Τι είναι ένας προμηθευτής ITAD συμβατός με SOC;

0
Τι είναι ένας προμηθευτής ITAD συμβατός με SOC;

Τον περασμένο μήνα, η ERI ανακοίνωσε ότι ολοκλήρωσε την πιστοποίηση Service Organisation Control (SOC) 2, και έγινε ο μοναδικός πιστοποιημένος SOC 2 ανακυκλωτής ηλεκτρονικών απορριμμάτων στον κλάδο. Ακούγεται υπέροχο, αλλά τι σημαίνει πραγματικά να είσαι προμηθευτής ITAD συμβατός με το SOC;

Κάθε επιχείρηση και βιομηχανία σε όλο τον κόσμο διατηρεί αρχεία πελατών. Πολλές επιχειρήσεις σήμερα υποστηρίζονται από αρκετούς, αν όχι δεκάδες άλλους προμηθευτές και εταιρείες. Ένα κατάστημα διαθέτει επεξεργαστές πληρωμών, λογισμικό απογραφής, εταιρείες φιλοξενίας ιστοσελίδων, λογισμικό διαχείρισης σχέσεων πελατών (CRM), λογισμικό μισθοδοσίας/λογιστικής κ.λπ. Έχετε ένα νοσοκομείο ή ιατρείο με εταιρείες φιλοξενίας ιστοσελίδων, λογισμικό χρέωσης/ασφάλισης, λογισμικό μισθοδοσίας/λογιστικής, CRM, αποθήκευση και διαχείριση ιατρικών αρχείων κ.λπ.

Όλες οι πληροφορίες που συλλέγουν αυτά τα διαφορετικά συστήματα και οι προμηθευτές πρέπει να διατηρούνται ασφαλείς από κλοπή. Είναι νομική απαίτηση για την προστασία των προσωπικών πληροφοριών των πελατών ή των ασθενών. Οι προμηθευτές ή οι εταιρείες που παρέχουν λογισμικό ή υλικό έχουν επίσης ευθύνη να προστατεύσουν αυτές τις ευαίσθητες πληροφορίες. Η συμμόρφωση με τον Έλεγχο Οργανισμού Υπηρεσιών (SOC) από το Αμερικανικό Ινστιτούτο Ορκωτών Λογιστών (AICPA) είναι σημαντική για αυτόν ακριβώς τον λόγο.

Κατανόηση των Βασικών της Συμμόρφωσης SOC

Οι εταιρείες που υποβάλλονται σε συμμόρφωση με το SOC υπόσχονται ότι χρησιμοποιούν εργαλεία και μέτρα για να διατηρούν ασφαλείς τις ιδιωτικές πληροφορίες. Και, υπάρχουν αρκετοί διαφορετικοί τύποι SOC, επομένως οι εταιρείες πρέπει να κατανοούν τις καλύτερες αναφορές SOC για να αποδείξουν ότι είναι αξιόπιστες, ηθικές και αξιόπιστες. Αφού αποδείξουν ότι πληρούν τα Κριτήρια Υπηρεσιών Εμπιστοσύνης, θα λάβουν την κατάλληλη πιστοποίηση συμμόρφωσης SOC.

  • SOC 1 – Ισχύει για οργανισμούς που διαχειρίζονται οικονομικά αρχεία όπως τραπεζικά δάνεια, ασφαλιστικές απαιτήσεις, επενδύσεις, εταιρείες στεγαστικών δανείων και μισθοδοσία.
  • SOC 2 – Ισχύει για οργανισμούς παροχής υπηρεσιών σε τομείς εκτός χρηματοοικονομικών που παράγουν άυλα αγαθά, όπως πωλητές ηλεκτρονικού εμπορίου και SaaS.
  • SOC 3 – Μπορεί να το γνωρίζετε ως WebTrust και είναι παρόμοιο με το SOC 2, αλλά είναι περισσότερο για μάρκετινγκ/γενική χρήση, ενώ το SOC 2 έχει περιορισμένο κοινό λόγω περιορισμένης χρήσης των αναφορών.
  • SOC for Cybersecurity – Πλαίσιο αναφοράς διαχείρισης κινδύνων στον κυβερνοχώρο που αναφέρει ένα πρόγραμμα διαχείρισης κινδύνων σε επίπεδο οργανισμού σχετικά με την ασφάλεια στον κυβερνοχώρο.
  • SOC for Supply Chain – Αυτό είναι για διανομείς, κατασκευαστές και παραγωγούς.

