ما هو SOC 2 وهل أحتاجه؟

تعني SOC 2 «ضوابط النظام والمنظمة 2» (System and Organization Controls 2). وهي إطارٌ للتقارير تستخدمه شركات كثيرة في مجال البرمجيات والسحابة والخدمات التجارية لإثبات أن ضوابطها المتعلقة بالأمن والمجالات ذات الصلة مُصمَّمة بشكل جيد، وأحيانًا تكون تعمل بشكل فعلي على مدار الوقت.

عادةً لا تكون SOC 2 شيئًا تحتاجه مخبزة محلية، أو متجرًا بالتجزئة، أو مطعمًا، أو مكتبًا صغيرًا لمجرد التشغيل. تصبح أكثر أهمية إذا كانت شركتك تخزّن بيانات العملاء، أو تستضيف برمجيات، أو تدعم أنظمة شركات أخرى، أو يُطلب منها تقرير SOC 2 أثناء المبيعات أو مراجعة الموردين.

هل تحتاج IT من أجل SOC 2؟ غالبًا نعم، على الأقل بشكل جزئي. حتى إذا كنت تعتمد على مدقق خارجي ومستشار، فإن معظم الشركات ما زالت تحتاج إلى إعداد ودعم تقني يومي، مثل تأمين الحسابات، وإدارة الأجهزة، والتحقق من النسخ الاحتياطي، وعمليات موثقة. إذا كنت تحاول فهم نوع الدعم الأنسب لشركتك، ابدأ من صفحات answers أو services.

SOC 2 ليست ترخيصًا تجاريًا، وليست شهادة حكومية. هي تقرير تدقيق مستقل يستند إلى ضوابط مرتبطة بمعايير Trust Services Criteria، وغالبًا ما يكون محورُها الأمن، وأحيانًا تتضمن مجالات مثل التوفر، وسلامة المعالجة، والسرية، والخصوصية.

وبعبارات أبسط، هي طريقة منظمة لإثبات أن لدى شركتك قواعد وأدوات وعادات مطبَّقة لحماية الأنظمة والتعامل مع البيانات بشكل مسؤول. وقد يشمل ذلك: من لديه صلاحية الوصول، وكيف يتم تأمين أجهزة الحواسيب المحمولة، وكيف تتم الموافقة على التغييرات، وكيف يتم فحص النسخ الاحتياطية، وكيف يتم التعامل مع الحوادث.

قد تسمع حديثًا عن النوع I والنوع II. يراجع تقرير النوع I ما إذا كانت الضوابط مُصمَّمة بشكل مناسب في لحظة زمنية معينة. أما تقرير النوع II فيقيّم ما إذا كانت تلك الضوابط تعمل خلال فترة زمنية. تميل العملاء إلى تفضيل النوع II لأنه يُظهر الاتساق، وليس مجرد لقطة.

بالنسبة لكثير من الشركات الصغيرة والمتوسطة، تصبح SOC 2 مهمة لأن العملاء يطلبونها. وهذا شائع لدى شركات البرمجيات، والخدمات المبنية على السحابة، والخدمات التجارية المُسندة إلى جهات خارجية، ودعم الرعاية الصحية، ودعم الخدمات المالية، وأي شركة تتعامل مع معلومات عملاء حساسة.

إذا كان عميل أكبر يثق في شركتك للتعامل مع البيانات، فقد يريد دليلًا على أن لديك ضمانات أساسية مطبقة. يمكن أن تساعد SOC 2 في بناء الثقة، وإثراء محادثات المبيعات، والموافقة على الموردين، وتجديد العقود. وفي بعض الحالات، قد يؤدي عدم توفرها إلى إبطاء الصفقات.

ومع ذلك، ليست كل الشركات بحاجة إلى تقرير SOC 2. قد تحتاج بعض الشركات فقط إلى تحسين ضوابط IT الأساسية. قد تحتاج شركات أخرى إلى الإجابة عن استبيان أمني. وقد تحتاج شركات إلى تلبية متطلب آخر أولًا، حسب القطاع وقواعد الولاية. تُطبَّق HIPAA (قانون قابلية نقل تأمين صحي ومساءلة التأمين الصحي، Health Insurance Portability and Accountability Act) في بعض حالات الرعاية الصحية. وتُطبَّق PCI (غالبًا يقصد بها معيار أمان بيانات صناعة بطاقات الدفع Payment Card Industry Data Security Standard) على الشركات التي تتعامل مع مدفوعات بطاقات الائتمان. وSOC 2 تختلف عن تلك.

يمكن لمزود IT مُدار جيد—وغالبًا ما يُسمى MSP اختصارًا لـ managed services provider أي مزود خدمات مُدارة—أن يساعدك على فهم الجانب العملي من الاستعداد. لا تقوم NodeBridge IT بإنجاز هذا العمل بنفسها. نحن نقدم تثقيفًا عامًا، وإذا كان ذلك مفيدًا، نساعدك على العثور على مزود IT مُدار مستقل عبر عملية get matched المجانية.

في أغلب الحالات، نعم. تمس SOC 2 الكثير من أعمال IT اليومية. فهي ليست مجرد وثيقة سياسة. عادةً ما يريد المدققون أن يروا أن لدى شركتك ضوابط موجودة فعليًا ويتم اتباعها.

