SOC 2
Comment Scrydon prend en charge les critères de confiance AICPA — sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée.
SOC 2 est le référentiel d'audit de l'AICPA pour les organisations de services. Les cinq critères de confiance (TSC) couvrent la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée.
Cette page couvre la prise en charge de Scrydon pour chaque critère.
Sécurité (critères communs)
Les critères communs sont obligatoires pour tout rapport SOC 2.
| Critère | Support Scrydon |
|---|---|
| CC1 — Environnement de contrôle | Documenté sur ce site + bibliothèque de politiques de votre organisation. |
| CC2 — Communication et information | Journal d'audit, événements de gestion des changements, feuille de route visible par les clients. |
| CC3 — Évaluation des risques | Template d'évaluation des risques de gouvernance IA. Voir Gouvernance IA. |
| CC4 — Activités de surveillance | Audit continu, métriques de plateforme, relayeur SIEM. |
| CC5 — Activités de contrôle | Autorisation, audit, mTLS, durcissement des entrées — voir Sécurité. |
| CC6 — Accès logique | Modèle de permissions. |
| CC6.1 — Sécurité des accès logiques | SSO, SCIM, hiérarchie à trois niveaux, habilitation basée sur les rôles. |
| CC6.6 — Accès logique pour les utilisateurs du système | Grants workspace + équipe, audit à chaque grant. |
| CC6.7 — Restriction de la transmission des données | mTLS, liste d'autorisation de sortie, durcissement des entrées. Voir Frontière réseau. |
| CC6.8 — Détection d'activité non autorisée | Journal d'audit + relayeur SIEM. |
| CC7 — Opérations système | Documentation des opérations, événements de gestion des changements. Voir Déploiement. |
| CC8 — Gestion des changements | Versionnage des workflows, branches d'ontologie, déploiements attestés par audit. |
| CC9 — Atténuation des risques | Processus de gestion des vulnérabilités, intégrité de la chaîne d'approvisionnement. |
Disponibilité
Si vous incluez le TSC Disponibilité :
| Critère | Support Scrydon |
|---|---|
| A1.1 — Performance du système | Métriques au niveau des workflows + métriques du cluster. |
| A1.2 — Sauvegarde / récupération | Runbook de sauvegarde-restauration documenté. Voir Déploiement → Opérations. |
| A1.3 — Tests de récupération | Runbook de test DR planifié. |
Confidentialité
| Critère | Support Scrydon |
|---|---|
| C1.1 — Confidentialité identifiée | Classifications (public, internal, confidential, restricted). |
| C1.2 — Suppression | Suppression par enregistrement + rétention. |
Intégrité du traitement
| Critère | Support Scrydon |
|---|---|
| PI1.1 — Les entrées sont précises, complètes, valides | Entrées serveur validées par Zod, entrées de workflow validées par schéma. |
| PI1.2 — Le traitement est rapide et complet | Le runtime de workflow émet des métriques par exécution ; les exécutions échouées font l'objet de nouvelles tentatives selon la politique de réessai du workflow. |
| PI1.3 — Les sorties sont précises, complètes, valides | Bloc Evaluator, schémas de sortie structurée, validation des réponses. |
Vie privée
Si votre rapport SOC 2 inclut la Vie privée, voir RGPD — la plupart des contrôles de confidentialité se recoupent. Les différences sont principalement au niveau de la documentation (avis, flux de consentement, processus des droits des personnes concernées), que la plateforme prend toutes en charge.
Organisations sous-traitantes
Dans les déploiements Scrydon, Scrydon n'est généralement pas une organisation sous-traitante car la plateforme s'exécute dans votre cluster. Les organisations sous-traitantes à prendre en compte sont :
- Votre fournisseur cloud (AWS / Azure / GCP) — ils peuvent exclure leur SOC 2 de votre périmètre.
- Votre IdP (Microsoft Entra, Okta, OneLogin) — généralement dans le périmètre si vous dépendez d'eux pour l'authentification.
- Les vendeurs d'IA externes si vos workflows les appellent (OpenAI, Anthropic, etc.) — dépend de vos décisions de périmètre.
Automatisation Vanta
Scrydon émet les événements d'audit dont Vanta a besoin pour la collecte automatique de preuves sur CC6, CC7, CC8. Examens d'accès logique, événements de gestion des changements, événements de surveillance — tous transmissibles au SIEM et compatibles Vanta.
Voir aussi
- ISO 27001 — chevauchement significatif sur les critères communs.
- Sécurité — chaque contrôle ci-dessus renvoie à une page spécifique.
- Journal d'audit — les preuves sous-jacentes.