Le Microsoft Assurance de la sécurité et de la confidentialité des fournisseurs (SSPA) Le programme exige que ses fournisseurs disposent d'un programme de sécurité et de confidentialité adéquat pour traiter les données confidentielles ou personnelles de Microsoft.
Depuis décembre 2021, Microsoft déclare dans son ASPS qu'il n'acceptera plus SOC 2 rapports; au lieu de cela, les normes ISO 27001 et ISO 27701 sont répertoriées comme exigences.
- Version 7, publiée en novembre 2020 – PAGE 11, 14 & 15
- Voir Annexe A : Les rapports SOC 2 (avec couverture de sécurité) ne seront pas acceptés au-delà de décembre 2021.
- Traitement des données confidentielles : soumettre la norme ISO 27001
- Traitement des données personnelles et confidentielles : soumettre ISO 27701 et ISO 27001
L'« approbation » par Microsoft des normes ISO 27001 et ISO/IEC 27701 a de vastes implications. Lorsqu’un leader du secteur de la sécurité et de la confidentialité des données, tel que Microsoft, « approuve » formellement une norme plutôt qu’une autre de cette manière, il incombe aux autres leaders du secteur de suivre. Cela marque un changement significatif par rapport à l’exigence américaine précédemment acceptée de se conformer au SOC 2.
Qu'est-ce que le programme d'assurance de la sécurité et de la confidentialité des fournisseurs (SSPA) ?
Le programme de sécurité des fournisseurs et d'assurance de la confidentialité est une initiative d'entreprise entreprise par Microsoft pour garantir que les fournisseurs respectent les exigences strictes de Microsoft en matière de protection des données. Les Exigences de Protection des Données des Fournisseurs (« DPR ») de Microsoft constituent les instructions de base de Microsoft en matière de traitement des données pour les fournisseurs.
Les exigences de protection des données des fournisseurs Microsoft (MSDRP) décrivent les instructions de traitement des données de Microsoft, fournies via le programme de sécurité et d'assurance de la confidentialité des fournisseurs aux fournisseurs travaillant avec des données confidentielles et/ou personnelles Microsoft.
Le programme SSPA couvre un large éventail d'activités de traitement de données confidentielles, notamment les réponses et rapports d'audit ; gestion de l'accès aux données ; gestion des incidents de sécurité de l'information ; gestion des risques liés aux tiers ; évaluations de l'impact sur la confidentialité et certifications de confidentialité des données des fournisseurs. Essentiellement, le programme SSPA fournit des conseils pour gérer les risques liés au traitement des données personnelles pour les parties externes.
« La SSPA assure la conformité à ces exigences grâce à un cycle de conformité annuel ; pour les nouveaux fournisseurs, les travaux ne peuvent pas démarrer tant qu'ils ne sont pas terminés. Si un fournisseur traite des données personnelles et/ou des données confidentielles Microsoft, il s'associera à son sponsor commercial pour s'inscrire au programme SSPA. Les fournisseurs peuvent également être sélectionnés pour fournir une assurance indépendante en effectuant une évaluation par rapport au DPR.
« Des pratiques solides en matière de confidentialité et de sécurité sont essentielles à notre mission, essentielles à la confiance des clients et, dans plusieurs juridictions, requises par la loi. Les normes définies dans les politiques de confidentialité et de sécurité de Microsoft reflètent nos valeurs en tant qu'entreprise, et celles-ci s'étendent à nos fournisseurs (tels que votre entreprise) qui traitent les données Microsoft en notre nom.
En résumé, Microsoft Supplier Security and Privacy Assurance (SSPA) est un programme à l'échelle de l'entreprise qui garantit que les fournisseurs Microsoft sont correctement protégés en termes de sécurité et de confidentialité des informations pour être autorisés à traiter des données personnelles, des actifs informationnels ou des données confidentielles Microsoft conformément à Microsoft. Stratégies.
