"SOC 2, ISO 27001, dan GDPR: Apa yang Sebenarnya Dicakup untuk Pembeli"

Q: Apa perbedaan antara SOC 2 Type 1 dan Type 2?

Type 1 adalah atestasi titik waktu bahwa kontrol vendor *dirancang* dengan tepat pada tanggal tertentu, pada dasarnya snapshot. Type 2 adalah atestasi periode observasi (biasanya 6-12 bulan) bahwa kontrol *dirancang dan beroperasi secara efektif* dari waktu ke waktu. Type 2 adalah standar default pengadaan enterprise; Type 1 hanya dapat diterima sebagai laporan jembatan untuk vendor dalam tahun pertama audit mereka.

Q: Apakah saya perlu ISO 27001 jika saya sudah memiliki SOC 2?

Untuk sebagian besar pembeli mid-market AS, tidak. SOC 2 Type 2 mencakup dasar praktis yang sama untuk pengadaan AS. ISO 27001 menjadi bermakna jika Anda menjual ke enterprise Eropa atau Asia-Pasifik, beroperasi di industri internasional yang diatur, atau perlu menunjukkan sistem manajemen yang diformalkan (ISMS) daripada kontrol titik waktu. Banyak vendor mengejar keduanya untuk cakupan pasar, tetapi satu SOC 2 Type 2 yang kuat biasanya cukup untuk postur internal pembeli hanya-AS.

Q: Apakah kepatuhan GDPR diperlukan untuk pembeli hanya-AS?

GDPR berlaku di mana pun Anda memproses data pribadi penduduk EU, terlepas dari lokasi perusahaan Anda. Bisnis hanya-AS tanpa pelanggan EU, tanpa karyawan EU, dan tanpa pengunjung situs web EU yang dilacak memiliki eksposur terbatas. Namun jika Anda memiliki pelanggan EU, pengguna produk berbasis EU, atau karyawan EU yang datanya ada dalam alat SaaS, GDPR berlaku, dan Anda memerlukan DPA dengan setiap vendor yang menyentuh data tersebut. Konsultasikan dengan penasihat hukum tentang kasus tepi lingkup teritorial seperti pemasaran kepada penduduk EU dari server AS.

Q: Bagaimana cara memverifikasi SOC 2 vendor itu sah?

Minta laporan lengkap di bawah NDA, bukan hanya surat atestasi satu halaman. Verifikasi empat hal: (1) auditor adalah firma CPA berlisensi (periksa silang daftar AICPA PCPS firma), (2) laporan adalah Type 2 dengan periode audit yang berakhir dalam 12 bulan terakhir, (3) bagian lingkup secara eksplisit menyebutkan produk dan infrastruktur yang Anda beli, dan (4) baca bagian "Pengecualian" atau "Hasil Pengujian": laporan dengan beberapa pengecualian kontrol dan tidak ada narasi remediasi adalah tanda bahaya bahkan jika judulnya mengatakan "tidak ada kelemahan material."

Q: Apa yang harus saya tanyakan tentang residensi data?

Ajukan tiga pertanyaan spesifik: (1) Di wilayah geografis mana data pelanggan disimpan saat tidak aktif, dan bisakah kami membatasi secara kontraktual ke wilayah tertentu (misalnya, hanya EU, hanya AS)? (2) Di mana backup disimpan, dan apakah backup melewati batas regional? (3) Mekanisme transfer apa (Standard Contractual Clauses, keputusan kecukupan, Data Privacy Framework) yang mengatur aliran lintas batas apa pun, dan apakah ada dalam DPA? Vendor yang tidak dapat menjawab pertanyaan-pertanyaan ini secara tertulis tidak boleh menyentuh data yang diatur.

Q: Bagaimana jika vendor SaaS saya menggunakan sub-processor?

Setiap sub-processor pada dasarnya adalah vendor lain dalam rantai pasokan Anda yang memiliki akses ke data Anda. Wajibkan tiga hal dalam DPA: (1) daftar sub-processor publik yang dipelihara dan terkini dengan layanan yang disediakan masing-masing, (2) pemberitahuan di muka (idealnya 30+ hari) ketika sub-processor ditambahkan atau diubah, memberi Anda kesempatan untuk keberatan, dan (3) kewajiban flow-down: vendor harus menerapkan ketentuan perlindungan data yang sama pada sub-processor yang telah mereka terima dari Anda. Perhatikan khususnya sub-processor AI/ML, yang sering muncul hanya setelah produk menambahkan fitur AI.

Q: Berapa lama laporan SOC 2 berlaku?

Tidak ada kadaluwarsa formal, tetapi pembeli enterprise umumnya memperlakukan laporan yang berusia lebih dari 12 bulan sebagai usang. Periode audit vendor harus berakhir dalam setahun terakhir dan audit baru harus sedang dalam proses atau dijadwalkan. Minta "surat jembatan" (juga disebut surat kesenjangan) jika Anda mengevaluasi antara akhir periode audit terakhir dan penerbitan laporan berikutnya. Ini adalah surat manajemen vendor yang mengonfirmasi tidak ada perubahan material pada kontrol dalam periode tersebut.

Q: Apa itu Perjanjian Pemrosesan Data (DPA) dan mengapa lebih penting dari "GDPR compliant"?

DPA adalah kontrak yang ditandatangani yang mengubah vendor dari "perusahaan dengan kebijakan privasi" menjadi "pemroses data yang terikat secara hukum yang bertindak atas instruksi Anda." DPA mendefinisikan data apa yang mereka proses, untuk tujuan apa, dengan keamanan apa, dengan sub-processor apa, di bawah mekanisme transfer apa, dengan pemberitahuan pelanggaran berapa lama, dan apa yang terjadi pada penghentian. Tanpa DPA yang ditandatangani, "GDPR compliant" adalah bahasa pemasaran tanpa kekuatan hukum, dan dalam audit regulator, *Anda* (pengontrol) yang menanggung tanggung jawab, bukan vendor.

Direktur pengadaan memiliki daftar periksa. Daftar itu memiliki dua item pada baris kepatuhan: "SOC 2 compliant" dan "GDPR compliant." Setiap vendor yang mereka evaluasi mencentang kedua kotak. Direktur merasa yakin. Kemudian hukum menandai bahwa kepatuhan GDPR vendor merujuk pada kebijakan privasi yang sudah ketinggalan zaman, bukan Perjanjian Pemrosesan Data yang ditandatangani. Dan sampai IT menunjukkan bahwa SOC 2 mencakup lingkup yang tidak mencakup integrasi yang mereka beli.

Masalahnya bukan ketidakjujuran. Masalahnya adalah "SOC 2 compliant" dan "GDPR compliant" adalah frasa yang dapat secara teknis akurat sambil menyembunyikan kesenjangan yang signifikan. Vendor dapat memiliki sertifikasi SOC 2 untuk produk inti mereka dan tidak untuk modul AI yang Anda terapkan. Vendor dapat patuh GDPR dalam arti bahwa mereka telah mempublikasikan kebijakan privasi tanpa patuh GDPR dalam arti bahwa mereka telah menandatangani DPA yang mengikat secara hukum dengan Anda.

Ketiga kerangka ini adalah sertifikasi dan hukum dari jenis yang berbeda. Mereka tidak menggantikan satu sama lain. Mereka tidak tumpang tindih seperti yang diimplikasikan oleh kotak centang. Dan vendor sering kali menekankan yang mereka miliki sambil mengaburkan kesenjangan yang tidak mereka miliki.

Panduan ini menjelaskan apa yang sebenarnya dicakup setiap kerangka dan cara menggunakan pengetahuan tersebut dalam percakapan vendor.

Fakta Utama: Lanskap Kepatuhan untuk Pembeli Mid-Market

SOC 2 Type 1 vs Type 2: Type 1 adalah snapshot titik waktu dari desain kontrol; Type 2 mengaudit operasi kontrol selama jendela observasi 6-12 bulan. Type 2 adalah standar default pengadaan enterprise: laporan Type 1 paling sering terlihat di vendor dalam 12 bulan dari audit pertama mereka.

Adopsi global ISO 27001: Survei ISO melaporkan sekitar 71.549 sertifikat ISO/IEC 27001 yang valid di seluruh dunia dalam edisi terbaru, dengan Inggris, Jepang, dan India memimpin jumlah sertifikat. Penetrasi di antara vendor SaaS AS tetap lebih rendah dari SOC 2.

Preseden denda GDPR: Denda Meta sebesar 1,2 miliar euro pada Mei 2023 (DPC Irlandia) untuk transfer data EU-AS yang melanggar hukum tetap menjadi rekor. Amazon (746 juta euro, 2021), Instagram (405 juta euro, 2022), dan TikTok (345 juta euro, 2023) semuanya melampaui sembilan digit. GDPR adalah satu-satunya dari ketiga kerangka yang memiliki gigi moneter langsung.

