SOC 2 Type II

Vue d'ensemble

SOC 2 Type II, développé par l'AICPA, évalue les contrôles d'une organisation's sur une période prolongée (généralement 6-12 mois) selon cinq critères de services de confiance : Sécurité, Disponibilité, Intégrité du traitement, Confidentialité et Protection de la vie privée.

Pour PKI, le Critères de sécurité et de confidentialité sont les plus pertinents, obligeant les organisations à démontrer une gestion robuste des clés cryptographiques, des politiques de rotation des certificats, des contrôles d’accès et des pistes d’audit complètes. Contrairement au Type I (qui évalue la conception à un moment donné), le Type II nécessite des preuves que les contrôles ont fonctionné efficacement tout au long de la période d’audit.

Les rapports SOC 2 sont de plus en plus exigés par les clients d'entreprise évaluant les fournisseurs SaaS et cloud. Les organisations capables de démontrer une gestion mature du cycle de vie des certificats et de la gouvernance des clés obtiennent un avantage concurrentiel significatif dans les processus d'approvisionnement.

Clé Exigences

CC6.1 — Contrôles d'accès logiques & physiques

Les organisations doivent mettre en œuvre des contrôles d'accès logiques et physiques, y compris l'authentification basée sur les certificats, afin de restreindre l'accès aux systèmes et aux données sensibles.

CC6.6 — Chiffrement en transit (TLS)

Les données transmises sur les réseaux doivent être chiffrées à l'aide de TLS avec des certificats correctement gérés, nécessitant une preuve de rotation des certificats et de gestion de la configuration.

CC6.7 — Chiffrement au repos

Les données sensibles au repos doivent être protégées par un chiffrement fort, nécessitant des pratiques de gestion des clés appropriées, y compris le stockage sécurisé des clés et les procédures de rotation.

CC7.1 — Surveillance & Détection

Les organisations doivent surveiller les systèmes pour détecter les anomalies et les événements de sécurité, y compris les alertes d'expiration des certificats, les modifications non autorisées des certificats et les anomalies d'utilisation des clés.

CC8.1 — Gestion du changement

Toutes les modifications de l'infrastructure, y compris les déploiements de certificats, les rotations et les révocations, doivent suivre des procédures de gestion des changements documentées avec des pistes d'audit.

A1.2 — Disponibilité & Contrôles de récupération

Les systèmes doivent maintenir la disponibilité grâce à la redondance et aux procédures de récupération, y compris les autorités de certification de secours et le basculement automatisé pour les services PKI.

Clé Jalons

2010

Cadre SOC 2 introduit

L'AICPA introduit le cadre de reporting SOC 2, établissant les critères de services de confiance pour évaluer les contrôles de l'organisation de services.

2017

Critères de services de confiance mis à jour

Révision majeure des critères de services de confiance, alignée sur COSO 2013 et introduisant des exigences plus granulaires pour les contrôles cryptographiques.

2022

Adoption accrue post-pandémique

La migration accélérée vers le cloud favorise une adoption généralisée de SOC 2, les clients d'entreprise exigeant de plus en plus des rapports de tous les fournisseurs de services.

2024

Révisions ponctuelles des contrôles cryptographiques

Les directives mises à jour soulignent la gestion des clés cryptographiques, les preuves de rotation des certificats et la documentation de l'utilisation des HSM dans le périmètre d'audit.

2025 Actuel

Accent croissant sur la maturité de la gestion des clés

Les auditeurs évaluent de plus en plus l'automatisation du cycle de vie des certificats et la maturité de la gestion des clés dans le cadre des évaluations SOC 2 Type II.

Impact sur PKI & Certificates

Les auditeurs SOC 2 Type II évaluent les contrôles PKI non seulement par leur conception, mais par leur fonctionnement cohérent pendant la période d'audit. Voici les domaines critiques :

Démonstration du cycle de vie des clés

La gestion du cycle de vie des clés doit être démontrée pendant toute la période d'audit, avec des preuves de génération, de distribution, de stockage, de rotation et de destruction appropriées des clés cryptographiques.

Preuve de rotation des certificats

Les auditeurs exigent des preuves que les politiques de rotation des certificats ne sont pas seulement documentées mais exécutées de manière cohérente, avec des horodatages et des journaux d’audit pour chaque événement de rotation.

HSM & Protection des clés

Pour les critères de confidentialité, les auditeurs évaluent l’utilisation des HSM et les mécanismes de protection des clés, nécessitant une documentation des configurations des modules de sécurité matérielle et des contrôles d’accès.

Journalisation complète des opérations

Chaque opération de certificat — émission, renouvellement, révocation et utilisation des clés — doit être consignée avec des traces d’audit immuables que les auditeurs peuvent examiner pendant toute la période d’évaluation.

Evertrust & SOC 2 Type II

Preuve d’audit continue — Horizon fournit des traces d’audit continues et immuables pour toutes les opérations de certificats, offrant aux auditeurs les preuves dont ils ont besoin pour toute la période d’évaluation.

Rotation automatisée avec traçabilité complète — La rotation automatisée des certificats satisfait aux exigences CC6.6 et CC6.7 avec des preuves complètes et horodatées de chaque événement de rotation.

Application des politiques dans le temps — Démontrer l’efficacité du contrôle pendant la période d’audit avec des politiques de certificats appliquées, des vérifications de conformité automatisées et le suivi des exceptions.

Tableaux de bord prêts pour les auditeurs & rapports — Tableaux de bord conçus sur mesure et rapports exportables conçus pour l'examen par les auditeurs SOC 2, réduisant le temps de préparation et les frictions d'audit.

PKI

CLM

Cas d’utilisation

Secteurs

Conformité

Apprendre

Outils & analyses

Événements & Communauté

Faits rapides