وغالبًا ما يشمل ذلك مثل المصادقة متعددة العوامل (Multi-Factor Authentication) أو MFA، أي أن المستخدمين يحتاجون إلى خطوة ثانية لتسجيل الدخول، وليس كلمة مرور فقط. وقد يتضمن ذلك تطبيق التحديثات (patching)، أي إبقاء البرامج والأجهزة محدثة. وقد يشمل ذلك حماية نقاط النهاية (endpoint protection)، حيث تعني نقطة النهاية أي كمبيوتر محمول أو سطح مكتب أو هاتف أو خادم متصل بشركتك، واستخدام أدوات مثل EDR، أي Endpoint Detection and Response، للمساعدة في اكتشاف الأنشطة المشبوهة على تلك الأجهزة.

قد تحتاج أيضًا إلى جرد الأجهزة، ومراجعات الوصول، وإجراءات النسخ الاحتياطي، وإجراءات استقبال الموظفين الجدد وخروجهم (onboarding/offboarding)، وتوثيق أساسي. وإذا كنت تعمل مع مزود IT مُدار، فقد يستخدم أيضًا RMM، اختصارًا لـ Remote Monitoring and Management، لمتابعة صحة الأجهزة والصيانة الروتينية. كما تعمل بعض الشركات مع vCIO، أي Chief Information Officer افتراضي، للتخطيط ووضع الميزانية وتوجيهات السياسات.

ليس كل فريق يحتاج إلى كل ذلك مرة واحدة، ويعتمد الإعداد الصحيح على حجمك، وأنظمتك، وتوقعات العملاء، ومستوى المخاطر. لا ينبغي لأي مزود صادق أن يعد بشبكة غير قابلة للاختراق أو بانعدام انقطاع الخدمة. الهدف هو تقليل المخاطر وتحسين الاتساق ومساعدتك على تلبية توقعات عملاء ومدققي التدقيق بشكل معقول.

غالبًا ما يكون تحضير SOC 2 جيدًا أمرًا مملًا—ولكن «في الاتجاه الصحيح». يعرف الناس كيف يتم إنشاء الحسابات وإزالتها. يتم تتبع الأجهزة. تحدث التحديثات وفق جدول. يتم نسخ الملفات المهمة احتياطيًا واختبارها. يُقيد الوصول بالأشخاص الذين يحتاجون إليه فقط. تُكتب السياسات بلغة واضحة ويتم استخدامها فعليًا.

كما يعني التحضير الجيد أن يستطيع عملك تقديم أدلة. على سبيل المثال، قد تتمكن من إظهار أن MFA مفعّلة، وأن التدريب الأمني قد حدث، وأن صلاحيات المسؤول (admin) محدودة، وأن عمليات النسخ الاحتياطي تم تشغيلها، وأن أي حوادث—إن حدثت—كانت ستُوثَّق. وبالنسبة للنسخ الاحتياطي، قد تسمع عبارة 3-2-1 backup. أي الاحتفاظ بـ 3 نسخ من البيانات، على نوعين مختلفين من التخزين، مع الاحتفاظ بنسخة واحدة في موقع بعيد (offsite).

إذا كانت لديك طلبات من العملاء حول SOC 2، فغالبًا ما يكون من الأفضل البدء مبكرًا. كثير من الشركات تنتظر حتى تصبح الصفقة كبيرة على الطاولة، ثم تكتشف أنها تحتاج عدة أشهر من التنظيف والتوثيق وتغييرات العمليات. غالبًا ما يكون النهج المستمر أسهل وأقل إزعاجًا.

يمكن أن تتراوح تكلفة جانب IT للاستعداد لـ SOC 2 بشكل كبير. قد تنفق شركة صغيرة بضع مئات إلى بضع آلاف دولار شهريًا على دعم IT مُدار مستمر، وذلك حسب عدد الموظفين والأجهزة واحتياجات الأمن والمنطقة. وقد تضيف تكاليف منفصلة للتدقيق والاستشارات وبرمجيات الامتثال والتكاليف القانونية المزيد. هذه نطاقات وليست عروض تسعير.

إذا كانت شركتك تسمع من العملاء عبارة «هل لديكم SOC 2؟»، فغالبًا الخطوة التالية ليست الذعر. أولًا، حدّد نوع البيانات التي تتعامل معها، وما الذي يطلبه العملاء، وما هي الضوابط التي لديك بالفعل. ثم قرر هل تحتاج إلى تنظيف IT أساسي، أو إرشاد للامتثال، أو مسار تدقيق رسمي، أو مزيجًا من ذلك.

لا تقوم NodeBridge IT بعمل إدارة الأنظمة (MSP) ولا دور المدقق ولا شركة أمنية. نحن لا ندير الأنظمة ولا نتحكم في وصولك إلى حساباتك. نقدم مساعدة تعليمية عامة ويمكننا ربطك بمزود IT مُدار مستقل إذا كنت تريد دعمًا لمقارنة الخيارات. يمكنك استكشاف المزيد في صفحة services أو البدء من get matched.