Updates

Userpilot er nu SOC 2 Type II-certificeret! Få mere at vide om vores standarder for informationssikkerhed

december 28, 2021

7 min read

CONTENTS

    SOC 2 Type II er en af de højeste standarder for informationssikkerhed, der findes for SaaS-virksomheder. Hos Userpilot ved vi, hvor vigtig informationssikkerhed er for din virksomhed. Derfor har Userpilot underkastet sig selv en streng datasikkerhedsrevision af en uafhængig revisor. For at sikre, at vores informationssikkerhedsforanstaltninger er af højeste standard, er vi blevet revideret af Barr Advisory og har fået tildelt SOC 2 Type II-certifikatet.

    Userpilot er en platform til produktvækst, der giver dig mulighed for at analysere dine brugeres adfærd i dit produkt, skabe personlige oplevelser i appen for dem for at forbedre deres produktoplevelse og indsamle deres følelser og meninger via NPS og mikroundersøgelser. Det siger sig selv, at vi behandler en masse brugerdata og tager datasikkerhed yderst alvorligt.

    Lad os se nærmere på, hvad SOC 2 Type II er, hvorfor det er vigtigt, og hvad Userpilots nye certificering betyder for din virksomhed.

    Resumé

    • SOC 2 er en revisionsprocedure fra AICPA, der sikrer sikkerheden i forbindelse med kundeoplysninger, der behandles af tredjepartstjenesteudbydere.
    • SOC 2-certificering er baseret på, at tjenesteudbyderne opfylder de 5 “tillidstjenesteprincipper”: sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatlivets fred.
    • SOC 2-audit indebærer, at revisionsorganet besøger den reviderede virksomhed og observerer dens systemer og deres effektivitet i et kontrolleret miljø i en periode på 3-9 måneder for at kontrollere, hvordan virksomhedens systemer opfylder de 5 principper for tillid til tjenesteydelser.
    • SOC 2 type I vurderer kun beskrivelsen af virksomhedens systemer. SOC 2 Type II evaluerer desuden dens driftseffektivitet.
    • Userpilots SOC 2-audit blev udført af Barr Advisory, et betroet rådgivningsorgan for cloud-baseret sikkerhed og overholdelse af reglerne.
    • Fordelene ved at vælge SOC 2 Type II-certificerede tjenesteudbydere som Userpilot omfatter: forebyggelse af databrud, beskyttelse mod retssager og konkurs, øget troværdighed og troværdighed samt større chance for at afslutte forretningsaftaler.
    • Nuværende og fremtidige kunder hos Userpilot kan nu være sikre på kvaliteten af deres databeskyttelsesmekanismer og kan få alle detaljerne i SOC 2-rapporten, som kan fås efter anmodning.

    Hvad er SOC 2

    SOC 2 er en revisionsprocedure, der er udviklet af American Institute of CPAs(AICPA), og som sikrer sikkerheden i forbindelse med din databehandling af tredjepartstjenesteudbydere som f.eks. SaaS og cloud-virksomheder.

    SOC 2 definerer kriterier for, hvordan tjenesteudbydere skal håndtere deres kunders data.

    Kriterierne er baseret på fem “tillidstjenesteprincipper”:

    1. sikkerhed
    2. tilgængelighed
    3. forarbejdningsintegritet
    4. fortrolighed
    5. privatliv

    SOC 2 Type II tillidskriterier på Userpilot

     

    Hver organisation skal udforme sine egne kontrolprocedurer for at sikre overholdelse af et eller flere af SOC2-principperne – så SOC2-rapporterne vil være forskellige for hver organisation.

    Rapporterne indeholder oplysninger om, hvordan tjenesteudbyderen forvalter deres klienters/kunders data. SOC2-revisioner og -rapporter udføres af uafhængige rådgivende organer.

    SOC 2-auditprocessen

    Revisionsorganet besøger den reviderede virksomhed og observerer dens systemer og deres effektivitet i et kontrolleret miljø i en periode på 3-9 måneder. Dette omfatter møder på stedet, drøftelser med den ledelse, der er ansvarlig for de respektive systemer, som skal fremlægge detaljerede beskrivelser af deres systemer og kontroller, samt en langvarig evalueringsproces med en masse spørgsmål.