Supposons que Microsoft n'autorise pas déjà un nouveau fournisseur. Dans ce cas, il doit démontrer sa conformité aux normes Microsoft via les certifications ISO 27001 et ISO 27701 ou se soumettre à une évaluation SSPA par l'un des « évaluateurs préférés » de Microsoft avant d'être approuvé. Microsoft valide annuellement la conformité de ses fournisseurs.
Pourquoi Microsoft a-t-il abandonné SOC 2 au profit de l'ISO ?
L'affirmation par Microsoft des normes ISO 27001 et 27701 est un vote de confiance décisif dans les avantages des certifications ISO 27001 et 27701 pour présenter le programme complet de sécurité de l'information et de confidentialité de votre organisation, aligné sur les lois et réglementations importantes en matière de confidentialité, telles que GDPR, CCPA, POPIA, APPS et APAC.
- La conformité SOC n’est pas reconnue au niveau international, contrairement aux normes ISO. Il est important de souligner que la norme ISO 27701 est toujours à jour (publiée en 2019), ce qui signifie qu'elle est étroitement alignée sur les lois et réglementations internationales en matière de confidentialité.
- Il n’est pas nécessaire d’obtenir une attestation SOC 2 auprès d’un organisme de certification indépendant, ce qui signifie qu’elle est plus ouverte à la possibilité d’un niveau de malhonnêteté semblable à la correction de vos propres devoirs.
- Un rapport SOC 2 compte généralement plus de 100 pages, et les tiers lui accordent rarement l'examen dont il a besoin en raison de sa longueur.
- Il est important de noter que les audits entrepris par SOC 2 peuvent être onéreux, fastidieux et coûteux pour les fournisseurs.
- Maintenir la certification ISO 27001 coûte moins cher que maintenir régulièrement à jour les programmes d’attestation d’audit SOC 2.
- Le coût du maintien d’une certification ISO 27701 est nettement inférieur à celui du maintien d’une attestation SOC 2 Type 2 avec Privacy Trust Services Criteria.
- La gestion de la sécurité et de la confidentialité en tant que construction logique unique au sein d'un système de gestion des informations sur la confidentialité (PIMS) ISO 27701 est nettement plus facile que d'exécuter différents programmes les uns à côté des autres.
La norme ISO 27001 est-elle meilleure qu'un rapport SOC 2 ?
Les détails complexes et les avantages des deux ont été largement comparés dans de nombreux articles en ligne. La réponse à cette question est toujours insatisfaisante : « ça dépend », c'est-à-dire que cela dépend de l'endroit où vous vous situez par rapport à vos clients.
En d’autres termes, comme le dit le conseil, si la plupart de vos clients sont situés aux États-Unis, vous devriez alors opter pour le SOC 2. Si la plupart de vos clients sont situés en dehors des États-Unis, alors la norme ISO 27001 serait un bon choix. Il est fondamentalement incorrect et inefficace pour les organisations transnationales, les entreprises SaaS ou similaires de suivre ce conseil, car il ne fonctionne pas.
Les entreprises SaaS, par exemple, auront presque certainement un mélange de clients nationaux et internationaux ; si ce n’est pas le cas maintenant, cela figurera presque certainement sur la feuille de route dans un avenir proche.
De plus, la plupart des entreprises s’internationalisent de plus en plus dans leurs opérations, c’est pourquoi une telle certification est devenue une nécessité en premier lieu. En outre, les entreprises qui exigent en premier lieu des certifications telles que ISO 27001 opèrent de toute façon souvent à l’échelle internationale.
Le point critique est cependant le suivant. Nous travaillons dans le domaine du SaaS et de la conformité à l'échelle mondiale depuis de nombreuses années chez ISMS.online. À notre connaissance, nous n’avons pas rencontré de situation dans laquelle une entreprise demandait le SOC 2 mais rejetait la norme ISO 27001 lorsqu’elle lui était proposée.
Alors, quelle est la principale différence ? L'un n'est-il pas aussi bon que l'autre ? Eh bien, oui et non. Or, à l’échelle internationale, il est assez fréquent que le contraire se produise.
