Saltar al contingut principal

Trust Service Criteria de SOC 2

Descripció general

SOC 2 és un marc d'auditoria definit per l'AICPA per a organitzacions de servei, estructurat al voltant de cinc Trust Service Criteria (TSC): Security, Availability, Processing Integrity, Confidentiality i Privacy.

vitalera implementa controls de seguretat, disponibilitat i confidencialitat alineats amb les Trust Service Criteria de SOC 2. Aquests controls són auditats i certificats de manera independent sota el nostre Sistema de Gestió de Seguretat de la Informació ISO/IEC 27001:2022, que presenta un solapament substancial amb el marc TSC de SOC 2.

Estat actual

Posicionament transparent

vitalera no publica actualment un informe d'atestació SOC 2 Type I o Type II.

Els controls de seguretat subjacents que requereix SOC 2 estan implementats, operats i auditats externament sota ISO 27001:2022 — un marc que, tot i ser emès per un organisme d'estandardització diferent (ISO), cobreix substancialment els mateixos dominis de control que SOC 2 i és reconegut més àmpliament a escala internacional, en particular al mercat sanitari de la UE, que és el principal mercat al qual vitalera dona servei.

Els clients empresarials que requereixen documentació SOC 2 per al seu procés intern de revisió de proveïdors poden sol·licitar qualsevol de les opcions següents.

Què poden sol·licitar els clients empresarials

Contacteu amb legal@vitalera.io o amb el vostre account manager per rebre qualsevol dels documents següents com a part d'una revisió de seguretat:

DocumentDescripció
Certificat ISO 27001:2022Certificat vigent emès pel nostre organisme de certificació acreditat, incloent-hi la declaració d'abast i les dates de validesa
Statement of Applicability (SoA)Controls de l'Annex A aplicats a vitalera, amb notes d'implementació
Mapa de controls SOC 2 / ISO 27001Document que mapa les cinc Trust Service Criteria de SOC 2 als controls de l'Annex A d'ISO 27001 implementats per vitalera
Resum del test d'intrusióResultats d'alt nivell del test d'intrusió independent més recent
Documentació d'arquitectura i flux de dadesDiagrames de xarxa, detalls de residència de dades, arquitectura de xifratge i processadors de dades de tercers
Resposta al qüestionari de seguretatRespostes completes als qüestionaris habituals de seguretat de proveïdors (CAIQ, SIG, VSA)

Tots els documents es comparteixen sota un NDA mutu com a part del procés de venda empresarial.

Cobertura de les Trust Service Criteria

Les cinc Trust Service Criteria de SOC 2 i com vitalera aborda cadascuna:

Security (Common Criteria — obligatori per a tots els informes SOC 2)

Cobert mitjançant els controls de l'Annex A d'ISO 27001:2022 per a polítiques de seguretat de la informació, control d'accés, criptografia, seguretat física, seguretat d'operacions, seguretat de comunicacions, adquisició de sistemes, relacions amb proveïdors, gestió d'incidents i continuïtat del negoci. Consulteu les pàgines ISO 27001 i Seguretat de dades per a més detalls.

Availability

  • Desplegament multi-AZ a AWS eu-west-1 amb failover automàtic
  • Còpies de seguretat diàries amb recuperació a un punt en el temps
  • Runbooks documentats de recuperació davant desastres amb objectius RTO i RPO provats
  • Monitorització i alertes contínues per a mètriques de disponibilitat

Confidentiality

  • Xifratge AES-256 en repòs, TLS 1.2+ en trànsit
  • Control d'accés basat en rols amb aplicació del principi de mínim privilegi
  • Aïllament de xarxa mitjançant AWS VPC
  • Bases de dades gestionades i emmagatzematge d'objectes xifrats
  • Polítiques de classificació i tractament de dades que cobreixen PHI, PII i dades de clients

Processing Integrity

  • Validació d'entrada al límit de l'API (aplicació d'esquema FHIR R5)
  • Restriccions d'integritat a nivell de base de dades i registres d'auditoria criptogràfics
  • Gestió d'errors estructurada i idempotència per al lliurament de webhooks
  • Proves automatitzades i gestió del canvi per a tots els desplegaments en producció

Privacy

  • Compliment GDPR per a dades personals de la UE
  • Salvaguardes HIPAA com a Business Associate per a PHI dels Estats Units
  • Fluxos documentats de drets de l'interessat
  • Data Processing Agreements (DPAs) i Business Associate Agreements (BAAs) disponibles

Per què ISO 27001 funciona per a revisions SOC 2

Per als clients el procés de compra dels quals demana "SOC 2 o equivalent", ISO 27001:2022 és l'equivalent acceptat més àmpliament:

  • Abast: els 93 controls de l'Annex A d'ISO 27001 cobreixen els mateixos dominis que les Common Criteria de SOC 2
  • Auditoria: auditories de supervisió anuals i recertificació triennal per un organisme acreditat
  • Independència: efectuada per un organisme tercer de certificació ISO, no una autoavaluació
  • Reconeixement internacional: exigit per moltes empreses i sistemes sanitaris no dels Estats Units

Si el vostre procés de compra requereix estrictament un informe SOC 2 Type II i no accepta ISO 27001 com a alternativa, contacteu amb legal@vitalera.io per parlar sobre la programació d'una auditoria SOC 2 com a part del contracte empresarial.

Compliment relacionat

  • ISO 27001 — Certificació principal de seguretat i equivalent a SOC 2
  • HIPAA — Salvaguardes com a Business Associate per al sistema sanitari dels Estats Units
  • GDPR — Protecció de dades personals de la UE
  • Seguretat de dades — Visió general de l'arquitectura tècnica de seguretat

Contacte

Per a revisions de seguretat, mapa de controls SOC 2 o documentació de compliment empresarial, contacteu amb legal@vitalera.io.