Ugrás a fő tartalomra

SOC 2 Trust Service Criteria

Áttekintés

A SOC 2 az AICPA által meghatározott auditálási keretrendszer szolgáltató szervezetek számára, amely öt Trust Service Criteria (TSC) köré épül: Security, Availability, Processing Integrity, Confidentiality és Privacy.

A vitalera a SOC 2 Trust Service Criteriához illeszkedő biztonsági, rendelkezésre állási és bizalmassági kontrollokat valósít meg. Ezeket a kontrollokat függetlenül auditálják és tanúsítják az ISO/IEC 27001:2022 Információbiztonsági Irányítási Rendszerünk keretében, amely jelentős átfedést mutat a SOC 2 TSC keretrendszerrel.

Jelenlegi állapot

Átlátható pozicionálás

A vitalera jelenleg nem publikál SOC 2 Type I vagy Type II tanúsítványjelentést.

A SOC 2 által előírt alapvető biztonsági kontrollokat az ISO 27001:2022 keretében valósítjuk meg, üzemeltetjük és külsőleg auditáljuk — ez egy olyan keretrendszer, amely — bár más szabványügyi testület (ISO) bocsátja ki — lényegében ugyanazokat a kontrollterületeket fedi le, mint a SOC 2, és nemzetközileg szélesebb körben elismert, különösen az EU egészségügyi piacán, amelyet a vitalera elsősorban kiszolgál.

Azok a vállalati ügyfelek, akiknek SOC 2 dokumentációra van szükségük a belső szállítói felülvizsgálati folyamatukhoz, az alábbi lehetőségek egyikét kérhetik.

Mit kérhetnek a vállalati ügyfelek

Vegye fel a kapcsolatot a legal@vitalera.io címen vagy account managerével, hogy biztonsági felülvizsgálat részeként megkapja bármelyiket a következők közül:

DokumentumLeírás
ISO 27001:2022 tanúsítványAkkreditált tanúsító testületünk által kiállított aktuális tanúsítvány, beleértve a hatóköri nyilatkozatot és a tanúsítvány érvényességi dátumait
Statement of Applicability (SoA)A vitalerára alkalmazott Annex A kontrollok megvalósítási megjegyzésekkel
SOC 2 / ISO 27001 kontroll-leképezésDokumentum, amely a SOC 2 öt Trust Service Criteria-ját a vitalera által megvalósított ISO 27001 Annex A kontrollokra képezi
Penetrációs teszt összefoglalójaA legfrissebb független penetrációs teszt magas szintű eredményei
Architektúra és adatáramlási dokumentációHálózati diagramok, adatrezidencia részletei, titkosítási architektúra és külső adatfeldolgozók
Biztonsági kérdőív válaszKitöltött válaszok a gyakori szállítói biztonsági kérdőívekre (CAIQ, SIG, VSA)

Minden dokumentumot kölcsönös NDA keretében osztunk meg a vállalati értékesítési folyamat részeként.

A Trust Service Criteria lefedettsége

A SOC 2 öt Trust Service Criteria-ja és a vitalera megközelítése mindegyikhez:

Security (Common Criteria — minden SOC 2 jelentéshez szükséges)

Az ISO 27001:2022 Annex A kontrollokon keresztül fedve: információbiztonsági irányelvek, hozzáférés-szabályozás, kriptográfia, fizikai biztonság, üzemeltetési biztonság, kommunikációs biztonság, rendszerbeszerzés, szállítói kapcsolatok, incidenskezelés és üzletmenet-folytonosság. A részletekért lásd az ISO 27001 és Adatbiztonság oldalakat.

Availability

  • Multi-AZ telepítés AWS eu-west-1 régióban automatikus failoverrel
  • Napi biztonsági mentések időpontra visszaállítási lehetőséggel
  • Dokumentált katasztrófa-helyreállítási runbook-ok tesztelt RTO és RPO célokkal
  • Folyamatos monitorozás és riasztás a rendelkezésre állási metrikákhoz

Confidentiality

  • AES-256 titkosítás nyugalmi állapotban, TLS 1.2+ átvitel közben
  • Szerepalapú hozzáférés-szabályozás a legkisebb jogosultság elvének érvényesítésével
  • Hálózati izoláció AWS VPC-n keresztül
  • Titkosított felügyelt adatbázisok és objektumtárolók
  • Adatosztályozási és -kezelési irányelvek, amelyek lefedik a PHI-t, PII-t és az ügyféladatokat

Processing Integrity

  • Bemeneti érvényesítés az API határán (FHIR R5 séma érvényesítés)
  • Adatbázis-szintű integritási megkötések és kriptográfiai audit-naplók
  • Strukturált hibakezelés és idempotencia a webhook-kézbesítéshez
  • Automatizált tesztelés és változáskezelés minden éles környezeti telepítéshez

Privacy

  • GDPR megfelelőség az EU személyes adataihoz
  • HIPAA Business Associate biztosítékok az US PHI-hoz
  • Dokumentált érintett jogi munkafolyamatok
  • Data Processing Agreements (DPAs) és Business Associate Agreements (BAAs) elérhetők

Miért működik az ISO 27001 a SOC 2 felülvizsgálatokhoz

Azon ügyfelek számára, akiknek beszerzési folyamata "SOC 2 vagy egyenértékű" megoldást kér, az ISO 27001:2022 a legszélesebb körben elfogadott egyenérték:

  • Hatókör: az ISO 27001 93 Annex A kontrollja ugyanazokat a területeket fedi le, mint a SOC 2 Common Criteria
  • Audit: éves felügyeleti auditok és háromévenkénti újratanúsítás akkreditált testület által
  • Függetlenség: harmadik fél ISO tanúsító testülete végzi, nem önértékelés
  • Nemzetközi elismerés: sok nem amerikai vállalat és egészségügyi rendszer számára kötelező

Ha az Ön beszerzési folyamata szigorúan SOC 2 Type II jelentést igényel, és nem fogadja el az ISO 27001-et alternatívaként, vegye fel a kapcsolatot a legal@vitalera.io címen a SOC 2 audit vállalati szerződés keretében való ütemezésének megbeszéléséhez.

Kapcsolódó megfelelőség

  • ISO 27001 — Elsődleges biztonsági tanúsítvány és SOC 2 egyenérték
  • HIPAA — US egészségügyi Business Associate biztosítékok
  • GDPR — EU személyes adatok védelme
  • Adatbiztonság — A technikai biztonsági architektúra áttekintése

Kapcsolat

Biztonsági felülvizsgálatokért, SOC 2 kontroll-leképezésért vagy vállalati megfelelőségi dokumentációért vegye fel a kapcsolatot a legal@vitalera.io címen.