Permintaan pembeli: RFP industri teregulasi (layanan keuangan, kesehatan, pemerintahan) memperlakukan SOC 2 Type 2 sebagai wajib; sebagian besar pembeli enterprise juga menuntut ISO 27001 bersamanya. DPA GDPR adalah persyaratan dasar untuk vendor mana pun yang memproses data penduduk EU.

Kesenjangan pemberitahuan pelanggaran: GDPR mewajibkan pemberitahuan regulator 72 jam. SOC 2 dan ISO 27001 memerlukan proses respons insiden tetapi tidak menetapkan jam pemberitahuan pelanggan tetap. DPA adalah tempat Anda menegosiasikan jadwal tersebut.

Ikhtisar Kerangka: Apa yang Sebenarnya Anda Bandingkan

Kerangka	Jenis	Apa Itu	Siapa yang Menerbitkannya	Lingkup
SOC 2	Standar audit	Atestasi kontrol pada titik waktu	Auditor pihak ketiga (firma CPA)	Ditentukan oleh pernyataan lingkup vendor
ISO 27001	Standar manajemen	Sertifikasi sistem manajemen keamanan informasi	Badan sertifikasi (terakreditasi)	Ditentukan oleh lingkup ISMS
GDPR	Hukum	Persyaratan hukum untuk memproses data pribadi EU	Regulasi EU (diberlakukan oleh DPA)	Berlaku untuk semua data pribadi penduduk EU

Perbedaan utama: SOC 2 dan ISO 27001 adalah sertifikasi sukarela yang diperoleh vendor melalui audit atau penilaian pihak ketiga. GDPR adalah persyaratan hukum. Tidak masalah apakah vendor telah mengejar sertifikasi: jika mereka memproses data pribadi EU, mereka tunduk padanya.

Peta Cakupan Kepatuhan

Peta Cakupan Kepatuhan adalah model mental dari sisi pembeli yang menetapkan setiap kerangka ke permukaan risiko spesifik yang sebenarnya ditanganinya. SOC 2 mencakup kontrol keamanan operasional AS dan merupakan dasar untuk pengadaan Amerika Utara. ISO 27001 mencakup postur manajemen keamanan informasi internasional dan menandakan kematangan bagi pembeli Eropa dan Asia-Pasifik. GDPR (melalui DPA yang ditandatangani) mencakup pemrosesan data pribadi EU dan merupakan satu-satunya kerangka yang mencakup persyaratan residensi data, transfer yang sah, dan hak subjek data. Gunakan peta untuk menemukan kesenjangan: vendor dengan SOC 2 Type 2 tetapi tanpa DPA tidak terlindungi untuk data EU; vendor dengan ISO 27001 tetapi tanpa SOC 2 mungkin terhambat dalam tinjauan enterprise AS; vendor dengan DPA tetapi tanpa atestasi keamanan memiliki dokumen hukum tanpa kontrol yang diverifikasi. Anda membutuhkan kombinasi yang sesuai dengan aliran data Anda, bukan yang dipasarkan vendor.

SOC 2: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya SOC 2 Itu

SOC 2 (System and Organization Controls 2) adalah standar audit yang dikembangkan oleh American Institute of CPAs (AICPA). Laporan SOC 2 dihasilkan oleh firma CPA independen yang telah meninjau kontrol vendor terhadap Trust Service Criteria.

Ada dua jenis laporan SOC 2:

Type I: Penilaian titik waktu. Auditor mengonfirmasi bahwa kontrol vendor dirancang dengan tepat pada tanggal tertentu. Ini adalah snapshot. Ini memberi tahu Anda bahwa kontrol ada pada hari itu.

Type II: Penilaian periode yang mencakup 6-12 bulan. Auditor mengonfirmasi bahwa kontrol tidak hanya dirancang dengan tepat tetapi juga beroperasi secara efektif dari waktu ke waktu. Ini adalah standar yang harus Anda wajibkan.