    Undersøgelsen af beskrivelsen af systemet og af kontrollernes udformning og effektivitet omfatter følgende:

    • opnåelse af en forståelse af systemet, forpligtelser og servicekrav
    • Vurdering af risikoen for, at beskrivelsen ikke er præsenteret i overensstemmelse med beskrivelseskriterierne, og at kontrollen ikke var hensigtsmæssigt udformet eller ikke fungerede effektivt.
    • Udførelse af procedurer for at opnå dokumentation for, om beskrivelsen er præsenteret i overensstemmelse med beskrivelseskriterierne;
    • Udførelse af procedurer for at indhente dokumentation for, om de kontroller, der er anført i beskrivelsen, var hensigtsmæssigt udformet til at give rimelig sikkerhed for, at serviceorganisationen opfyldte sine serviceforpligtelser og systemkrav baseret på de gældende tillidstjenestekriterier;
    • Test af den operationelle effektivitet af de kontroller, der er anført i beskrivelsen, for at give rimelig sikkerhed for, at serviceorganisationen har opfyldt sine serviceforpligtelser og systemkrav baseret på de gældende tillidstjenestekriterier, og,
    • Vurdering af den overordnede præsentation af beskrivelsen.

    Formålet med SOC 2-revisionen er at besvare følgende spørgsmål om systemerne i den undersøgte virksomhed i forhold til de 5 “tillidsprincipper”:

    Sikkerhed

    datasikkerhed

     

    • Er systemet beskyttet mod uautoriseret adgang (både fysisk og logisk)?

    Tilgængelighed

    • Er systemet tilgængeligt til drift og brug som planlagt eller aftalt (f.eks. ved en SLA)?

    Bearbejdning af integriteten

    • Opfylder systemet sit formål (dvs. leverer de rigtige data til den rigtige pris og på det rigtige tidspunkt)?
    • Er databehandlingen fuldstændig, gyldig, præcis, rettidig og autoriseret?

    Fortrolighed

    • Er de oplysninger, der betegnes som fortrolige, beskyttet som aftalt eller aftalt?
    • Er adgangen til og videregivelsen af fortrolige oplysninger begrænset til bestemte personer eller organisationer?
    • Er der truffet passende foranstaltninger som f.eks. netværks- og applikationsfirewalls for at beskytte datafortroligheden?

    Privatliv

    • Er systemets indsamling, brug, opbevaring, videregivelse og bortskaffelse af personlige oplysninger i overensstemmelse med organisationens politik for beskyttelse af personlige oplysninger?
    • Er den i overensstemmelse med AICPA’s generelt accepterede principper for beskyttelse af personlige oplysninger (GAPP)?

    Krav til HIPAA-sikkerhedsreglerne

    BI360-systemet og de gældende kontroller er i overensstemmelse med de gældende HIPAA Security Rule-krav, der er fastsat i Health Information Portability and Accountability Act fra det amerikanske sundhedsministerium (HHS).

    Hvad er forskellen mellem SOC2 Type I og SOC 2 Type II?

    SOC 2-rapporter findes i to typer: Type I og Type II.

    • SOC 2 type I beskriver den reviderede virksomheds systemer og beskriver, om deres udformning er hensigtsmæssig i forhold til de relevante tillidsprincipper.
    • SOC 2 type II beskriver ikke blot systemerne, men vurderer også deres operationelle effektivitet.

    SOC 2 Type II hos Userpilot

    BARR Advisory logo

     

    Userpilots SOC 2-audit blev udført af Barr Advisory , et betroet cloud-baseret rådgivningsorgan for sikkerhed og overholdelse af reglerne. Barr er en betroet rådgiver for nogle af de hurtigst voksende cloud-baserede organisationer rundt om i verden og forenkler overholdelsen af flere lovkrav og kundekrav i stærkt regulerede brancher, herunder teknologi, finansielle tjenesteydelser, sundhedsvæsen og offentlige myndigheder.

