Case

SOC 1 & 2 compliant op Azure als eerste Nederlandse Managed Service Provider

Voldoen aan de strenge SOC 1- en 2-eisen wanneer data buiten de deur staat

De strenge SOC 1- en 2-standaarden zijn cruciaal voor het vertrouwen van organisaties met hoge compliancy-eisen, zoals banken, verzekeraars en overheid, om aan te kunnen tonen dat hun data in goede handen is. Wanneer hun data buiten de deur staat en zij gebruik maken van de public cloud geeft dit extra uitdagingen. Een managed IT service provider met SOC 1 en 2 in de public cloud ontzorgt en biedt extra zekerheid en controle.

In het kort

Uitdaging

Om onze toch al behoorlijk hoge normen op het gebied van beveiliging en compliance nog verder te verbeteren, voor zowel private als public cloud omgevingen, hebben we Microsoft Azure opgenomen in de jaarlijkse SOC auditscope.

Oplossing

Met extra training op public cloud en het behalen van relevante Microsoft certificeringen is ons Security & Compliance team erin geslaagd de best practices van de Solvinity private cloud over te zetten naar een public cloudomgeving.

Resultaat

Solvinity werd de eerste Managed Service Provider in Nederland met SOC voor Azure, en kreeg een uitmuntend SOC 1- en SOC 2-rapport dat leidde tot een groter vertrouwen van klanten van Solvinity.

Een MSP dat SOC-rapporten op Azure kan leveren bóvenop de compliance-rapporten van Microsoft biedt organisaties de garantie dat het beheer van hun Azure-omgevingen in capabele handen is en op een veilige en compliant manier wordt gedaan.

Een infrastructuur die compliant is

De digitale wereld wordt steeds meer gereguleerd om gevoelige persoonlijke informatie te beschermen en misbruik te voorkomen. Sommige organisaties hoeven slechts te voldoen aan algemene wetgeving op het gebied van privacy, zoals de AVG. Andere hebben te maken met strenger toezicht van overheids- toezichthouders, zoals AFM en DNB. Om te voldoen aan de vereisten van deze instellingen moeten organisaties aantonen dat hun klantgegevens in goede handen zijn, zelfs wanneer hun IT is uitbesteed.

Deze unieke service in Nederland komt goed overeen met onze ervaring bij Solvinity: een grondig werkende partner met oog voor innovatieve oplossingen.

harry tolsma

Technlogy Strategist - Microsoft Nederland

SOC 1 en 2 voor Azure ontvangen

“Bij Solvinity zijn we al bijna tien jaar SOC-compliant voor onze private cloudomgeving. Maar nu veel organisaties de schaalvoordelen van de public cloud ontdekken, wisten we dat we onze scope op het gebied van beveiliging en compliance moesten uitbreiden”, vertelt Paul Cattermole, senior compliance officer bij Solvinity. Azure was een logische stap in de public cloud, niet in de laatste plaats door het partnership van Solvinity met Microsoft op onder andere het Azure Cloud Platform en als Cloud Productivity Partner. Dit was een behoorlijk grote uitdaging, omdat de public cloud weliswaar niet nieuw was voor Solvinity, maar wel vanuit het perspectief van compliance. Solvinity’s public cloudteam en de certificeringsprogramma’s van Microsoft boden de kennis en expertise om dit resultaat te bereiken.

Het Security & Compliance team heeft het weloverwogen besluit genomen om geen specifieke controles te schrijven voor Azure-omgevingen, maar om de bestaande werkwijzen over te zetten naar de technieken van de public cloud. Dankzij deze aanpak kan Solvinity zijn processen zodanig ontwerpen dat het er altijd zeker van is dat het de controle heeft, of het nu een private of public cloud is.

Een goed voorbeeld is de toegangscontrole voor mensen die in en uit dienst treden. Dit is de basis die wordt gebruikt om te controleren wie toegang heeft tot welke klantsystemen. Dit proces is gesynchroniseerd vanuit het HR-systeem naar de Active Directory en vervolgens naar de Azure Active Directory (AAD). “We hebben onze rolgebaseerde toegangscontroles uitgebreid door AAD-groepen voor klantsystemen te integreren. Dus terwijl we een uitbreiding naar de public cloud hebben gedaan, zijn onze algemene compliance-controles ongewijzigd gebleven”, legt Cattermole uit.

SOC-rapporten om trots op te zijn

In een hybride wereld moet het niet uitmaken in welk systeem je werkt. Het komt neer op één simpel feit: een onafhankelijke auditor moet kunnen beoordelen of je je zaken op orde hebt. De public cloud biedt steeds meer kostenefficiëntie- en schaalvoordelen – maar dit mag nooit ten koste gaan van veiligheid of compliance. En met Solvinity en Azure zal dat ook niet gebeuren.

Luister de podcast over SOC 2 rapportages

Azure en Solvinity ondersteunen FRISS bij zijn wereldwijde groei om aan verzekeraars van onroerend goed en ongevallenverzekeraars een veilige, betrouwbare en schaalbare oplossing te bieden voor de bestrijding van fraude en het voorkomen van hoge risico’s.

christian van leeuwen

Medeoprichter & CTO bij FRISS