Lima Trust Service Criteria

Laporan SOC 2 dapat mencakup satu atau lebih kriteria berikut:

Kriteria	Apa yang Dicakup
Keamanan (CC)	Kontrol akses, enkripsi, manajemen kerentanan, respons insiden
Ketersediaan (A)	Uptime sistem, pemantauan kinerja, pemulihan bencana
Integritas Pemrosesan (PI)	Kelengkapan dan akurasi pemrosesan data
Kerahasiaan (C)	Perlindungan informasi rahasia sesuai komitmen vendor
Privasi (P)	Pengumpulan, penggunaan, retensi, dan pembuangan informasi pribadi

Sebagian besar vendor hanya mencakup Keamanan dan Ketersediaan. Ini penting karena kriteria Kerahasiaan dan Privasi mengatur cara vendor menangani data Anda di luar kontrol akses dasar. Jika Anda memasukkan data pelanggan yang sensitif, data keuangan, atau data HR ke dalam alat, tanyakan secara spesifik apakah kriteria Kerahasiaan dan Privasi termasuk dalam lingkup. Proses tinjauan keamanan penuh mencakup cara menginterpretasikan bagian lingkup SOC 2 dan apa yang harus dilakukan ketika laporan berisi pengecualian.

Apa yang TIDAK Dicakup SOC 2

Integrasi pihak ketiga tertentu. Jika vendor menggunakan penyedia AI pihak ketiga, gudang data, atau alat analitik, komponen tersebut mungkin secara eksplisit dikecualikan dari lingkup SOC 2. Baca bagian lingkup.
Penggunaan produk oleh Anda. SOC 2 mengaudit kontrol vendor, bukan cara Anda mengkonfigurasi produk. Jika Anda telah menetapkan izin atau pengaturan berbagi yang lemah, itu berada di luar lingkup.
Postur hari ini. SOC 2 dari 14 bulan lalu mencerminkan keadaan vendor 14 bulan lalu. Pergantian staf, perubahan infrastruktur, dan fitur produk baru sejak saat itu tidak tercakup.

Pertanyaan yang Perlu Diajukan Berdasarkan SOC 2

Apakah laporan SOC 2 Anda saat ini Type I atau Type II?
Kriteria trust service apa yang dicakupnya? Apakah mencakup Kerahasiaan dan Privasi?
Apa periode auditnya? Apakah laporan tahun berjalan sedang dalam proses?
Bisakah saya meninjau bagian lingkup laporan? Infrastruktur dan produk apa yang secara eksplisit dikecualikan?
Apakah ada pengecualian atau opini berkualifikasi dalam laporan?
Sub-processor pihak ketiga mana yang termasuk dalam lingkup vs. dikecualikan?

Tanda bahaya:

Laporan Type I yang disajikan setara dengan Type II
Laporan yang berusia lebih dari 12 bulan tanpa audit berjalan saat ini
Lingkup yang mengecualikan produk atau modul spesifik yang Anda beli
Penolakan untuk berbagi laporan di bawah NDA

ISO 27001: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya ISO 27001 Itu

ISO 27001 adalah standar internasional untuk Sistem Manajemen Keamanan Informasi (ISMS), yang diterbitkan dan dipelihara oleh International Organization for Standardization (ISO). Sertifikasi berarti vendor telah menerapkan pendekatan yang terdokumentasi dan sistematis untuk mengelola risiko keamanan informasi, mencakup kebijakan, proses, orang, dan teknologi.

Tidak seperti SOC 2, yang mengaudit kontrol spesifik terhadap kriteria yang ditentukan, ISO 27001 mensertifikasi keberadaan dan operasi sistem manajemen untuk keamanan informasi. Standar ini memiliki dua komponen utama:

Klausul utama: Persyaratan untuk ISMS (penilaian risiko, komitmen kepemimpinan, perencanaan, operasi, evaluasi, peningkatan)
Kontrol Lampiran A: 93 kategori kontrol yang mencakup keamanan fisik, manajemen akses, kriptografi, hubungan pemasok, manajemen insiden, dan lainnya

Apa yang TIDAK Dicakup ISO 27001

Privasi data. ISO 27001 adalah standar keamanan, bukan standar privasi. ISO 27001 tidak secara khusus menangani hak subjek data, batasan retensi data, atau persyaratan persetujuan untuk memproses data pribadi. Untuk privasi, Anda memerlukan GDPR atau yang setara.
Hasil teknis spesifik. Sertifikasi ISO 27001 berarti sistem manajemen ada. Sertifikasi ini tidak mensertifikasi bahwa kontrol teknis spesifik ada. Vendor dapat disertifikasi ISO 27001 dengan kontrol teknis yang relatif lemah jika kontrol tersebut terdokumentasi dan dikelola dalam ISMS.
Arsitektur produk. Lingkup ISMS mungkin sempit, mencakup sistem IT perusahaan tetapi tidak infrastruktur produk. Periksa apakah lingkup mencakup sistem spesifik yang Anda gunakan.

