Troops a été audité dans le cadre du SOC 2 Type 1. Parmi les éléments obligatoires de l’audit, la sécurité des données est un élément essentiel qui permet de garantir le bon respect des protocoles de sécurité des données à nos clients et utilisateurs. Découvrez dans cet article les éléments sur lesquels Troops a été audité concernant sa gestion de la sécurité des données.
Quels sont les critères de sécurité de l’audit SOC 2 ?
En termes de critères SOC 2, la sécurité fait référence à la protection des informations et des systèmes. Voici les critères audités pour chacun :
Protection des informations
L’audit de sécurité teste que les informations sont sécurisées lors de la collecte ou de la création des données, mais aussi lors de l'utilisation, du traitement, de la transmission et du stockage des données.
Protection des systèmes
Dans l’audit de sécurité, les systèmes sont définis comme tout ce qui utilise des informations électroniques pour traiter, stocker ou transmettre des informations relatives aux services fournis par l'entreprise. Les contrôles testés dans l’audit de sécurité vérifient qu'il existe une prévention et une détection de toute défaillance de la sécurité ou du traitement par ces systèmes.
Cette partie de l’audit SOC 2 se divise en plusieurs critères communs à vérifier :
CC1 – Environnement de contrôle
CC2 – Communication et Information
CC3 – Évaluation des risques
CC4 – Surveillance des activités
CC5 – Contrôle des activités
CC6 – Contrôles des accès logiques et physiques
CC7 – Opérations du système
CC8 – Gestion du changement
CC9 – Atténuation des risques
Tous les contrôles de sécurité de donnée
Développer et mettre en place des systèmes de contrôle en interne est fondamental pour le bon fonctionnement de la gestion de la sécurité de la donnée au sein de l’entreprise. C’est notamment ce qui est vérifié dans le cadre de l’audit SOC 2. Pour cela, il est important de suivre le cadre de contrôles suivant :
Environnement de contrôle
L'environnement de contrôle comprend plusieurs aspects liés à notre système de contrôle, de l'infrastructure aux opérations et processus du système. La culture d’entreprise et la responsabilité jouent un grand rôle dans ce contrôle - la séparation explicite des tâches aidera à fournir un ensemble clair de directives pour garantir que chaque membre de votre direction agit de manière appropriée.
L'évaluation des risques
L'évaluation des risques internes et externes est une partie importante de la mise en place de contrôles appropriés pour l’entreprise. En tirant parti des stratégies et des cadres de gestion des risques l’entreprise peut alors identifier, analyser, atténuer et surveiller tout risque susceptible de compromettre la conformité et la sécurité des informations, à la fois pour l’entreprise et pour les partenaires commerciaux.
Les activités de contrôle
Les politiques et procédures internes visant à minimiser les risques sont incluses dans cette catégorie de contrôles internes. Il faut alors s’assurer que les activités de contrôle sont intégrées tout au long de chaque cycle de vie de projet et gérer les risques dans toutes les fonctions de l’entreprise.
Information et communication
L'accès à l'information et à la communication au sein de l’entreprise est primordial pour le succès du contrôle interne. La haute direction doit enregistrer et documenter les attentes de tous les employés, et le personnel doit partager des informations avec la haute direction pour aider les dirigeants à créer des politiques et des processus de gestion des risques.
L’audit SOC 2 Type 1 de Troops a permis de vérifier la parfaite conformité de nos systèmes avec toutes ces politiques et protocoles et d’assurer à nos clients, utilisateurs et partenaires une sécurité optimale pour toutes les données stockées. Pour en savoir plus sur notre audit SOC 2 Type 1, consultez notre page Trust Center !
