IT合規懶人包：HIPAA、PCI、SOC 2

合規（compliance）就是符合一套規則、資安期待，或文件要求。對多數小型企業來說，通常是從你開始處理某些類型的資料、接受信用卡/簽帳卡付款、在醫療領域工作，或是把產品/服務賣給較大型公司（在簽合約前會先問安全性問題）開始。

HIPAA、PCI 和 SOC 2 並不是同一件事。HIPAA 是美國針對受保護健康資訊（protected health information）的法律。PCI 是支付卡產業的標準，適用於處理、儲存或傳輸持卡人資料的企業。SOC 2 是一種報告架構，許多公司用它來向客戶展示他們已具備資安控制。

關鍵在於這點：合規不只是買一個工具。通常還包含政策（policies）、端點/裝置安全（device security）、存取控制（access controls）、備份（backups）、員工訓練、留存紀錄（recordkeeping）以及持續的檢視（ongoing review）。這也不代表可以達到「完美安全」。誠實的供應商也不會承諾零停機或永遠不會被駭的網路。

HIPAA 是 Health Insurance Portability and Accountability Act（健康保險可攜性與責任法案）的縮寫。如果你的企業處理受保護的健康資訊，可能就會適用 HIPAA。這可能涵蓋某些診所、代辦健保/醫療帳務的公司、醫療服務機構，以及與醫療組織合作的供應商。HIPAA 重視的是隱私、資安，以及健康資訊如何被使用、儲存與共享。實際要求可能會因你的角色與你接觸的資料類型而不同。

PCI 通常是指 PCI DSS（Payment Card Industry Data Security Standard，支付卡產業資料安全標準）。如果你接受信用卡或簽帳卡，哪怕你規模很小，PCI 也可能與你相關。具體要求取決於你如何收款。使用安全的刷卡終端機或託管式（hosted）的結帳頁面（checkout page）的企業，做法可能比「自行儲存卡片資料」或「維運自建付款系統」的企業更單純。

SOC 2 不是法律。它是一種獨立審查，用來評估公司如何處理某些控制（controls），通常聚焦在安全（security）與可用性（availability）。可用性代表系統的設計目標是「如承諾般可被使用」，而不是代表任何人都能保證不會發生中斷。當較大型客戶要求供應商證明他們認真看待資安時，SOC 2 常常會被提到。對多數小型企業來說，問題通常不是「明天就要不要有 SOC 2 報告？」而是「在我們能贏得這份合約之前，客戶預期我們要具備哪些控制（controls）？」

如果你覺得這些名詞聽起來很接近、但又有點混淆，這很正常。好的獨立託管式 IT 服務供應商（managed IT services provider），也就是 MSP（託管式服務供應商），可以幫你釐清哪些可能適用，以及以你的規模與風險，該做哪些工作才合理。

先從資料開始。問清楚你收集哪些敏感資訊、它們存放在哪裡、誰能存取，以及它們如何在你的企業內流動。這包含筆電、手機、電子郵件、雲端應用程式（cloud apps）、檔案儲存、付款系統，以及供應商。以 IT 來說，端點（endpoint）是指任何連到你系統的單一裝置，例如筆電、桌機、手機或平板。

接著看你的基本控制。許多合規工作一開始都會先做同樣的實務步驟。多因素驗證（multi-factor authentication，MFA）是在登入時於密碼之外再增加一步。修補程式（patching）是把軟體與裝置維持在最新狀態，安裝修正（fixes）。備份（backup）是保留可還原的重要資料副本。3-2-1 備份策略是指：資料有三份副本，分別存放在兩種不同類型的儲存媒介上，其中一份保存在非現址（offsite）。

你可能還需要書面政策、供應商評估、員工訓練、存取規則，以及能證明這些事情確實有在進行。有些企業需要正式的風險評估。也可能需要日誌記錄（logging）、裝置監控，並且在事情出問題時有文件化的處理步驟。端點偵測與回應（Endpoint detection and response，EDR）是一種軟體，用來協助偵測裝置上的可疑活動。遠端監控與管理（Remote monitoring and management，RMM）則是許多供應商用來監看裝置健康狀況、套用更新，以及處理例行維護的軟體。

對小型企業的老闆來說，真正的問題通常是範圍（scope）。你可能不需要企業等級的完整方案。不過你需要了解：你的產業、客戶、保險公司，以及任何適用的州或聯邦規範，到底期待你做到什麼程度。

成本差異很大。實際金額取決於人數、裝置數量、系統有多複雜、你處理的資料類型、你的產業、以及你的地區。以下區間不是報價。

如果你是從基本設定開始，並需要更好的裝置管理、資安設定、備份以及使用者支援，許多小型企業會在持續的託管式 IT 與資安支援上，每位使用者每月大約花費 100 到 250 美元。若合規工作更重，金額可能會更高。

針對落差的單次評估或就緒度（readiness）檢視，對小型企業來說可能要幾千美元；如果你的環境更大或監管更嚴格，費用會更高。正式稽核、非內部法律顧問提供的建議（outside legal advice）、政策文件工作以及專案（special projects）也可能另外增加成本。網路保險（cyber insurance）可能要求你必須做更多項目，也會推高你需要投入的工作。

好消息是：不是每一家公司都需要同等的工作量。使用標準雲端工具、安全的付款供應商，且裝置數量相對少的公司，做法可能比那些有客製系統、多個辦公據點，或把敏感紀錄分散在舊電腦與共用資料夾中的公司更單純。

不要因為客戶問了一個很刁鑽的問題，就先去隨便買一些資安工具。先把需求釐清：問清楚是誰在提要求、他們使用的是哪一份標準或問卷、你們的截止期限是什麼，以及他們需要的是法律要求、產業標準，還是單純合理的資安基準。

列出你們企業的幾個重點事實。你們有多少員工？有幾個據點？大家使用哪些裝置？你們是否處理健康資訊或信用卡/付款？用什麼雲端應用程式在運作公司？客戶是否曾要求提供資安問卷、風險評估或 SOC 2 報告？這些都能幫你在第一輪對話時更有效率。

如果你想要有人幫你釐清並排序，NodeBridge IT 可以幫你找到 一家與小型到中型企業合作的獨立託管式 IT 供應商。我們是免費的配對服務。我們不會管理你的系統，也不會管理你的帳號存取。我們只會使用你的企業資料與聯絡資訊，幫你連結到符合你需求的供應商。

你也可以進一步閱讀 託管式 IT 服務（managed IT services），並瀏覽其他用白話說的 IT 解答.