Pertanyaan yang Perlu Diajukan Berdasarkan ISO 27001

Apa lingkup sertifikasi ISO 27001 Anda? Apakah mencakup lingkungan produk produksi?
Badan sertifikasi mana yang menerbitkan sertifikat dan kapan?
Kapan audit pengawasan Anda berikutnya?
Apakah ISMS Anda mencakup kontrol Lampiran A yang relevan dengan kasus penggunaan kami (khususnya manajemen akses, kriptografi, dan hubungan pemasok)?
Bagaimana Anda mengelola risiko keamanan informasi pemasok untuk sub-processor pihak ketiga?

Hubungan ISO 27001/SOC 2: Banyak vendor mengejar keduanya. ISO 27001 memiliki pengakuan internasional yang lebih kuat; SOC 2 memiliki penetrasi pasar AS yang lebih kuat. Vendor dengan ISO 27001 tetapi tanpa SOC 2 mungkin sesuai tergantung pada geografi dan industri Anda. Vendor dengan SOC 2 tetapi tanpa ISO 27001 adalah profil mid-market AS standar. Untuk alat yang diaktifkan AI, tidak ada standar yang sepenuhnya mencakup pertanyaan penanganan data tambahan seputar pelatihan model, itulah mengapa mengevaluasi SaaS yang diaktifkan AI menambahkan lapisan terpisah pada tinjauan ini.

General Data Protection Regulation adalah hukum EU yang mengatur pengumpulan, pemrosesan, dan penyimpanan data pribadi penduduk EU. Teks regulasi GDPR lengkap dipublikasikan di EUR-Lex dan berlaku untuk organisasi mana pun yang memproses data pribadi EU, terlepas dari lokasi organisasi tersebut.

Untuk pembeli SaaS, relevansi GDPR datang dalam dua bentuk:

Anda adalah pengontrol data. Anda memutuskan data pribadi apa yang dikumpulkan dan mengapa. Jika alat SaaS Anda mengumpulkan atau memproses data pribadi penduduk EU atas nama Anda, Anda memerlukan Perjanjian Pemrosesan Data (DPA) dengan vendor.
Vendor adalah pemroses data. Mereka memproses data pribadi atas instruksi Anda. DPA mengatur ketentuan di mana mereka memproses data tersebut.

DPA: Dokumen yang Sebenarnya Penting

"GDPR compliant" tanpa DPA yang ditandatangani secara hukum tidak berarti apa-apa. DPA adalah kontrak yang menetapkan:

Data pribadi apa yang diproses vendor atas nama Anda
Tujuan dan cara pemrosesan
Kewajiban vendor seputar keamanan data, pemberitahuan pelanggaran, dan manajemen sub-processor
Mekanisme untuk transfer data lintas batas (Standard Contractual Clauses atau yang setara)
Hak subjek data dan cara vendor mendukungnya
Penghapusan dan pengembalian data pada penghentian kontrak

Daftar Periksa DPA (15 item):

Subjek data non-EU. GDPR tidak mencakup data individu AS, Australia, atau non-EU lainnya. Regulasi lain mungkin berlaku (CCPA untuk California, LGPD untuk Brasil, dll.), tetapi GDPR secara khusus mencakup penduduk EU. Panduan Badan Perlindungan Data Eropa memberikan interpretasi otoritatif tentang lingkup teritorial untuk organisasi yang tidak yakin apakah GDPR berlaku untuk aliran data spesifik mereka.
Data yang dianonimkan. Data yang benar-benar dianonimkan (di mana identifikasi ulang tidak mungkin) berada di luar lingkup GDPR. Data yang dipseudonimasikan (di mana identifikasi ulang mungkin dengan kunci) masih termasuk dalam lingkup.
Data kontak B2B. Di banyak yurisdiksi, informasi kontak bisnis perusahaan (bukan konsumen individu) berada di luar definisi data pribadi GDPR. Ini diperdebatkan dan bergantung pada yurisdiksi.