Κάντε μια βαθιά κατάδυση στην πιστοποίηση SOC 2

Οι αναφορές SOC 2 αποτελούν εγγύηση ότι μια επιχείρηση ή μια υπηρεσία πληροί τις τέσσερις ή πέντε Κατηγορίες Υπηρεσιών Trust της AICPA: Ασφάλεια, Διαθεσιμότητα, Εμπιστευτικότητα και/ή Απόρρητο και Ακεραιότητα Επεξεργασίας. Αυτή η πιστοποίηση είναι εθελοντική, αλλά μια εταιρεία με πιστοποίηση SOC 2 έχει κάνει ένα επιπλέον βήμα για να αποδείξει στους άλλους ότι είναι σοβαροί για την προστασία των προσωπικών πληροφοριών των πελατών της.

Ασφάλεια – Όλα τα συστήματα, οι πληροφορίες και ο εξοπλισμός αποθήκευσης προστατεύονται από μη εξουσιοδοτημένη πρόσβαση, καμία πληροφορία δεν αποκαλύπτεται χωρίς εξουσιοδότηση και οποιοσδήποτε κατεστραμμένος ή κατεστραμμένος εξοπλισμός πρέπει να αντιμετωπίζεται με τρόπο που να παραμένει ασφαλής και να προστατεύει το απόρρητο.

  • Διαθεσιμότητα – Τα συστήματα και οι πληροφορίες πρέπει να είναι άμεσα διαθέσιμα για χρήση και λειτουργία και να πληρούν τους υποσχόμενους στόχους.
  • Εμπιστευτικότητα – Οι πληροφορίες που είναι εμπιστευτικές πληρούν τις νομικές και οργανωτικές απαιτήσεις για να παραμένουν ιδιωτικές από αδιάκριτα μάτια και μη εξουσιοδοτημένους χρήστες.
  • Απόρρητο – Οποιεσδήποτε προσωπικές πληροφορίες συλλέγονται, αποθηκεύονται, χρησιμοποιούνται, μοιράζονται ή απορρίπτονται αντιμετωπίζονται με τρόπους που πληρούν τις νομικές και οργανωτικές απαιτήσεις.
  • Ακεραιότητα επεξεργασίας – Η επεξεργασία του συστήματος πραγματοποιείται έγκαιρα, ακριβή και πλήρη και ανταποκρίνεται στους στόχους του οργανισμού.

Υπάρχουν αναφορές SOC 2 Type 1 και SOC 2 Type 2. Ο τύπος 1 περιλαμβάνει την περιγραφή των συστημάτων και των ελέγχων από έναν διαχειριστή που αποδεικνύουν ότι τα μέτρα της εταιρείας έχουν σχεδιαστεί για να ικανοποιούν, αν όχι να υπερβαίνουν, όλες τις Κατηγορίες Υπηρεσιών Εμπιστοσύνης εκείνη τη στιγμή. Υπάρχει επίσης το SOC 2 Type 2 που εξετάζει τα ίδια κριτήρια, αλλά ο έλεγχος καλύπτει ένα χρονικό διάστημα για να δείξει πόσο αποτελεσματικά ήταν το σύστημα και οι έλεγχοι για μεγάλο χρονικό διάστημα.

