SOC 2 bezpečnost,
které můžete věřit

Když svěříte data státní instituce externímu dodavateli, jediná otázka, na které záleží, zní: jak víte, že je v bezpečí? Atodat na ni neodpovídá slibem, ale strukturou. Naše systémy stavíme v souladu s pěti kritérii důvěry rámce SOC 2 — uznávaného mezinárodního standardu pro hodnocení toho, jak organizace chrání data svých klientů.

Co je SOC 2

SOC 2 je rámec pro reportování o bezpečnostních kontrolách, který vydává americký institut účetních AICPA. Není to technická norma ani razítko, které si firma vystaví sama — je to nezávislé posouzení. Soulad se SOC 2 prokazuje formální zpráva (attestation report), kterou vydává licencovaný auditor poté, co prověří, jak organizace ve skutečnosti spravuje a chrání data.

Celý rámec stojí na pěti kritériích důvěry. Povinné je vždy jen první — Bezpečnost. Zbylá čtyři si organizace přibírá podle toho, co svým klientům slibuje a jaká data zpracovává. Pro dodavatele veřejné správy, jako je Atodat, dávají smysl všechna.

Pět kritérií důvěry

Jak to děláme v Atodatu

Kritéria důvěry nejsou seznam přání — jsou to konkrétní kontroly zabudované přímo do toho, jak naše produkty fungují. U dodavatele veřejné správy nestačí mít bezpečnost jako dodatek; musí být součástí architektury.

Řízení přístupu. Každý přístup je jmenovitý a podléhá zásadě nejmenších oprávnění. Citlivé operace vyžadují vícefaktorové ověření a oprávnění se pravidelně revidují, aby nikdo neměl víc, než pro svou roli potřebuje.

Šifrování. Data chráníme šifrováním při přenosu i v klidu. Komunikace mezi komponentami i ukládání na disk probíhá nad zavedenými standardy, takže odcizený nosič nebo odposlechnutá linka samy o sobě neodhalí nic použitelného.

Auditní stopa a sledovatelnost. Tady má Atodat výhodu danou samotnou povahou našich nástrojů. Atodat DataFlow Engine sleduje původ dat (lineage) napříč celým zpracováním — u každého výstupu je dohledatelné, odkud vzešel a čím prošel. Co jinde vyžaduje zvláštní vrstvu logování, je u nás přirozenou vlastností produktu.

Monitoring a reakce na incidenty. Provoz průběžně sledujeme, podezřelé chování vyhodnocujeme a máme připravený postup pro řešení incidentů, který určuje, kdo, kdy a co dělá — dřív, než nastane skutečná situace.

Zálohování, obnova a řízení změn. Pravidelné zálohy a ověřené postupy obnovy drží dostupnost i v případě výpadku. Změny v produkčním prostředí procházejí kontrolovaným procesem, takže žádná úprava se nedostane k zákazníkovi neotestovaná a nezdokumentovaná.

Type I a Type II — v čem je rozdíl

Zprávy SOC 2 mají dvě úrovně. Type I posuzuje, zda jsou kontroly k danému okamžiku správně navrženy. Type II jde dál a ověřuje, že kontroly skutečně fungovaly po delší období, typicky šest až dvanáct měsíců. Právě Type II má v regulovaném a státním prostředí největší váhu, protože nedokazuje jen úmysl, ale i praxi.

Atodat staví své procesy a kontroly tak, aby odpovídaly kritériím SOC 2, a směřuje k nezávislému auditu jako k formálnímu potvrzení toho, co už dnes děláme každý den.

Co to znamená pro vás

Pro klienta z veřejné správy je tohle praktická jistota, ne marketingové heslo. Znamená to, že bezpečnost není něco, co k řešení dolepujeme dodatečně — je vetkaná do toho, jak naše produkty vznikají a běží. Že o tom, kdo má k vašim datům přístup, existuje záznam. A že stejnou disciplínu, jakou veřejná správa očekává od sebe, uplatňujeme i my jako její dodavatel.

Závěr

SOC 2 není pro Atodat cíl, který bychom chtěli odškrtnout a zapomenout na něj. Je to způsob, jakým o bezpečnosti přemýšlíme od začátku — jako o vlastnosti produktu, ne o příloze ke smlouvě. Pokud zvažujete Atodat jako dodavatele a chcete projít konkrétní kontroly a postupy do detailu, rádi se s vámi nad nimi sejdeme.

Chcete probrat bezpečnost a soulad konkrétně pro váš projekt?