Naar hoofdinhoud gaan

SOC 2 Trust Service Criteria

Overzicht

SOC 2 is een door de AICPA gedefinieerd auditkader voor service-organisaties, opgebouwd rond vijf Trust Service Criteria (TSC): Security, Availability, Processing Integrity, Confidentiality en Privacy.

vitalera implementeert beveiligings-, beschikbaarheids- en vertrouwelijkheidscontroles die zijn afgestemd op de SOC 2 Trust Service Criteria. Deze controles worden onafhankelijk geaudit en gecertificeerd onder ons Information Security Management System volgens ISO/IEC 27001:2022, dat aanzienlijke overlap vertoont met het SOC 2 TSC-raamwerk.

Huidige stand van zaken

Transparante positionering

vitalera publiceert momenteel geen SOC 2 Type I- of Type II-attestatierapport.

De onderliggende beveiligingscontroles die SOC 2 vereist, zijn geimplementeerd, operationeel en extern geaudit onder ISO 27001:2022 — een raamwerk dat, hoewel uitgegeven door een andere normalisatie-instelling (ISO), in wezen dezelfde controledomeinen bestrijkt als SOC 2 en internationaal breder erkend is, met name op de EU-zorgmarkt waar vitalera hoofdzakelijk actief is.

Enterprise-klanten die SOC 2-documentatie nodig hebben voor hun interne leveranciersbeoordeling kunnen een van de onderstaande opties aanvragen.

Wat enterprise-klanten kunnen aanvragen

Neem contact op met legal@vitalera.io of uw account manager om een van de volgende documenten te ontvangen als onderdeel van een security review:

DocumentBeschrijving
ISO 27001:2022-certificaatActueel certificaat van onze geaccrediteerde certificeringsinstelling, inclusief scopeverklaring en geldigheidsdata
Statement of Applicability (SoA)Op vitalera toegepaste Annex A-controles, met implementatienotities
SOC 2 / ISO 27001 controle-mappingDocument dat de vijf SOC 2 Trust Service Criteria koppelt aan de door vitalera geimplementeerde ISO 27001 Annex A-controles
Samenvatting penetratietestSamenvatting op hoog niveau van de resultaten van de meest recente onafhankelijke penetratietest
Documentatie architectuur en dataflowNetwerkdiagrammen, details over dataresidentie, versleutelingsarchitectuur en externe dataverwerkers
Antwoord op beveiligingsvragenlijstIngevulde antwoorden op gangbare leveranciersbeveiligingsvragenlijsten (CAIQ, SIG, VSA)

Alle documenten worden gedeeld onder een wederzijdse NDA als onderdeel van het enterprise-verkoopproces.

Dekking van de Trust Service Criteria

De vijf SOC 2 Trust Service Criteria en hoe vitalera elk daarvan aanpakt:

Security (Common Criteria — vereist voor alle SOC 2-rapporten)

Gedekt via de ISO 27001:2022 Annex A-controles voor informatiebeveiligingsbeleid, toegangscontrole, cryptografie, fysieke beveiliging, operationele beveiliging, communicatiebeveiliging, systeemacquisitie, leveranciersrelaties, incidentmanagement en bedrijfscontinuiteit. Zie de pagina's ISO 27001 en Gegevensbeveiliging voor details.

Availability

  • Multi-AZ-deployment op AWS eu-west-1 met automatische failover
  • Dagelijkse back-ups met point-in-time recovery
  • Gedocumenteerde disaster recovery-runbooks met geteste RTO- en RPO-doelen
  • Continue monitoring en alerting voor beschikbaarheidsmetrieken

Confidentiality

  • AES-256-versleuteling in rust, TLS 1.2+ tijdens transport
  • Rolgebaseerde toegangscontrole met afdwinging van het principe van minimale bevoegdheid
  • Netwerkisolatie via AWS VPC
  • Versleutelde beheerde databases en objectopslag
  • Dataclassificatie- en verwerkingsbeleid dat PHI, PII en klantgegevens bestrijkt

Processing Integrity

  • Invoervalidatie aan de API-grens (afdwinging van FHIR R5-schema)
  • Integriteitsbeperkingen op databaseniveau en cryptografische audit-logs
  • Gestructureerde foutafhandeling en idempotentie voor webhook-levering
  • Geautomatiseerde tests en change management voor alle productiedeployments

Privacy

  • GDPR-naleving voor persoonsgegevens in de EU
  • HIPAA Business Associate-waarborgen voor PHI in de VS
  • Gedocumenteerde workflows voor rechten van betrokkenen
  • Data Processing Agreements (DPAs) en Business Associate Agreements (BAAs) beschikbaar

Waarom ISO 27001 werkt voor SOC 2-beoordelingen

Voor klanten van wie het inkoopproces "SOC 2 of gelijkwaardig" vraagt, is ISO 27001:2022 het meest geaccepteerde equivalent:

  • Scope: de 93 Annex A-controles van ISO 27001 bestrijken dezelfde domeinen als de SOC 2 Common Criteria
  • Audit: jaarlijkse surveillance-audits en driejaarlijkse hercertificering door een geaccrediteerde instelling
  • Onafhankelijkheid: uitgevoerd door een onafhankelijke ISO-certificeringsinstelling, geen zelfbeoordeling
  • Internationale erkenning: vereist door veel niet-Amerikaanse organisaties en zorginstellingen

Als uw inkoopproces strikt een SOC 2 Type II-rapport vereist en ISO 27001 niet als alternatief accepteert, neem dan contact op met legal@vitalera.io om het plannen van een SOC 2-audit als onderdeel van het enterprise-contract te bespreken.

Gerelateerde compliance

  • ISO 27001 — Primaire beveiligingscertificering en SOC 2-equivalent
  • HIPAA — Amerikaanse Business Associate-waarborgen voor de zorg
  • GDPR — Bescherming van persoonsgegevens in de EU
  • Gegevensbeveiliging — Overzicht van de technische beveiligingsarchitectuur

Contact

Voor security reviews, SOC 2 controle-mapping of enterprise-compliancedocumentatie kunt u contact opnemen met legal@vitalera.io.