Η διοίκηση πρέπει να γράψει και να βελτιώσει τις πολιτικές της και τα συστήματα ελέγχων και ισορροπιών που βοηθούν στην παροχή απόδειξης ότι μια εταιρεία κάνει κάθε δυνατό βήμα για τη διατήρηση της ασφάλειας, της ακεραιότητας και του απορρήτου. Πρέπει να είναι λεπτομερείς σχετικά με τα βήματα που κάνουν, τις αρχές που ακολουθούν και πώς όλα αυτά εφαρμόζονται καθημερινά.

Και με τα δύο, μια CPA εξετάζει την τεκμηρίωση του διαχειριστή και σχεδιάζει να βεβαιωθεί ότι τα στοιχεία ελέγχου και το σύστημα πληρούν τις απαιτήσεις που περιγράφονται στα κριτήρια των Κατηγοριών Υπηρεσιών Εμπιστοσύνης. Η CPA θα κάνει μια περιήγηση του εργοστασίου ή της εταιρείας για να αξιολογήσει το σχέδιο λειτουργίας και πόσο αποτελεσματικό είναι. Χωρίς τον έλεγχο και την έγκριση της CPA, η πιστοποίηση δεν θα πραγματοποιηθεί.

Μετά από αυτό, δημιουργείται η έκθεση ελέγχου και ο ελεγκτής εξετάζει τα πράγματα μαζί σας. Εάν περάσετε, καταλήγετε πρώτα με πιστοποίηση SOC 2 Type 1. Σε περίπου έξι μήνες, εάν έχετε κολλήσει στη διαδικασία ελέγχου, μπορείτε να αποκτήσετε το SOC 2 Type 2.

Γιατί έχει σημασία το SOC 2 Type 1

Ο οργανισμός ή το γραφείο σας έχει πολλά ηλεκτρονικά είδη που δεν χρησιμοποιείτε. Έχετε μονάδες αντίχειρα και εξωτερικούς σκληρούς δίσκους. Έχετε τηλέφωνα, εκτυπωτές, φωτοαντιγραφικά, φορητούς υπολογιστές, επιτραπέζιους υπολογιστές και συσκευές τηλεειδοποίησης. Όλες αυτές οι συσκευές περιέχουν πληροφορίες που έχουν αρχεία που πρέπει να διατηρούνται ιδιωτικά. Δεν μπορείτε απλώς να πουλάτε πράγματα όταν θα μπορούσαν να περιέχουν προσωπικά στοιχεία πελάτη ή ασθενή.

Όταν κανονίζετε την ανακύκλωση των ηλεκτρονικών ειδών, εμπιστεύεστε ότι η εταιρεία με την οποία συνεργάζεστε είναι νόμιμη. Το 2013, το Εθνικό Σύστημα Υγείας του Surrey χτυπήθηκε με μια αρκετά μεγάλη παραβίαση δεδομένων. Αυτή η παραβίαση δεδομένων ύψους 200.000 λιρών (περίπου 250.000 $) σημειώθηκε όταν η εταιρεία καταστροφής δεδομένων ανακύκλωσε υπολογιστές του NHS χωρίς να λάβει τα κατάλληλα μέτρα για την καταστροφή των δεδομένων. Συνθλίβουν τους σκληρούς δίσκους αντί να χρησιμοποιούν τεχνικές όπως η απομάκρυνση ή ο τεμαχισμός.

Επιλέγοντας μια εταιρεία που λαμβάνει προληπτικά μέτρα για να λάβει πιστοποίηση, έχετε ένα επίπεδο εμπιστοσύνης ότι λαμβάνει σοβαρά υπόψη το απόρρητο των δεδομένων. Η ERI διαθέτει περισσότερες πιστοποιήσεις από ό,τι θα περίμενε κανείς, και αυτό οφείλεται στο ότι λαμβάνουμε σοβαρά υπόψη το απόρρητο δεδομένων, το ITAD, την ασφάλεια των εργαζομένων, την προστασία του περιβάλλοντος και την ανακύκλωση ηλεκτρονικών ειδών. Πιστεύουμε ότι η δουλειά πρέπει να γίνει στο υψηλότερο δυνατό επίπεδο. Όχι μόνο είμαστε η πρώτη εταιρεία ITAD που κατέχει πιστοποίηση SOC 2, αλλά κατέχουμε επίσης πολλά άλλα πιστοποιητικά που διασφαλίζουν ότι είμαστε υπεύθυνοι και ηθικοί ηλεκτρονικοί ανακυκλωτές.

