Hoppa till huvudinnehallet

SOC 2 Trust Service Criteria

Oeversikt

SOC 2 aer ett AICPA-definierat revisionsramverk foer tjaensteorganisationer, uppbyggt kring fem Trust Service Criteria (TSC): Security, Availability, Processing Integrity, Confidentiality och Privacy.

vitalera implementerar saekerhets-, tillgaenglighets- och konfidentialitetskontroller som aer anpassade efter SOC 2 Trust Service Criteria. Dessa kontroller granskas och certifieras oberoende enligt vaart ledningssystem foer informationssaekerhet ISO/IEC 27001:2022, som i stort sett oeverlappar med SOC 2 TSC-ramverket.

Nulaege

Transparent positionering

vitalera publicerar inte foer naervarande naagon SOC 2 Type I- eller Type II-attesteringsrapport.

De underliggande saekerhetskontroller som kraevs av SOC 2 aer implementerade, i drift och externt granskade enligt ISO 27001:2022 — ett ramverk som, trots att det utfaerdas av en annan standardiseringsorganisation (ISO), i stort sett taecker samma kontrolldomaner som SOC 2 och aer mer allmaent erkaent internationellt, saerskilt paa EU:s vaardmarknad som vitalera primaert betjaenar.

Enterprise-kunder som behoever SOC 2-dokumentation foer sin interna leverantoersgranskningsprocess kan begaera naagot av alternativen nedan.

Vad enterprise-kunder kan begaera

Kontakta legal@vitalera.io eller din account manager foer att ta del av naagot av foeljande som del av en saekerhetsgranskning:

DokumentBeskrivning
ISO 27001:2022-certifikatAktuellt certifikat utfaerdat av vaart ackrediterade certifieringsorgan, inklusive omfattningsbeskrivning och giltighetsdatum
Statement of Applicability (SoA)Annex A-kontroller som tillaempas paa vitalera, med implementationsnoteringar
SOC 2 / ISO 27001 kontrollkartlaeggningDokument som kartlaegger SOC 2:s fem Trust Service Criteria mot de Annex A-kontroller i ISO 27001 som vitalera implementerar
Sammanfattning av penetrationstestSammanfattning paa hoeg nivaa av resultaten fraan det senaste oberoende penetrationstestet
Arkitektur- och dataflodesdokumentationNaetverksdiagram, dataresidensdetaljer, krypteringsarkitektur och tredjepartsdataprocessorer
Svar paa saekerhetsfraagefoermularIfyllda svar paa vanliga leverantoerers saekerhetsfraagefoermular (CAIQ, SIG, VSA)

Alla dokument delas under en oemsesidig NDA som del av enterprise-foersaeljningsprocessen.

Taeckning av Trust Service Criteria

De fem SOC 2 Trust Service Criteria och hur vitalera hanterar var och en:

Security (Common Criteria — obligatorisk foer alla SOC 2-rapporter)

Taecks via ISO 27001:2022 Annex A-kontroller foer informationssaekerhetspolicyer, aatkomstkontroll, kryptografi, fysisk saekerhet, driftsaekerhet, kommunikationssaekerhet, systemanskaffning, leverantoersrelationer, incidenthantering och kontinuitetsplanering. Se sidorna ISO 27001 och Datasakerhet foer detaljer.

Availability

  • Multi-AZ-distribution i AWS eu-west-1 med automatisk failover
  • Dagliga saekerhetskopior med punkt-i-tid-aaterstaellning
  • Dokumenterade runbooks foer disaster recovery med testade RTO- och RPO-maal
  • Kontinuerlig oeovervakning och larm foer tillgaenglighetsmatt

Confidentiality

  • AES-256-kryptering i vila, TLS 1.2+ under oeverfoering
  • Rollbaserad aatkomstkontroll med tillaempning av minsta privilegium
  • Naetverksisolering via AWS VPC
  • Krypterade hanterade databaser och objektlagring
  • Dataklassificerings- och hanteringspolicyer som taecker PHI, PII och kunddata

Processing Integrity

  • Validering av indata vid API-graensen (FHIR R5-schemavaliditet)
  • Integritetsbegraensningar paa databasnivaa och kryptografiska revisionsloggar
  • Strukturerad felhantering och idempotens foer webhook-leverans
  • Automatiserad testning och aendringshantering foer alla produktionsdistributioner

Privacy

  • GDPR-efterlevnad foer personuppgifter i EU
  • HIPAA Business Associate-skyddsaatgaerder foer US-PHI
  • Dokumenterade arbetsfloden foer registrerades raettigheter
  • Data Processing Agreements (DPAs) och Business Associate Agreements (BAAs) tillgaengliga

Varfoer ISO 27001 fungerar foer SOC 2-granskningar

Foer kunder vars upphandlingsprocess fraagar efter "SOC 2 eller motsvarande" aer ISO 27001:2022 den mest allmaent accepterade motsvarigheten:

  • Omfattning: ISO 27001:s 93 Annex A-kontroller taecker samma domaener som SOC 2 Common Criteria
  • Revision: aarliga oeovervakningsrevisioner och omcertifiering vart tredje aar av ett ackrediterat organ
  • Oberoende: utfoerd av ett tredjeparts ISO-certifieringsorgan, inte en sjaelvbedoemning
  • Internationellt erkaennande: kraevs av maanga icke-amerikanska foeretag och vaardsystem

Om din upphandlingsprocess strikt kraever en SOC 2 Type II-rapport och inte accepterar ISO 27001 som alternativ, kontakta legal@vitalera.io foer att diskutera schemalaeggning av en SOC 2-revision som del av enterprise-avtalet.

Relaterad efterlevnad

  • ISO 27001 — Primaer saekerhetscertifiering och SOC 2-motsvarighet
  • HIPAA — US-vaard Business Associate-skyddsaatgaerder
  • GDPR — Skydd av personuppgifter i EU
  • Datasakerhet — Oeversikt oeover teknisk saekerhetsarkitektur

Kontakt

Foer saekerhetsgranskningar, SOC 2-kontrollkartlaeggning eller enterprise-efterlevnadsdokumentation, kontakta legal@vitalera.io.