SOC 2 vs. The Other Guys: Comparando manzanas con naranjas

Este año, O neSpan establezca un precedente como la primera solución de firma electrónica basada en la nube para completar una certificación de Service Organization Control (SOC) 2. En una auditoría realizada por EY (Ernst & Young), las tecnologías y procesos de protección de datos de OneSpan se verificaron como compatibles con SOC 2, estableciendo el sistema y la compañía en las filas de organizaciones como Google, Amazon Web Services (AWS) y Salesforce.

Las organizaciones conscientes de la seguridad que se trasladan a la nube buscan asegurarse de que los proveedores con los que trabajan cumplan con los requisitos de seguridad necesarios. Si bien existen varios programas de cumplimiento en el nivel del centro de datos (por ejemplo, HIPAA, SOC 1 / SSAE 16, SOC 2, SOC 3, PCI DSS Nivel 1, ISO 27001, etc.), así como de grado militar controles físicos, queríamos ir más allá para nuestros clientes. La certificación SOC 2 garantiza a nuestros clientes y prospectos que los controles y procedimientos operan de manera efectiva a nivel de sistema, día tras día.

Firmas electrónicas - Guía del principiante

Esta comunicación esencial de 25 páginas presenta conceptos legales importantes y consideraciones clave a la hora de crear procesos comerciales digitales con firmas electrónicas.

Descargar ahora

Con múltiples marcos y certificaciones en el mercado, existe mucha confusión sobre lo que puede dar fe de la seguridad de un sistema.

• SSAE 16 / SOC 1 se centra en los controles sobre la información financiera. Su valor es el más adecuado para sistemas de procesamiento financiero como el sistema de nómina. SOC 1 no analiza la tecnología. De acuerdo a French Caldwell, vicepresidente y miembro de Gartner , "Entonces, para ser claros, SSAE 16 (o SOC 1) es relevante para el cumplimiento de Sarbanes-Oxley y leyes similares. No proporciona una garantía integral de seguridad, disponibilidad, integridad de procesamiento, confidencialidad o controles de privacidad. Ese es el propósito de SOC 2, un estándar complementario de SOC 1. "

• La certificación ISO 27001 es prueba de la capacidad de una organización para mantener un Sistema de Gestión de Seguridad de la Información eficaz. Es comparable a inspeccionar una casa. La casa puede estar muy limpia el día de la inspección, pero una vez que se completa la inspección, no hay una forma real de verificar el estándar de limpieza de la casa. Del mismo modo, ISO 27001 proporciona una garantía de "punto en el tiempo" y el proceso no proporciona suficiente garantía de que un sistema es seguro todos los días durante un período prolongado de tiempo.
• SOC 2 se centra en la tecnología y los procesos detrás de la seguridad del servicio.   Asegura que los controles estén en su lugar en todo momento, no solo un punto en el tiempo. SOC 2 se introdujo en 2011 para responder a la necesidad de evaluar la tecnología y cómo fue utilizada por las organizaciones de servicios para ofrecer seguridad, confidencialidad, disponibilidad, integridad de procesamiento y privacidad. Seleccionamos SOC 2 porque es el estándar de seguridad más significativo y relevante del mercado. Los prospectos o clientes que deseen conocer la tecnología y los procesos detrás de la seguridad de OneSpan pueden solicitar una copia de nuestro informe SOC 2.

Las organizaciones de servicios utilizan cada vez más el SOC 2 para dar fe de la seguridad de su servicio SaaS y proporciona el nivel adecuado de seguridad de que un sistema de firma electrónica es seguro.  Si desea saber más sobre SOC 2, llame a su representante de ventas.