Podcast: Compliance uitdagingen in de public cloud
De digitale wereld wordt steeds meer gereguleerd om gevoelige persoonlijke informatie te beschermen en misbruik te voorkomen. Sommige organisaties hoeven alleen te voldoen aan de algemene privacywetgeving zoals de AVG. Anderen staan onder strenger toezicht van waakhonden van de overheid. Om aan de eisen van deze regelgevers te voldoen, moeten organisaties bewijzen dat hun klantgegevens in goede handen zijn - ook als hun IT is uitbesteed.
Solvinity is een secure managed IT service provider die de systemen en gegevens van organisaties met hoge beveiligingseisen beheert, zoals financiële instellingen en overheid. Om ervoor te zorgen dat Azure-omgevingen voldoen aan de hoge security en compliance normen waaraan Solvinity-klanten gewend zijn, besloot het bedrijf de reikwijdte van de SOC 2-audit van de private Solvinity cloud uit te breiden naar de beheeromgeving van de public Azure-cloud.
“Solvinity voldoet al bijna tien jaar aan SOC 2 voor onze private cloud. Maar nu veel organisaties de schaalvoordelen van de public cloud ontdekken, wisten we dat we onze scope op het gebied van beveiliging en compliance moesten uitbreiden,” vertelt Paul Cattermole, senior compliance officer bij Solvinity. Hij vervolgt: “Azure was een logische stap in de public cloud, niet in de laatste plaats door ons Gold partnership met Microsoft op onder andere het Azure Cloud Platform en als Cloud Productivity Partner. In een interview met AG Connect vertelt hij samen met zijn collega Martin Maas, DPO bij Solvinity, over de uitdagingen die zij tegenkwamen en hoe zij deze het hoofd hebben geboden.
SOC 2 voor Azure verkrijgen
Het verkrijgen van de SOC 1 en 2 rapportages was een behoorlijke uitdaging, want hoewel public cloud niet nieuw was voor Solvinity, was het wel nieuw vanuit het oogpunt van compliance. “Ons eigen public cloud-team en aanvullende Microsoft-certificeringsprogramma's boden ons de kennis en expertise om dit resultaat te bereiken”, legt Cattermole uit.
Samen met het public cloud-team van Solvinity heeft het Security & Compliance team de processen naast de moderne Azure technieken kunnen leggen en in kaart gebracht. Er is bewust voor gekozen om geen specifieke controles voor Azure-omgevingen te schrijven, maar de bestaande werkwijzen naast de public cloud technieken te leggen. Deze aanpak zorgt ervoor dat processen zo zijn ontworpen dat Solvinity altijd de controle behoudt, of ze nu met een private of public cloud werken.
Een goed voorbeeld hiervan is de toegangscontrole voor in- en uitvallers. Dit is de basis voor het controleren wie toegang heeft tot welke klantsystemen. Dit proces wordt gesynchroniseerd vanuit het HR-systeem naar de Active Directory en vervolgens naar de Azure Active Directory (AAD). De op rollen gebaseerde toegangscontroles werden uitgebreid met AAD-groepen voor klantsystemen. Dus hoewel de scope is uitgebreid naar de public cloud, blijven hun algemene compliance controles hetzelfde.
Een SOC 2-rapport om trots op te zijn
Het resultaat: Solvinity werd de eerste Nederlandse Managed Service Provider met SOC 1 en 2 voor Azure cloud, waarmee klanten zijn verzekerd dat het beheer van hun Azure-omgevingen in zeer goede handen is. Het hebben van een SOC 2-rapport als MSP op Azure bovenop de compliance rapporten van Microsoft zelf geeft organisaties het vertrouwen dat ze bij Solvinity begrijpen hoe zij hun omgeving in Azure op een veilige en compliant manier kunnen beheren.
In een hybride wereld zou het niet uit moeten maken in welk systeem je werkt. Het komt neer op één simpel feit: een onafhankelijke accountant moet kunnen beoordelen of je je zaken op orde hebt. Public cloud biedt steeds meer voordelen op het gebied van kostenefficiëntie en schaal, maar dit mag nooit ten koste gaan van beveiliging of compliance. En met Solvinity en Azure is dat laatste zeker op orde.
Heb je vragen of opmerkingen naar aanleiding van dit artikel? Wij gaan graag in gesprek. Neem contact met ons op via info@solvinity.com, bel naar +31(0)20 364 36 00 of neem een kijkje op onze website.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee