利便性とセキュリティのために、パスワードローテーションの要件は有害だと思います。私たちのSOC 2監査人はまだそれらを必要とするようです。 SOC 2は実際に2020年にパスワードローテーションを必要としますか? NISTパスワードガイドラインとTOTP MFAを満たすだけで十分だと思います。
SOC 2 Type 2には特定の技術要件はありません。あなたがしなければならないことはあなたの評価者を満足させることです。
そして、あなたの会社があなたの査定者を満足させることができないなら、会社が査定人からの調査結果を説明することを得る「管理応答」と呼ばれるメカニズムがあります。
そして、あなたの評価者がこの分野のベストプラクティスの理解で4年遅れている場合、おそらく新しい評価者を見つける必要があります...