Menu
information_security

Conformité HIPAA SOC 2 : Le processus chez Rave and Result

, , , , , , ,

Récemment, Rave Mobile Safety a reçu un avis favorable sur notre audit SOC 2 avec HIPAA Type 1, une évaluation basée sur l’environnement de contrôle d’une organisation à un moment donné. Cette évaluation valide l’efficacité de la plateforme de communication et de collaboration critique Rave et met en évidence les domaines dans lesquels nous pouvons nous améliorer. Il garantit également que nous disposons d’un programme de contrôle continu et exhaustif afin de maintenir un niveau élevé de conformité tout au long de l’année.

L’histoire de SOC 2 et la signification de la conformité à SOC2

Le SOC2 a été élaboré par l’American Institute of CPAs (AICPA) et définit les critères que les fournisseurs de services comme Rave doivent mettre en place pour gérer et protéger les données de leurs clients. En règle générale, la conformité à la norme SOC 2 est une exigence minimale que les clients devraient demander à leur fournisseur de SaaS (Software as a Service), car il s’agit d’une attestation d’un tiers indépendant qui indique si les contrôles répondent aux critères et sont efficaces. La certification SOC 2 nous aide à démontrer notre diligence raisonnable et notre engagement à protéger les données des clients et à maintenir une solution SaaS disponible et sécurisée.

Cette conformité repose sur cinq principes de service de confiance : la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la protection de la vie privée. La sécurité est un ensemble de critères fondamentaux que toutes les organisations doivent respecter. Les entreprises peuvent choisir l’une ou l’autre des quatre catégories restantes à évaluer. Comme nos clients attendent des solutions SaaS de Rave qu’elles soient sécurisées, hautement disponibles et qu’elles maintiennent des contrôles stricts sur les données des utilisateurs, nous avons choisi d’ajouter la disponibilité et la confidentialité. Rave a également ajouté des critères HIPAA/HITECH pour garantir aux clients de Rave Alert et de Rave Guardian ainsi qu’aux citoyens utilisateurs de Smart911 que les informations de santé identifiables individuellement sont protégées conformément à la loi HIPAA.

Il existe deux types de rapports : le type 1 et le type 2. Le rapport SOC2 de type 1 est un rapport sur le système d’un organisme de services et sur l’adéquation de la conception des contrôles. Le rapport de type I examine un point dans le temps ou une date de mise en service du système et la manière dont l’organisation décrit le système et les contrôles en place autour du système. Le rapport SOC2 de type 2 est similaire au rapport de type 1, à ceci près que les contrôles sont décrits et évalués pendant une période minimale de six mois afin de vérifier s’ils fonctionnent comme l’a décrit la direction.

SOC2 vs. Autres évaluations de la sécurité

Vous vous demandez peut-être quelle est la différence entre la conformité SOC 2 et les autres évaluations de sécurité. Par exemple, si vous n’obtenez pas un ATO FedRAMP, les agences gouvernementales ne peuvent pas utiliser le service en nuage. En revanche, si vous obtenez de mauvaises notes dans votre rapport SOC 2, le client peut toujours utiliser les services.

FedRAMP est un programme du gouvernement américain qui fournit une approche standardisée de l’évaluation de la sécurité des produits et services en nuage. FedRAMP permet aux agences de passer rapidement d’une technologie de l’information ancienne et non sécurisée à une technologie de l’information basée sur l’informatique dématérialisée, sécurisée et rentable.

Un ATO FedRAMP (Authorized to Operate) est une mesure par rapport à un ensemble standard de contrôles de sécurité, de procédures et de politiques établis par le gouvernement fédéral et basés sur le NIST (National Institute of Standards and Technology) 800-53. Si le service en nuage n’obtient pas d’ATO, une agence gouvernementale ne peut pas utiliser le service.

Les rapports SOC2 couvrent les contrôles d’un organisme de services relatifs à la sécurité, à la disponibilité, à l’intégrité du traitement, à la confidentialité ou à la protection de la vie privée. Ces rapports sont destinés à répondre aux besoins d’un large éventail d’utilisateurs qui ont besoin d’informations détaillées et d’une assurance sur les contrôles d’un organisme de services relatifs à la sécurité, à la disponibilité et à l’intégrité du traitement des systèmes que l’organisme de services utilise pour traiter les données des utilisateurs, ainsi qu’à la confidentialité et à la protection de la vie privée des informations traitées par ces systèmes.

Le processus de conformité Soc2

Le processus d’achèvement du SOC2 avec la conformité HIPAA prend plusieurs mois. Les auditeurs doivent procéder à une évaluation complète des centaines de contrôles couverts par le rapport. Le processus comprend l’examen des politiques, des procédures et des plans (réponse aux incidents, continuité des activités et reprise après sinistre).

Pour obtenir une évaluation favorable, Rave a dû démontrer clairement que les programmes appropriés et les contrôles séquentiels étaient en place en fournissant des preuves sous forme de documentation, de captures d’écran, d’entretiens, d’enregistrements et de procédures opérationnelles avec les tickets de service correspondants. En raison de Covid19, Rave a effectué une visite virtuelle des installations de l’entreprise afin que les auditeurs puissent constater que les contrôles de sécurité physique requis étaient en place.

Pourquoi c’est important

Dans l’ensemble, le SOC 2 permet à Rave de démontrer à ses clients qu’elle a mis en place des processus, des procédures et des contrôles adéquats dont l’efficacité est activement contrôlée et qui ont fait l’objet d’une évaluation indépendante. Le rapport de conformité est une attestation de l’adéquation et de l’efficacité des contrôles qu’une organisation a mis en place pour répondre aux principes du service de confiance et, dans notre cas, aux exigences de l’HIPAA. Il est destiné à un groupe plus large de clients qui recherchent une évaluation indépendante par une tierce partie. La partie HIPAA de l’évaluation se concentre spécifiquement sur les exigences HIPAA et indique si la disposition de la loi s’applique et, dans l’affirmative, si le contrôle est approprié et efficace. Le rapport SOC 2 est conçu pour fournir des assurances sur l’efficacité des contrôles en place. Le rapport SOC 2 a évalué Rave Alert, Smart911 et l’application mobile Guardian.

Related Posts