  • e-Stewards – Αυτό το ελεγμένο, διαπιστευμένο πρόγραμμα πιστοποίησης εστιάζει στην προστασία μιας επωνυμίας, στην ασφάλεια των δεδομένων, στο περιβάλλον και στα ανθρώπινα δικαιώματα.
  • ISO 9001 – Πρότυπα συστημάτων διαχείρισης ποιότητας που εστιάζουν στην εξυπηρέτηση πελατών, τις διαδικασίες, τις συνεχείς βελτιώσεις και τις υπηρεσίες υψηλής ποιότητας.
  • ISO 14001 – Τα πρότυπα ISO 14000 επικεντρώνονται στο να είσαι περιβαλλοντικά υπεύθυνος και βιώσιμος.
  • ISO 45001 – Τα πρότυπα ISO είναι άφθονα και η ERI έχει ένα που αφορά επίσης την υγεία και την ασφάλεια των εργαζομένων της. Η πιστοποίηση ISO 45001 παρέχεται σε εταιρείες που παρέχουν ασφαλή και υγιή περιβάλλοντα για την πρόληψη τραυματισμών και ασθενειών στο χώρο εργασίας.
  • NAID AAA – Υπάρχουν περίπου 1.000 πιστοποιημένες εγκαταστάσεις NAID AAA σε πέντε ηπείρους. Απονέμεται σε εταιρείες που πληρούν τις προϋποθέσεις καταστροφής δεδομένων, πληρούν το HIPAA, τους Γενικούς Κανονισμούς Προστασίας Δεδομένων της ΕΕ και λαμβάνουν Κάλυψη Δεδομένων Μεταγενέστερου.
  • R2 – Τέλος, υπάρχει το R2 όπου όσοι είναι πιστοποιημένοι προσπαθούν για την επαναχρησιμοποίηση ανακυκλωμένων υλικών και την κατάλληλη καταστροφή δεδομένων.

Επιπλέον, κατέχουμε σύμβαση GSA. Οι υπηρεσίες μας για την καταστροφή δεδομένων διατίθενται σε διάφορα επίπεδα, ξεκινώντας από το επίπεδο που είναι σύμφωνο με το NIST 800-88 Rev1 μέχρι τις Υπηρεσίες Άκρως Απόρρητες Αποστρατιωτικοποιήσεις.

Πώς μπορούμε να σας βοηθήσουμε; Μεγάλα ή μικρά, ανακυκλώνουμε τα ηλεκτρονικά που δεν χρειάζονται με ηθικούς, περιβαλλοντικά υπεύθυνους τρόπους. Καταστρέφουμε δεδομένα και μπορούμε ακόμη και να καταστρέψουμε δεδομένα στην τοποθεσία σας, εάν αυτό σας κάνει να αισθάνεστε πιο άνετα. Παρακολουθήστε τις συσκευές σας από τη στιγμή που φεύγουν από το κτίριο ή τα γραφεία σας και είναι ακόμη δυνατό να παρακολουθήσετε την καταστροφή δεδομένων από απόσταση. Θα λάβετε ένα πιστοποιητικό που θα αποδεικνύει ότι ακολουθήσατε τους νόμους που ισχύουν για την επιχείρηση ή τον οργανισμό σας. Μιλήστε με την ERI, έναν προμηθευτή ITAD που είναι συμβατός με το SOC, και ενημερώστε μας πώς μπορούμε να βοηθήσουμε.

Schreibe einen Kommentar