Гостевой пост HodlX Отправьте свой пост
С повсеместным распространением программного обеспечения как услуги (SaaS) и облачных приложений возросла потребность в сторонних гарантиях для таких систем и функций, переданных на аутсорсинг. Несмотря на то, что технология блокчейн обеспечивает внутреннюю безопасность, есть много случаев, когда приложения этой технологии также требуют подтверждения третьей стороной с помощью служб соответствия блокчейн SoC2..
Что такое сервисы аудита блокчейн SoC2?
Полная форма SoC – это системные и организованные элементы управления. Существует два основных типа отчетов аудита SoC – SoC1, который имеет отношение к деньгам, и SoC2, который имеет дело с безопасностью. Строгие критерии аттестации, установленные государством, регулируют все типы отчетов SOC. Их могут выпускать только аккредитованные государственные бухгалтерские фирмы, и они могут быть распространены только среди небольшой группы предполагаемых пользователей. В этой статье мы поговорим о втором виде аудита SoC, особенно применимом к технологии блокчейн..
Когда дело доходит до распределенных реестров технологии блокчейн и криптовалют, таких как Биткойн (BTC) и Ethereum (ETH), которые не регулируются правительством или каким-либо центральным органом в этом отношении, они подвержены проблемам с доверием для широкой публики. Существует несколько способов, которыми блокчейн заботится о надежности – за счет безопасности самого протокола, хэшированной анонимности пользователей, лежащих в основе криптографических алгоритмов и т. Д. Тем не менее, одноранговая криптоэкономика без доверия по-прежнему требует доверенных советников, доверенных посредников. , и гарантии от третьих лиц.
Обстоятельства, которые, безусловно, требуют услуг по соответствию блокчейну SoC2
Во многих случаях аудит SoC, особенно аудит и соответствие SoC2, безусловно, важен..
Крипто фонды
Подписчики фонда могут запросить подтверждение в отношении бизнес-процесса и общего контроля ИТ, применяемых для цифровых активов компании, чтобы гарантировать, что вклады инвесторов должным образом контролируются и разделяются, счета регулярно сверяются, отчетность инвесторов завершена и правильна, а ИТ-среда адекватно устраняет риски, возникающие из-за несоответствующего логического доступа, физического доступа, управления изменениями и т. д. Периодически составляемый отчет об аудиторских услугах SoC2 блокчейна убеждает подписчиков в том, что указанные вопросы безопасны, и, следовательно, их инвестиции в компанию безопасны.
Токены, обеспеченные активами
Токены, обеспеченные активами, – это общий термин, который охватывает различные стейблкоины и связанные с ними творения криптовалюты. Наиболее распространенными среди них являются стейблкоины, обеспеченные фиатом, которые представляют собой токены, выпущенные («отчеканенные») на данном публичном блокчейне или поддерживаемые в соотношении 1: 1 фиатной валютой, такой как доллар США, британский фунт или японская иена. Токены, привязанные к другой валюте (цифровой или фиатной), привязанные к корзине ценных бумаг, привязанные к другим активам или обеспеченные долговыми обязательствами или другими финансовыми инструментами, являются более сложными криптографическими творениями..
Таким образом, существует множество мест, где доверенные посредники, доверенные лица, оценщики и аудиторы могут сыграть ключевую роль в этой зачастую сложной и увлекательной области. Есть много ситуаций, когда это становится проблемой. Обеспеченные токены являются хорошим примером. Покупателям и держателям этих обеспеченных токенов потребуется стороннее подтверждение эффективности обеспечения, основных потоков доходов, профилей рисков, связанных с обеспечением, и многих подобных вещей. Следовательно, возможно, что они могут запросить документ службы соответствия SoC2 блокчейну..
Решения для криптографического учета
Поскольку все существующие предложения программного обеспечения для криптографического учета предоставляются как SaaS, ключевыми соображениями для пользовательских организаций будут гарантия защиты и функциональности платформы, а также контроль над конфиденциальными данными в ней. Отчеты SoC считаются достоверным свидетельством доверия клиентов. Однако в отношении решений для криптографического учета существует ряд особых соображений. Большинство этих сделок имеют интеграцию сторонних бирж и кошельки для хранения и без хранения, поэтому основная проблема для потребителей будет заключаться в том, как они могут зависеть от технологий и автоматизированных средств управления, которые позволяют переводить и использовать данные блокчейна для приложения. Другой фактор – то, какие средства контроля (если таковые имеются) подтверждают, что полная и надежная информация эффективно предоставляется посредством интеграции с данными стороннего обмена. Поэтому в ситуации, когда вы предлагаете решение для криптографического учета, отчет службы соответствия SoC2 блокчейна является совершенно необходимым..