SOC 2 aura une place pour certaines organisations centrées sur les États-Unis, mais l'argent intelligent réside dans l'obtention de la norme ISO 27001 et, le cas échéant, de la norme ISO 27701.
Notre recommandation reste donc ISO 27001 plutôt que SOC 2, même pour les entreprises basées aux États-Unis, dont la plupart de leurs clients sont basés aux États-Unis.
Pourquoi ISO 27001 est le meilleur choix
Il est important de noter que le cadre SOC 2 repose sur cinq principes de confiance. Il s’agit de la sécurité, de la disponibilité, de l’intégrité du traitement, de la confidentialité et de la confidentialité.
Pour obtenir un rapport SOC 2, il vous suffit de mettre en œuvre le premier, à savoir la sécurité, dans votre organisation. Le reste ne sont que des mesures recommandées que vous pouvez ou non prendre. Ces mesures n’affectent pas votre rapport si elles ne sont pas mises en œuvre au sein de votre organisation. En d’autres termes, votre rapport ne sera pas affecté si vos processus ne sont pas confidentiels ou s’ils ne sont pas traités avec intégrité.
Il ne fait aucun doute que cela rend les critères des services de confiance SOC 2 beaucoup plus flexibles et plus simples. Cependant, cela laisse la porte ouverte à notre tendance naturelle à vouloir faire le minimum pour cocher cette case de conformité.
Nous pouvons tous nous identifier à cela, mais cela ne veut pas nécessairement dire que c'est une bonne chose. Même si vous cochez des cases, le rapport que vous soumettez à votre auditeur à la fin du processus ne signifie pas que vos processus sont sécurisés.
De nombreuses entreprises se retrouvent avec des rapports qui ne sont que des « exercices de cases à cocher », mais qui ne sont pas vraiment des mécanismes de conformité « terminés » ou robustes.
En d’autres termes, leurs rapports sont incomplets car ils ne démontrent pas la conformité aux cinq principes de service de confiance dans le cadre SOC de type i ou de type ii.
En revanche, la norme ISO 27001 garantit que les contrôles mis en œuvre dans votre organisation sont basés sur une évaluation des risques de votre organisation et de vos exigences en matière de sécurité de l'information.
Avec la bonne mise en œuvre d’un système de gestion de la sécurité de l’information, vous ne pouvez pas vous permettre de ne pas mettre en œuvre tous les contrôles de la norme ISO 27001 sans raison valable.
Vos contrôles de sécurité porteront toujours sur la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la confidentialité pendant le processus de mise en œuvre.
Prenez un moment pour y réfléchir un instant. En termes de protection des informations de vos clients, pouvez-vous vraiment vous attendre à aborder la sécurité sans vous occuper simultanément de l'intégrité, de la confidentialité et de la confidentialité des données des clients ?
De plus, la disponibilité est le facteur le plus important pour vos clients, juste après la sécurité en termes de priorités.
Ceci est particulièrement important lors de la protection des informations personnelles telles que les numéros de carte de crédit et les numéros de sécurité sociale. Il serait préférable que vous preniez toutes les précautions pour protéger ces informations contre le vol ou l'utilisation abusive par des pirates informatiques ou d'autres parties malveillantes.
Ce que cela signifie pour votre entreprise et prochaines étapes
En raison des nombreux avantages qu'offre la norme ISO 27001, les normes ISO 27001 et 27701 sont le(s) choix évident(s) si vous souhaitez mettre en œuvre un cadre de contrôle robuste de la sécurité des informations et ne pas simplement cocher des cases concernant la sécurité des informations, la cybersécurité et la confidentialité.
La mise en œuvre d'un SMSI contribuera grandement à vous aider à assurer la conformité réglementaire et à atténuer les risques de violations, de non-conformité ou pire encore. Il permet d'identifier les vulnérabilités et les faiblesses de la posture de cybersécurité de votre organisation avant qu'elles ne deviennent un problème. Cela peut éviter toute atteinte à la réputation et d’éventuelles pénalités/pénalités financières.
