SOC 2 (Contrôle de l'organisation de services 2)

Qu’est-ce que le SOC 2 (Service Organisation Control 2) ?

Le RGPD est une loi européenne sur la confidentialité des données personnelles qui s'applique à toute organisation exerçant ses activités en Europe (quel que soit son emplacement physique). Il établit des lignes directrices pour la collecte, le traitement et le stockage des informations personnelles identifiables des résidents européens. La loi GDPR a été appliquée pour protéger toutes les informations personnelles, y compris celles traitées sur les appareils et applications mobiles.

Critères des services de confiance SOC 2

CC1 : Environnement de contrôle

Les critères de ce groupe sont centrés sur le dévouement et les actions de l'organisation pour atteindre ses objectifs et faciliter les contrôles internes.

CC2 : Communication et information

Ces critères évaluent dans quelle mesure l'organisation collecte, partage et communique les informations cruciales pour atteindre ses objectifs.

CC3 : Évaluation des risques

Ces critères évaluent la capacité de l'organisation à reconnaître, évaluer et gérer les risques associés à l'atteinte de ses objectifs.

CC4 : Activités de surveillance

Ces critères concernent la capacité de l'organisation à sélectionner, mettre en œuvre et gérer les contrôles internes tout en traitant en temps opportun de toute faiblesse de contrôle identifiée.

CC5 : Activités de contrôle

Ces critères se concentrent sur la manière dont l'organisation choisit, développe et met en place des mesures de contrôle, ainsi que sur sa capacité à mettre les politiques en pratique.

CC6 : Contrôles d'accès logiques et physiques

Ces critères examinent la capacité de l'organisation à mettre en place des contrôles, tant au niveau des logiciels que de l'infrastructure, pour protéger les actifs précieux et pour gérer efficacement l'accès des utilisateurs aux données protégées.

CC7 : Opérations du système

Ces critères se concentrent sur la capacité de l'organisation à surveiller et détecter les vulnérabilités, les changements de configuration et les comportements anormaux et à répondre aux incidents de sécurité.

CC8 : Gestion du changement

Ces critères portent sur l'aptitude de l'organisation à concevoir, documenter et mettre en œuvre des modifications dans les données, les logiciels, l'infrastructure et les processus.

CC9 : Atténuation des risques

Ces critères déterminent dans quelle mesure l'organisation identifie, sélectionne et développe des activités d'atténuation des risques.

Développer des applications conformes au SOC 2

Les entreprises qui développent ou commercialisent leurs propres applications doivent garder la sécurité à l’esprit pour éviter le vol de propriété intellectuelle, la fraude et les fuites de données. Les critères de SOC 2 demandent aux entreprises de mettre en place des contrôles logiciels afin de protéger les actifs et les données de valeur. C’est exactement ce que fait la solution SAST de Pradeo, la solution facile à utiliser vérifie et sécurise toutes vos applications en un seul endroit.