信息安全是所有组织关注的一个原因，包括那些将关键业务运营外包给第三方供应商（例如SaaS、云计算提供商）的组织。这是理所当然的，因为数据处理不当（尤其是应用程序和网络安全提供商的数据处理不当）可能会使企业容易受到攻击，例如数据盗窃、勒索和恶意软件安装。

SOC 2 是一种审核程序，可确保您的服务提供商安全地管理您的数据，以保护您的组织的利益及其客户的隐私。对于注重安全的企业来说，在考虑 SaaS 提供商时，SOC 2 合规性是最低要求。

什么是SOC 2

SOC 2由美国注册会计师协会 ( AICPA ) 开发，基于五个“信任服务原则”（安全性、可用性、处理完整性、机密性和隐私）定义了管理客户数据的标准。

与具有非常严格要求的PCI DSS不同 ，SOC 2 报告对于每个组织来说都是独一无二的。根据具体的业务实践，每个组织都设计自己的控制措施以符合一项或多项信任原则。

这些内部报告为您（以及监管机构、业务合作伙伴、供应商等）提供有关您的服务提供商如何管理数据的重要信息。

SOC 报告有两种类型：

• 类型 I 描述了供应商的系统以及其设计是否适合满足相关的信任原则。
• 第二类详细说明了这些系统的运行有效性。

SOC 2 认证

SOC 2 认证由外部审核员颁发。他们根据现有的系统和流程评估供应商遵守五项信任原则中一项或多项的程度。

信任原则细分如下：

1. 安全

安全原则是指保护系统资源免遭未经授权的访问。 访问控制 有助于防止潜在的系统滥用、盗窃或未经授权的数据删除、软件滥用以及信息的不当更改或披露。

网络和Web 应用程序防火墙 (WAF)、 两因素身份验证 和 入侵检测等 IT 安全工具  可有效防止可能导致系统和数据未经授权访问的安全漏洞。

2. 可用性

可用性原则是指合同或服务级别协议（SLA）规定的系统、产品或服务的可访问性。因此，系统可用性的最低可接受性能水平由双方设定。

该原则不涉及系统功能和可用性，但涉及可能影响可用性的安全相关标准。在此背景下，监控网络性能和可用性、 站点故障转移 和安全事件处理至关重要。

3. 加工完整性

处理完整性原则涉及系统是否实现其目的（即在正确的时间以正确的价格提供正确的数据）。因此，数据处理必须完整、有效、准确、及时和授权。

然而，处理完整性并不一定意味着数据完整性。如果数据在输入系统之前包含错误，则处理实体通常不负责检测它们。数据处理监控与质量保证程序相结合，有助于确保处理的完整性。

4. 保密性

如果数据的访问和披露仅限于特定的个人或组织，则数据被视为机密。示例可能包括仅供公司人员使用的数据，以及商业计划、知识产权、内部价目表和其他类型的敏感财务信息。

加密是传输过程中保护机密性的重要控制。网络和应用程序防火墙以及严格的访问控制可用于保护计算机系统上正在处理或存储的信息。

5. 隐私

隐私原则涉及系统按照组织的隐私声明以及 AICPA 普遍接受的隐私原则 (GAPP) 中规定的标准收集、使用、保留、披露和处置个人信息。

个人身份信息 (PII) 是指可以区分个人的详细信息（例如姓名、地址、社会安全号码）。一些与健康、种族、性和宗教相关的个人数据也被认为是敏感的，通常需要额外级别的保护。必须采取控制措施来保护所有 PII 免遭未经授权的访问。

博客：当数据隐私和保护是权利时，请不要误解。

SOC 2 合规性的重要性

虽然 SOC 2 合规性并不是 SaaS 和云计算供应商的要求，但它在保护数据方面的作用怎么强调也不为过。

Imperva 定期进行审核，以确保满足五项信任原则中每一项的要求，并确保我们保持 SOC 2 合规性。合规性扩展到我们提供的所有服务，包括 Web 应用程序安全、  DDoS防护、通过我们的CDN进行内容交付、 负载平衡和攻击分析。