Bisakah saya menerima salinan DPA standar Anda sebelum menandatangani kontrak utama?
Apakah Anda memiliki daftar sub-processor yang terkini, dan bagaimana pemberitahuan diberikan ketika sub-processor berubah?
Mekanisme apa yang Anda gunakan untuk transfer data lintas batas (SCC, keputusan kecukupan)?
Apa proses Anda untuk merespons permintaan hak subjek data (penghapusan, akses, portabilitas)?
Apa komitmen pemberitahuan pelanggaran Anda dan bagaimana perbandingannya dengan standar GDPR 72 jam?
Jika fitur AI termasuk dalam lingkup, apakah data pelanggan digunakan untuk pelatihan? Apakah ada opt-out, dan apakah ada dalam DPA?
Data pribadi apa yang diproses jika kami hanya menggunakan [modul produk tertentu]?

Tanda bahaya:

Vendor menyajikan kebijakan privasi mereka sebagai DPA
DPA mencakup hak untuk menggunakan data pelanggan untuk pelatihan model tanpa opt-out
Daftar sub-processor tidak dipelihara atau berusia lebih dari 6 bulan
Komitmen pemberitahuan pelanggaran melebihi 72 jam
Tidak ada mekanisme yang ditentukan untuk transfer lintas batas

Tabel Perbandingan Kerangka

Pertanyaan	Dijawab SOC 2	Dijawab ISO 27001	Dijawab GDPR
Apakah vendor memiliki kontrol keamanan?	Ya (jika Type II, kriteria Keamanan)	Ya (kerangka kontrol Lampiran A)	Tidak (keamanan adalah persyaratan, tidak diaudit)
Apakah data saya ditangani dengan kerahasiaan yang tepat?	Sebagian (jika kriteria Kerahasiaan termasuk dalam lingkup)	Sebagian (kontrol Lampiran A)	Ya (DPA mengatur ini)
Apakah hak privasi saya terlindungi?	Sebagian (jika kriteria Privasi termasuk dalam lingkup)	Tidak	Ya (hak subjek data)
Apakah ini berlaku untuk data pribadi EU?	Tidak (sukarela, netral geografi)	Tidak (sukarela, netral geografi)	Ya (wajib untuk data EU)
Apakah lingkup dapat diverifikasi?	Ya (dalam laporan)	Ya (lingkup sertifikat)	Ya (dalam DPA)
Apakah ini menangani pemberitahuan pelanggaran?	Sebagian (kontrol respons insiden)	Sebagian (manajemen insiden)	Ya (pemberitahuan 72 jam)

Cara Menggunakan Ini dalam Percakapan Vendor

Jangan katakan: "Apakah Anda SOC 2 dan GDPR compliant?"

Sebaliknya, tanyakan:

"Bisakah saya melihat bagian lingkup dan trust service criteria dalam laporan SOC 2 Type II Anda saat ini?"
"Apakah lingkup ISO 27001 Anda mencakup lingkungan produk produksi?"
"Bisakah saya menerima DPA Anda sebelum kami menandatangani? Sub-processor apa yang terdaftar dan apakah ada yang merupakan penyedia AI?"

Pertanyaan-pertanyaan ini mengungkap informasi yang disembunyikan oleh compliance theater. Vendor dengan kepatuhan sejati menjawabnya secara langsung. Vendor dengan compliance theater menjawabnya dengan bahasa pemasaran. Setelah Anda mengumpulkan informasi ini, daftar periksa due diligence vendor menunjukkan cara mengintegrasikan temuan kepatuhan ke dalam penilaian risiko lengkap sebelum kontrak apa pun ditandatangani. Dan ketika saatnya bernegosiasi, tanda bahaya kontrak SaaS mencakup klausul DPA dan tanggung jawab yang melindungi hak data Anda pasca-penandatanganan.

Bagaimana Rework Mendekati Kepatuhan untuk Postur Sendiri dan untuk Melacak Postur Anda

Rework memperlakukan kepatuhan sebagai artefak yang diungkapkan, bukan klaim pemasaran. Kami mempublikasikan lingkup postur keamanan kami di rework.com/pricing dan membuat atestasi terkini, DPA, dan daftar sub-processor kami tersedia bagi calon pelanggan di bawah NDA sebelum penandatanganan kontrak, bukan setelahnya. Data pelanggan tidak digunakan untuk melatih fitur AI, dan komitmen tersebut tertulis dalam DPA daripada terkubur dalam kebijakan privasi. Untuk pembeli yang memproses data pribadi EU, kami menandatangani Standard Contractual Clauses sebagai mekanisme transfer dan berkomitmen pada pemberitahuan perubahan sub-processor.