Разрешенные платформы и ассоциации блокчейнов
Разрешенные или «частные» блокчейны обладают мощной способностью решать многие бизнес-проблемы, повышая производительность цепочек поставок, предлагая прозрачность происхождения продуктов, используемых в производстве, и обеспечивая надежную идентификацию – среди прочего. Фактически, с технологиями блокчейн экспериментировали некоторые из крупнейших мировых корпораций, такие как американский многонациональный инвестиционный банк Goldman Sachs, и уже есть несколько успешных приложений..
Коалиция фирм, а не просто единое целое, присутствует во множестве текущих реализаций. Необходимость сторонней проверки в консорциуме блокчейнов достаточно очевидна. Отчеты SoC1 и SoC2 оказываются весьма эффективными для дополнительной уверенности и уверенности среди консорциума частных участников сети. Тем не менее, некоторая адаптация существующего стандарта или, по крайней мере, новый подход аудитора может потребоваться для использования отчетности SoC для обеспечения такой уверенности..
В частности, требования SoC1 и SoC2 зависят от четкого разграничения между обслуживающими организациями и пользовательскими объектами, где аутсорсинговая роль пользовательского агентства была взята на себя обслуживающей организацией. Сравните это с консорциумом блокчейнов, где участники не передали свои когорты на аутсорсинг для выполнения функции, а скорее изменили способ, которым они доверяли, совершали транзакции и сообщали о транзакциях между участниками..
Существует один доминирующий член (например, консорциум цепочки поставок Walmart) в нескольких консорциумах корпоративных блокчейнов. У некоторых более равные участники. В случае ведущего или доминирующего участника вход, консенсус, управление изменениями и другие элементы экосистемы блокчейна, скорее всего, будут контролироваться доминирующим участником. Проблемы регулирования экосистемы, вероятно, будут более тонкими в более справедливых консорциумах блокчейнов и, вероятно, потребуются доверенные посредники и аудиторы..
Примеры надежных посредников для аудиторов и консультантов, вероятно, через отчетность SoC, включают подтверждение наличия и оценки реальных активов, представленных в утвержденных блокчейнах, механизмы проверки консенсуса, исправление неправильных записей в реестре и средства контроля расчетов для частных блокчейнов, использующих мониторинг. или жетоны оплаты.
В конце концов, даже разрешенный блок нуждается в услугах аудита блокчейна SoC2. Существует несколько возможных реализаций SoC и сопоставимых аудиторских проверок для требуемой гарантии авторизованных консорциумов блокчейнов и их членов..
Биржи и поставщики кастодиальных кошельков
В условиях содержания под стражей критически важна гарантия третьей стороны. Некоторые более крупные биржи недавно объявили, что их аудит SoC завершен, а другие вскоре последуют их примеру. Для всех централизованных бирж это скоро станет стандартной практикой..
Крупные финансовые учреждения также начинают «решения по институциональному хранению», обеспечивающие максимально возможную защиту своих цифровых активов институциональным инвесторам биткойнов..
Все это означает только то, что если есть функция кастодиального кошелька на виртуальном обмене валюты или в кастодиальном решении, которое вы используете, то отчет службы соответствия SoC2 на блокчейне абсолютно необходим. Поставщики решений для хранения «институционального уровня», скорее всего, будут запрашивать отчеты о SoC1 и / или SoC2..
Вывод
Вывод из всей истории таков: цепочки блоков и криптовалюта глубоко укоренились в предположении, что вся необходимая уверенность обеспечивается встроенными криптоалгоритмами технологии. Но ряд реальных примеров и новых и теоретических вариантов использования предполагает вмешательство человека, независимо от того, действует ли человек как оракул для обеспечения согласованности реальных данных с данными, вставленными в цепочку блоков, или как аудитор, оценивающий обеспеченные потоки доходов для актива. поддерживаемый токен. Там, где есть вмешательство человека, определенная гарантия третьей стороны в виде услуг аудита SoC2 блокчейна становится важной..
Адам Маззоккетти
Адам Маззоккетти – специалист по безопасности блокчейнов, который последние пять лет изучал, консультировал и проверял системы безопасности блокчейнов. Он имеет ученую степень в области кибербезопасности и поведенческой психологии. Адам также является сертифицированным специалистом по безопасности блокчейнов, сертифицированным этическим хакером и сертифицированным CompTIA Security +. Связаться с ним здесь.
Главное изображение: Shutterstock / Chinnapong / dencg
