La politique de confidentialité SOC 2 pose les règles précises des procédures qu’il faut avoir en place pour gérer des informations confidentielles de la manière la plus optimale possible. Découvrez dans cet article les éléments sur lesquels Troops a été audité concernant sa gestion de la confidentialité des données.
Les critères d’audit SOC 2 de la Confidentialité des données
Le terme “information confidentielle” et sa signification peuvent varier selon les entreprises et selon là où l’on se trouve dans le monde et peuvent aussi potentiellement couvrir une large palette de pratiques de sécurisation de l’information. Si la société de services, ici Troops, a défini des engagements contractuels avec ses clients concernant la protection des données en tant que dépositaire des données, alors l’audit confidentialité SOC 2 doit être envisagé pour pouvoir être en phase avec les bonnes pratiques du protocole défini.
Contrairement aux informations personnelles couvertes par un audit spécifique dans le cadre du SOC 2 (Privacy TSC), les informations confidentielles ne sont pas aussi évidentes à définir. Ainsi, toute information ou donnée personnelle ou non personnelle peut être désignée comme confidentielle. Si une information est considérée comme confidentielle il est alors indispensable qu’elle soit protégée de manière appropriée, ou selon les règles convenues avec les clients. Les interprétations de ce type d'informations varient souvent considérablement d'un client ou d'une entreprise à l'autre. Voici quelques exemples d'informations confidentielles :
Détails de transaction
Plans d’ingénierie
Business plans
Informations bancaires
Documents légaux
Les tests supplémentaires inclus dans les critères de l’audit SOC 2 de confidentialité
L’audit portant sur la confidentialité vérifie que les informations désignées comme confidentielles sont protégées comme prévu ou selon les engagements pris auprès des clients. Lors de l’audit, il est essentiel de bien documenter la politique définissant les différents types de données qu'une entreprise comme la notre a en sa possession et la manière dont elle traite ensuite chaque type de données. De plus, cette politique doit inclure quelle communication serait requise en cas de violation de l'accord en place concernant la protection des données.
Les domaines d'examen spécifiques à la confidentialité des données doivent couvrir :
L’identification des informations confidentielles : des procédures sont en place pour identifier et désigner les informations confidentielles lorsqu'elles sont reçues ou créées et pour déterminer la période pendant laquelle les informations confidentielles doivent être conservées.
La protection des informations confidentielles contre la destruction : des procédures sont en place pour protéger les informations confidentielles contre l'effacement ou la destruction pendant la période de conservation spécifiée des informations.
La destruction des informations confidentielles : des procédures sont en place pour identifier les informations confidentielles nécessitant une destruction lorsque la fin de la période de conservation est atteinte.
Si cette partie de l’audit SOC 2 était optionnelle, il nous semblait pourtant indispensable de faire vérifier et valider notre politique et nos procédures de gestion de la confidentialité des données afin de vous assurer de notre parfaite maîtrise de ce sujet pour vos données sensibles. Pour en savoir plus, vous pouvez aussi lire notre politique de sécurité complète dans notre page Trust Center