La norme ISO 27001 favorise les meilleures pratiques et s'intègre à d'autres normes
L'un des principaux composants de la norme ISO 27001 est l'annexe L de l'ISO, la description des exigences et des caractéristiques d'un système de management générique, décrivant essentiellement les caractéristiques et les exigences du système.
L’importance de ce point ne peut être surestimée. Avoir un système de gestion pour votre entreprise peut aller au-delà de la protection des informations et de la confidentialité. Un SMSI favorise des pratiques commerciales solides et une meilleure performance organisationnelle globale. Cela vous permet à son tour de mieux servir vos clients et d’atteindre vos objectifs commerciaux plus rapidement et plus efficacement.
La mise en œuvre d'un SMSI vous permet de suivre les pratiques actuelles, de mesurer les performances et de cibler les domaines à améliorer au fil du temps. Cela vous aide également à conserver un avantage concurrentiel en améliorant la satisfaction client, en optimisant les opérations commerciales et en identifiant les opportunités de croissance.
Bien que la norme ISO 27001 se concentre sur la sécurité de l'information, l'Annexe L signifie qu'elle s'intègre très bien aux autres normes ISO également basées sur l'Annexe L. Dans le cadre des activités globales de développement et d'amélioration de votre système de management, vous souhaiterez peut-être introduire ces normes ultérieurement. date. Il existe plus de 50 normes ISO, dont ISO 9001 pour la gestion de la qualité et ISO 22301 pour la continuité des activités.
Même si nous ne vous suggérons pas d’examiner ces normes, pour l’instant, le fait est que c’est possible. Les normes ISO et la plate-forme IMS (Integrated Management System) d'ISMS.online offrent un chemin de mise à niveau, vous n'aurez donc pas à acheter de nouveaux logiciels. Un framework en silo tel que SOC 2 n'offre pas cet avantage.
ISO 27001 coûte moins cher
Il existe une idée fausse répandue selon laquelle la mise en œuvre de la norme ISO 27001 est plus coûteuse que la mise en œuvre de SOC 2 ; en fait, la certification ISO 27001 est moins coûteuse à mettre en œuvre et à maintenir que SOC 2, et dans une marge raisonnable.
L'audit ISO 27001 est centré sur le fonctionnement du système de gestion de la sécurité de l'information (ISMS) pour confirmer la bonne mise en œuvre des contrôles de l'annexe A, le coût est donc inférieur à un audit SOC 2. Par conséquent, l’audit échantillonne uniquement les contrôles techniques (annexe A). En raison de l'absence d'un SMSI, les audits SOC 2 se concentrent sur l'évaluation des contrôles de sécurité du TSC plutôt que sur l'ISMS.
Un avantage important de la certification ISO est qu’il s’agit d’un secteur compétitif, vous pouvez donc facilement magasiner pour obtenir le meilleur prix.
Afin de réaliser un audit SOC 2, vous devez trouver une entreprise agréée CPA (Certified Public Accountant) capable de réaliser ces audits. En Europe, en particulier, très peu d'entreprises le font, et celles qui le font sont généralement les plus grandes sociétés de services professionnels, ce qui signifie qu'elles facturent plus cher.
Coûts et délais de maintenance et de recertification
Les organisations sont responsables du maintien de leur certification ISO au moyen d'audits de surveillance (contrôle) effectués chaque année ou tous les six mois, selon la taille et l'étendue de votre organisation au cours des années 2 et 3. Ces audits plus courts sont plus abordables que l'audit initial de certification. car ils prennent environ un tiers du temps à terminer. Au cours de la quatrième année, vous devrez subir une recertification complète et le cycle d'audit recommencera.
Dans le cadre du SOC 2, vous avez besoin d'un audit annuel complet pour garantir que l'attestation du cabinet d'audit reste valide. Même si vous n’aurez pas à dépenser le même montant que lors de votre première inscription chez eux au cours de la première année, le rapport d’audit mis à jour vous coûtera quand même au moins 1 10,000 €.
