمنح أعلى مستوى من الوصول إلى البيانات وحمايتها لجميع مستخدمينا.
نحن نتفهم أن إدارة البيانات ليست عملية ثابتة، وبالتالي لا يوجد تدقيق واحد يمكن أن يكون مفيدًا وصالحًا مدى الحياة. لذلك تلتزم ريموت باس بالخضوع لتدقيق SOC 2 سنويًا لضمان تحسين الامتثال وتحديثه باستمرار.
ونحن نشجع شركات SAAS بشدة على إجراء تدقيق SOC2، حيث يمكنها حقًا تحويل وتحسين الممارسات والسياسات الداخلية للشركة وبالتالي طمأنة العملاء والعملاء المحتملين بأن بياناتهم محمية بشكل آمن.