    SOC 2-undersøgelsen blev gennemført i overensstemmelse med de standarder for attestering, der er fastsat af American Institute of Certified Public Accountants.

    Userpilots SOC 2 Type II-undersøgelse blev gennemført mellem den 1. januar 2021 og den 31. marts 2021.

    Revisionen konkluderede, at SOC 2-principperne for tillid er fuldt ud overholdt.

    Fordele ved at bruge SOC 2 Type II-certificerede tjenesteudbydere

    SOC 2-certifikat-logo

     

    Nu undrer du dig måske – “Okay, Userpilot blev SOC 2 Type II-certificeret. Men hvad er der i det for mig?”. Der er flere grunde til, at det er en god idé for din virksomhed at bruge SOC2 Type II-certificerede udbydere:

    SOC 2 hjælper dig med at undgå utilsigtede brud på datasikkerheden fra tredjeparter

    beskyttelse mod databrud VPN

     

    I 2021 er data det nye sorte guld. Som din mest værdifulde ressource gør du alt for at beskytte den mod hackere, spammere og andre cyberkriminelle. Men hvad nu, hvis dine tredjepartstjenesteudbydere ikke gør det? Hvis du kun bruger SOC-2 Type II-udbydere, kan du sove trygt om natten og behøver ikke bekymre dig om datalækager eller brud gennem de tredjepartstjenester, du bruger!

    Du undgår retssager

    meddelelse om konkurs

     

    Det siger sig selv, at det er enhver SaaS-virksomhedsejers største mareridt at få dine brugeres data lækket gennem en tredjepartsudbyders smuthul og blive sagsøgt som følge heraf. Et gruppesøgsmål kan betyde økonomisk ruin og konkurs for din virksomhed. For at beskytte dig mod dette skal du ikke kun have de højeste sikkerhedsstandarder i din virksomhed, men også kun bruge SOC 2 Type II-certificerede tredjepartsleverandører.

    Du opretholder brandets omdømme

    En retssag mod din virksomhed kan ikke kun skade din økonomi, men også dit omdømme – hvilket er meget sværere at genoprette. Dette er endnu en grund til kun at vælge de tjenesteudbydere, der tager databeskyttelse meget alvorligt.

    Du får en konkurrencefordel og større tillid hos dine kunder

    håndtryk tillid SOC 2

     

    Mange kunder, især etablerede erhvervskunder, kræver de højeste datasikkerhedsforanstaltninger fra deres potentielle leverandører. Ved at sikre dine mest værdifulde kunder, at du kun bruger SOC 2 Type II-certificerede tjenesteudbydere, kan du opnå tillid, en fordel i forhold til andre virksomheder og vinde flere forretningsaftaler!

    Hvad betyder Userpilots SOC 2-certificering for dig i praksis?

    Userpilot er en produktvækstplatform, der analyserer dine brugeres adfærd i appen, giver dig mulighed for at segmentere dine brugere og opbygge personlige onboarding-oplevelser for dem samt indsamle deres følelser og meninger via NPS og mikroundersøgelser – og indsamler en masse brugerdata. Det er ekstremt vigtigt for os at få dig til at føle dig sikker på, at dine brugerdata er i gode hænder – og at de ikke tages let på. Derfor besluttede vi at underkaste os SOC2-revisionen og -certificeringsprocessen.

    Takket være dette kan du nu være sikker på, at Userpilot:

    • har adgangskontrol via end-to-end-kryptering og to-faktor-autentifikation. Du kan få mere at vide om de teknologier, der anvendes til at sikre datasikkerheden, i en rapport fra en anerkendt, uafhængig revisor.
    • bruger netværks- og applikationsfirewalls
    • har indført mekanismer til registrering af indbrud
    • bruger værktøjer til overvågning af ydeevne
    • anvender værktøjer til katastrofeberedskab
    • har indført procedurer for håndtering af sikkerhedshændelser
    • anvender procedurer for kvalitetssikring og procesovervågning

    Nuværende og potentielle kunder, der er interesseret i en kopi af vores SOC 2 Type II-rapport, kan kontakte [email protected] for at få flere oplysninger.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    Dette felt er til validering og bør ikke ændres.

    You might also be interested in ...