Par conséquent, si l’on suppose que tout le reste est égal, le prix de la norme ISO 27001 est inférieur à celui du SOC 2 à long terme.
Déjà certifié ISO 27001 ?
Si vous êtes déjà certifié ISO 27001, vous pouvez aligner votre programme de confidentialité sur les directives ISO 27701 et l'intégrer dans votre SMSI ; cette mise à niveau est connue sous le nom de Privacy Information Management System ou PIMS. Vous pouvez acheter la norme de confidentialité et modifier la portée de vos contrôles et politiques pour inclure des conseils PIMS. Travaillez avec votre auditeur pour étendre la portée de votre certification afin d'inclure la norme ISO 27701 lors de votre audit de surveillance ou de recertification ultérieur.
Déjà SOC 2 attesté ?
Passer d'une attestation SOC 2 à une certification ISO 27001 est quelque peu complexe, mais ce n'est pas trop difficile. Vous devrez gérer efficacement les risques selon la norme ISO 27001, de sorte que les contrôles de sécurité SOC 2 que vous avez mis en place seront probablement les mêmes.
Vous devrez documenter votre approche et la soumettre à un auditeur tiers indépendant pour approbation avant d'être certifié. Pour les petites organisations, ISMS.online facilite la gestion de la certification ISO 27001 en interne sans avoir besoin de l'assistance d'un consultant tiers.
Pour les grandes organisations, il n'est pas rare de confier le processus de certification ISMS à un tiers indépendant, car cela garantit la qualité et l'impartialité de votre documentation ISMS ; encore une fois, vous n'avez pas besoin de le faire avec ISMS.online car nos outils Virtual Coach, Adapt, Adopt Add (AAA Framework) et Assured Results Method (ARM) vous garantiront le soutien nécessaire pour obtenir la certification la première fois.
La double attestation SOC 2 et la certification ISO 27001 implique principalement de superposer le SMSI ISO 27001 à vos contrôles existants et de modifier une partie de votre documentation pour refléter les différences dans les cadres d'attestation. ISMS.online fournit un chemin de cartographie clair entre ISO 27001 et SOC 2, simplifiant à la fois la certification et l'attestation.
Déjà certifié SOC 2 (y compris la confidentialité) ?
Comme dans le scénario précédent, vous devez également faire passer le programme de confidentialité à la norme ISO 27001 parallèlement à la transition SOC 2. Une fois de plus, la cartographie SOC 2 et ISO 27701 dans ISMS.online simplifie la transition entre les deux.
Vous n'êtes pas certifié SOC 2 ou certifié ISO 27001 ?
Tant qu'un client demande une attestation, vous pouvez poursuivre votre évaluation annuelle SSPA. Il est conseillé de passer à la certification ISO 27001 et ISO 27701 dans un délai de 12 mois si vous devez prouver votre sécurité et votre conformité à d'autres parties prenantes.
Vous pouvez vous concentrer sur la norme ISO 27001 au cours de votre première année si vous êtes limité en termes de bande passante et/ou de budget, puis aborder la norme ISO 27701 au cours de votre deuxième année lorsque vous effectuez votre premier audit de surveillance si vous disposez des ressources et/ou du budget pour le faire. .
Comment ISMS.online peut vous aider
Comme indiqué précédemment, Microsoft a approuvé la norme ISO 27001 plutôt que le SOC 2, à compter de décembre 2021, et même si cela ne signifie pas la disparition rapide du SOC 2, d'autres sociétés multinationales emboîteront probablement le pas avec des exigences similaires de la part de leurs chaînes d'approvisionnement.
ISMS.online vous prépare à la certification ISO27001 en automatisant de nombreuses tâches impliquées. Une fois que vous avez intégré votre entreprise à ISMS.online, notre plateforme fournit le plan de cartographie, les outils, les cadres, les politiques, les contrôles, la documentation exploitable et les conseils pour vous aider à répondre à toutes les exigences ISO 27001 et à chaque contrôle SOC 2.
Cliquez ici pour réserver une démo.
