الامتثال لمعايير SOC 2

آخر مراجعة: يوليو ٢٠٢٠
موعد المراجعة القادمة: يوليو ٢٠٢٠

نظرة عامة

استخدم ضوابط النظام والتنظيم 2 (SOC 2) هو معيار امتثال معترف به على نطاق واسع، وضعه المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA). يركز هذا المعيار على خمسة معايير أساسية لخدمات الثقة: الأمان والتوافر وسلامة المعالجة والسرية والخصوصيةتم تصميم SOC 2 لضمان أن أنظمة المؤسسة مصممة للحفاظ على بيانات العملاء آمنة ومتاحة، وخاصة لمقدمي الخدمات المستندة إلى السحابة والبرمجيات كخدمة (SaaS).

لموردي برامج موازنة التحميل مثل RELIANOIDللامتثال لمعايير SOC 2 تأثير مباشر على كيفية تصميم المنتجات ونشرها وصيانتها. ويتناسب التركيز على تصميم النظام الآمن، والمراقبة المستمرة، والاستجابة للحوادث، وسلامة البيانات بشكل طبيعي مع RELIANOIDتتمثل مهمة "في" في توفير حلول موازنة أحمال مرنة وعالية الأداء. تدعم تقنياتنا عملاءنا في الحفاظ على عمليات آمنة ومتوافقة من خلال توفير ميزات مثل التشفير، وتسجيل التدقيق، وإمكانيات التعافي من الأعطال، وآليات تحكم قوية في الوصول.

في هذا السياق، RELIANOID تقدم بيانها الرسمي بشأن الامتثال لمعيار SOC 2، والتي سيتم تفصيلها في الأقسام التالية، والتي توضح كيف تدعم تقنية موازنة التحميل ركائز المعيار المتمثلة في الثقة والأمان والتوافر.

بيان محاذاة SOC 2

معايير خدمات الثقة لـ RELIANOID موازن التحميل والعمليات التنظيمية

RELIANOID is متوافق مع مبادئ أمن SOC 2 وتنفذ الضوابط التي تتناول جميع معايير خدمات الثقة الخمسة -الأمان والتوافر والسرية وسلامة المعالجة والخصوصية—عبرنا حل موازن التحميل و المنظمة بأكملها (التطوير، الدعم، التسليم). يتم نشر برنامجنا بشكل أساسي في أماكن العمل، وكذلك في سحابة و هجين بيئات العمل؛ تُطبق مجموعة التحكم نفسها على جميع نماذج النشر. نخدم قطاعات خاضعة لرقابة صارمة مثل تمويل, الرعاية الصحيةو حكومة، وكذلك المؤسسات العامة.

ملاحظة: RELIANOID ليس معتمدًا من SOC 2. فيما يلي وصف لمنتجاتنا اكتساب وفقًا لمعايير خدمات الثقة SOC 2، وليس تقريرًا للشهادة أو الإثبات.

مجال

• النظام: RELIANOID موازن التحميل (جميع الإصدارات)
• العمليات: هندسة المنتجات، الإصدار والتسليم، ودعم العملاء
• عمليات النشر: في الموقع، والسحابة، والهجينة - يتم تطبيق خط أساس واحد للتحكم

الحوكمة التنظيمية وإدارة المخاطر

يتوافق إطار عمل الحوكمة لدينا مع مجالات التحكم في SOC 2 (بيئة التحكم، والاتصالات، وتقييم المخاطر، والمراقبة):

• سياسات اند الإجراءات: يرى استمرارية الأعمال والتعافي من الكوارث و إدارة مخاطر الطرف الثالث.
• إدارة المخاطر: التعرف الرسمي على المخاطر وتقييمها وتتبعها مع خطط المعالجة المدمجة في سجلات المنتجات والعمليات.
• التدريب والتوعية: تدريب أمني إلزامي لجميع الموظفين؛ دورات تنشيطية قائمة على الأدوار للمهندسين والدعم.

أمن البيانات والخصوصية

• معالجة البيانات والخصوصية: يرى اتفاقية معالجة البيانات (DPA) و سياسة الخصوصية وفصل البيانات العالمية.
• التشفير: TLS 1.3 للبيانات أثناء النقل؛ ودعم التشفير في حالة السكون والمفاتيح التي يديرها العميل في البيئات المدعومة.
• وصول: التحكم في الوصول القائم على الأدوار (RBAC)، وتكاملات SSO/LDAP، والمصادقة المتعددة العوامل (MFA) للعمليات المميزة.