Secara terpisah, Rework Work Ops (mulai dari $6/pengguna/bulan) adalah alat yang digunakan banyak pelanggan mid-market kami untuk melacak inventaris kepatuhan vendor mereka sendiri: register ringan dari tanggal laporan SOC 2, jendela pembaruan ISO 27001, versi DPA, daftar sub-processor, dan audit pengawasan berikutnya untuk setiap SaaS dalam tumpukan mereka. Alih-alih mengelola ini dalam spreadsheet yang tersebar, pemimpin pengadaan dan IT menggunakan papan Work Ops dengan tanggal tinjauan otomatis sehingga laporan SOC 2 yang sudah usang atau perubahan sub-processor muncul sebagai tugas, bukan kejutan yang ditemukan selama perpanjangan berikutnya.

FAQ

Pelajari Lebih Lanjut

Tinjauan Keamanan dan Kepatuhan: Apa yang Sebenarnya Harus Diperiksa Pembeli Mid-Market: proses tinjauan lima lapisan yang diaktifkan oleh konteks kerangka ini
Daftar Periksa Due Diligence Vendor Pra-Pembelian untuk Pembeli Mid-Market: di mana tinjauan kepatuhan masuk ke dalam kerangka due diligence yang lebih luas
Tanda Bahaya Kontrak SaaS: Auto-Renewal, Batas Penggunaan, dan Klausul Penghentian yang Perlu Diperhatikan: ketentuan kontrak yang mempengaruhi hak data Anda pasca-penandatanganan
Mengevaluasi SaaS yang Diaktifkan AI: Apa yang Nyata, Apa yang Pemasaran: bagaimana fitur AI memperluas pertanyaan GDPR dan penanganan data
Kebijakan tata kelola AI untuk departemen: kebijakan internal yang melengkapi persyaratan kepatuhan sisi vendor
Template penilaian kesiapan AI: cara menilai kesiapan penanganan data organisasi Anda sendiri sebelum menerapkan SaaS AI

Kerangka Pembelian SaaS untuk Operator

Ikhtisar Kerangka: Apa yang Sebenarnya Anda Bandingkan

Peta Cakupan Kepatuhan

SOC 2: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya SOC 2 Itu

Lima Trust Service Criteria

Apa yang TIDAK Dicakup SOC 2

Pertanyaan yang Perlu Diajukan Berdasarkan SOC 2

ISO 27001: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya ISO 27001 Itu

Apa yang TIDAK Dicakup ISO 27001

Pertanyaan yang Perlu Diajukan Berdasarkan ISO 27001

DPA: Dokumen yang Sebenarnya Penting

Tabel Perbandingan Kerangka

Cara Menggunakan Ini dalam Percakapan Vendor

Bagaimana Rework Mendekati Kepatuhan untuk Postur Sendiri dan untuk Melacak Postur Anda

FAQ

Pelajari Lebih Lanjut

On this page

Kerangka Pembelian SaaS untuk Operator

SOC 2, ISO 27001, dan GDPR: Apa yang Sebenarnya Dicakup untuk Pembeli

Ikhtisar Kerangka: Apa yang Sebenarnya Anda Bandingkan

Peta Cakupan Kepatuhan

SOC 2: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya SOC 2 Itu

Lima Trust Service Criteria

Apa yang TIDAK Dicakup SOC 2

Pertanyaan yang Perlu Diajukan Berdasarkan SOC 2

ISO 27001: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya ISO 27001 Itu

Apa yang TIDAK Dicakup ISO 27001

Pertanyaan yang Perlu Diajukan Berdasarkan ISO 27001

GDPR: Apa yang Dicakup dan Apa yang Tidak

Apa Sebenarnya GDPR Itu

DPA: Dokumen yang Sebenarnya Penting

Apa yang TIDAK Dicakup GDPR

Pertanyaan yang Perlu Diajukan Berdasarkan GDPR

Tabel Perbandingan Kerangka

Cara Menggunakan Ini dalam Percakapan Vendor

Bagaimana Rework Mendekati Kepatuhan untuk Postur Sendiri dan untuk Melacak Postur Anda

FAQ

Pelajari Lebih Lanjut

On this page