SOC 2 Trust Service Criteria

Ikuspegi orokorra

SOC 2 AICPAk definitutako auditoria-esparrua da zerbitzu-erakundeentzat, bost Trust Service Criteria (TSC)-ren inguruan egituratua: Security, Availability, Processing Integrity, Confidentiality eta Privacy.

vitalera-k SOC 2-ren Trust Service Criteria-rekin bat datozen segurtasun, erabilgarritasun eta konfidentzialtasun kontrolak ezartzen ditu. Kontrol horiek modu independentean auditatu eta ziurtatzen dira gure ISO/IEC 27001:2022 Informazio-segurtasunaren Kudeaketa Sistemaren barruan, zeinak SOC 2 TSC esparruarekin gainjartze handia duen.

Uneko egoera

Kokapen gardena

vitalera-k ez du gaur egun SOC 2 Type I edo Type II atestazio-txostenik argitaratzen.

SOC 2-k eskatzen dituen azpiko segurtasun-kontrolak ISO 27001:2022 arabera ezarri, ustiatu eta kanpoan auditatzen dira — estandarizazio-erakunde desberdin batek (ISO) emandako esparrua izan arren, SOC 2-ren kontrol-esparru berberak funtsean estaltzen dituen eta nazioartean hedatuago aitortua dagoena, batez ere vitalera-k nagusiki zerbitzatzen duen EBko osasun-merkatuan.

SOC 2 dokumentazioa bere barne-hornitzaileen berrikuspen-prozesurako behar duten enpresa-bezeroek beheko aukeretako bat eska dezakete.

Zer eska dezakete enpresa-bezeroek

Jar zaitez harremanetan legal@vitalera.io edo zure account manager-arekin segurtasun-berrikuspen baten zati gisa honako edozein jasotzeko:

Dokumentua	Deskribapena
ISO 27001:2022 ziurtagiria	Akreditatutako ziurtapen-erakundeak emandako uneko ziurtagiria, irismen-deklarazioa eta ziurtapenaren baliozkotasun-datak barne
Statement of Applicability (SoA)	vitalera-ri aplikatutako Annex A kontrolak, ezarpen-oharrekin
SOC 2 / ISO 27001 kontrolen mapa	SOC 2-ren bost Trust Service Criteria-k vitalera-k ezarritako ISO 27001 Annex A kontroletara mapatzen dituen dokumentua
Penetrazio-testaren laburpena	Independenteko azken penetrazio-testaren emaitzen goi-mailako laburpena
Arkitektura eta datu-fluxuen dokumentazioa	Sare-diagramak, datuen egoitzaren xehetasunak, enkriptazio-arkitektura eta hirugarrenen datu-prozesadoreak
Segurtasun-galdetegiaren erantzuna	Hornitzaileen ohiko segurtasun-galdetegietarako erantzun beteak (CAIQ, SIG, VSA)

Dokumentu guztiak elkarrekiko NDAren pean partekatzen dira enpresa-salmentaren prozesuaren zati gisa.

Trust Service Criteria-ren estaldura

SOC 2-ren bost Trust Service Criteria eta vitalera-k bakoitza nola lantzen duen:

Security (Common Criteria — SOC 2 txosten guztietarako derrigorrezkoa)

ISO 27001:2022 Annex A kontrolen bidez estalia: informazio-segurtasunaren politikak, sarbide-kontrola, kriptografia, segurtasun fisikoa, operazioen segurtasuna, komunikazio-segurtasuna, sistemen erosketa, hornitzaileekiko harremanak, gertakarien kudeaketa eta negozio-jarraitutasuna. Ikusi ISO 27001 eta Datuen segurtasuna orriak xehetasunetarako.

Availability

Multi-AZ hedapena AWS eu-west-1-en failover automatikoarekin
Eguneroko babeskopiak denboran zehar berreskuratzearekin
Dokumentatutako hondamen-berreskuratzearen runbook-ak probatutako RTO eta RPO helburuekin
Erabilgarritasun-metriketarako etengabeko monitorizazioa eta alertak

Confidentiality

AES-256 enkriptazioa atsedenaldian, TLS 1.2+ garraioan
Roletan oinarritutako sarbide-kontrola pribilegio minimoaren printzipioaren aplikazioarekin
Sare-isolamendua AWS VPC bidez
Datu-base kudeatu eta objektu-biltegiratze enkriptatuak
PHI, PII eta bezeroen datuak estaltzen dituzten datuen sailkapen eta tratamendu politikak

Processing Integrity

Sarrera-balidazioa APIaren mugan (FHIR R5 eskema-aplikazioa)
Datu-base mailako osotasun-murrizketak eta auditoria-erregistro kriptografikoak
Errore-kudeaketa egituratua eta idempotentzia webhook-en bidalketarako
Proba automatizatuak eta aldaketa-kudeaketa ekoizpen-hedapen guztietarako

Privacy

GDPR betetzea EBko datu pertsonaletarako
HIPAA Business Associate babesak AEBetako PHI-rentzat
Datu-subjektuaren eskubideen fluxu dokumentatuak
Data Processing Agreements (DPAs) eta Business Associate Agreements (BAAs) eskuragarri

Zergatik ISO 27001 baliagarri den SOC 2 berrikuspenetarako

"SOC 2 edo baliokidea" eskatzen duten erosketa-prozesuetarako, ISO 27001:2022 da baliokide hedatuena:

Irismena: ISO 27001-en Annex A-ko 93 kontrolek SOC 2 Common Criteria-ren eremu berberak estaltzen dituzte
Auditoria: urteroko zaintzako auditoriak eta hiruhilekoko berriztatze-ziurtapena akreditatutako erakunde batek eginak
Independentzia: hirugarren ISO ziurtapen-erakunde batek egina, ez autoebaluazioa
Nazioarteko aitorpena: AEBez kanpoko enpresa eta osasun-sistema askok eskatua

Zure erosketa-prozesuak hertsiki SOC 2 Type II txosten bat eskatzen badu eta ez badu ISO 27001 alternatiba gisa onartzen, jar zaitez harremanetan legal@vitalera.io helbidearekin enpresa-kontratuaren barruan SOC 2 auditoria planifikatzeari buruz hitz egiteko.

Betetze lotua

ISO 27001 — Segurtasun-ziurtapen nagusia eta SOC 2 baliokidea
HIPAA — AEBetako osasun-sistemarako Business Associate babesak
GDPR — EBko datu pertsonalen babesa
Datuen segurtasuna — Segurtasun-arkitektura teknikoaren ikuspegi orokorra

Kontaktua

Segurtasun-berrikuspenetarako, SOC 2 kontrolen maparako edo enpresa-betetze dokumentaziorako, jar zaitez harremanetan legal@vitalera.io helbidearekin.

Ikuspegi orokorra​

Uneko egoera​

Zer eska dezakete enpresa-bezeroek​

Trust Service Criteria-ren estaldura​

Security (Common Criteria — SOC 2 txosten guztietarako derrigorrezkoa)​

Availability​

Confidentiality​

Processing Integrity​

Privacy​

Zergatik ISO 27001 baliagarri den SOC 2 berrikuspenetarako​

Betetze lotua​

Kontaktua​