ضوابط الأمن التشغيلية

RELIANOID يحافظ على عناصر تحكم متعددة الطبقات للوقاية والكشف والاستجابة (الوصول المنطقي وعمليات النظام وإدارة التغيير):

• التسجيل والمراقبة: يتم تسجيل الأحداث الإدارية والأمنية مع خيارات لإعادة توجيهها إلى SIEM العميل؛ ويتم تحديد مسارات التنبيه والتصعيد.
• إدارة الضعف: أسبوعيا عمليات مسح الثغرات الأمنية لبرنامج موازنة التحميل؛ ربع سنوي عمليات مسح أمنية للخدمات العامة والداخلية؛ وتتبع اتفاقيات مستوى الخدمة الخاصة بالإصلاح.
• تصلب: تكوينات آمنة بشكل افتراضي، وحسابات الخدمة ذات الامتيازات الأقل، وتقسيم الشبكة، ومعالجة الأسرار الآمنة.

إدارة التغيير والإصدار

• مراجعات الكود: مراجعة الأقران الإلزامية؛ كل التزام يقوم بتشغيل نصوص التحقق الآلية للكود الآمن.
• الاختبار الآلي: اختبارات الأمان والوظائف المتكاملة مع خطوط الأنابيب التي تعتمد على OpenAPI؛ بوابات الانحدار في عمليات البناء.
• سلامة الإصدار: الإصدارات المحددة، والتغييرات الموثقة، وإجراءات التراجع.

الاستجابة للحوادث ومستويات الخدمة

تتوافق عمليات التعامل مع الحوادث والاتصالات الخارجية مع توقعات SOC 2 فيما يتعلق بأحداث الأمان والتزامات التوفر:

• الإجراءات: يرى إجراءات الاستجابة للحوادث والإبلاغ عنها.
• التزامات العملاء: يرى اتفاقية مستوى الخدمة (SLA).

مخاطر الطرف الثالث وسلسلة التوريد

• الإشراف على البائعين: الموردين الأساسيين الذين تم تقييمهم لكل سياسة إدارة مخاطر الطرف الثالث، بما في ذلك اتفاقيات مستوى الخدمة واستراتيجيات الخروج.
• السحابة والاستضافة: يمكن للعملاء النشر على البنية التحتية المفضلة لديهم؛ ويتم توفير الإرشادات لمواءمة المسؤوليات المشتركة.

استمرارية الأعمال والتعافي من الكوارث

• برنامج BC/DR: السياسات والاختبار كما هو محدد في سياسة BC/DR.
• النسخ الاحتياطي والاستعادة: إجراء عمليات نسخ احتياطي واستعادة دورية لتلبية أهداف التوفر والسلامة.

محاذاة معايير خدمات الثقة (TSC)

الأمان (المعايير المشتركة)

• عناصر التحكم في الوصول المنطقي: RBAC، وMFA للوصول المتميز، وتجزئة الشبكة.
• عمليات النظام: المراقبة، والتنبيه، وإدارة الثغرات، والحماية من إساءة الاستخدام.
• إدارة التغيير: مراجعة التعليمات البرمجية، والتحقق الأمني التلقائي لكل عملية التزام، وموافقات الإصدار.

التوفر

• خيارات التجميع عالية التوفر والتعافي من الفشل (محليًا/سحابيًا).
• اتفاقية مستوى الخدمة (SLA) للدعم وأوقات الاستجابة ومراقبة القدرة والصحة.
• خطط BC/DR مع اختبار النسخ الاحتياطي والاستعادة.

الإقناع

• التشفير أثناء النقل (TLS 1.3) وفي حالة السكون (البيئات المدعومة)؛ إرشادات إدارة المفاتيح.
• ممارسات فصل البيانات وفقًا لسياسة الخصوصية؛ الوصول إلى الحد الأدنى من الامتيازات.
• تأمين خطوط الأساس للتكوين والنظافة السرية.

نزاهة المعالجة

• اختبارات خط الأنابيب الآلية (الوظيفية، الانحدارية) لضمان المعالجة الدقيقة والمصرح بها.
• التحقق من صحة التكوين وتتبع التغييرات؛ والتحقق من سلامة الإصدارات.
• تحديد اتفاقيات مستوى الخدمة لإصلاح العيوب التي تؤثر على الصحة.

الخصوصية

• اتفاقية معالجة البيانات وضوابط الخصوصية العالمية (راجع اتفاقية معالجة البيانات وضوابط الخصوصية).
• خيارات تقليل البيانات والاحتفاظ بها للسجلات/القياس عن بعد.
• ملكية العملاء والتحكم في تدفقات البيانات والصادرات.

البيان الختامي

RELIANOID ملتزمة بمساعدة المنظمات على تلبية معايير خدمات الثقة SOC 2 من خلال الدمج تدابير أمنية قوية، واستراتيجيات المرونة التشغيلية، وأفضل الممارسات القائمة على الامتثال في حلول موازنة التحميل لدينا.

مراجعة المستندات

الاتصال والضمان

نحن نرحب بطلبات الحصول على وثائق أمنية مفصلة، أو مصفوفات رسم خرائط المخاطر، أو الإفصاحات المتعلقة بالامتثال.

اتصل بفريق الامتثال والأمان لدينا

تنزيل أحدث تقرير أمني