Userpilot cuenta ahora con la certificación SOC 2 Tipo II. Conozca nuestras normas de seguridad de la información

SOC 2 Tipo II es una de las normas de seguridad de la información más exigentes disponibles para las empresas SaaS. En Userpilot, sabemos lo esencial que es la seguridad de la información para su empresa. Por eso Userpilot se ha sometido a una estricta auditoría de seguridad de datos realizada por un auditor independiente. Para garantizar que nuestras medidas de seguridad de la información son del más alto nivel, hemos sido auditados por Barr Advisory, que nos ha concedido el certificado SOC 2 Tipo II.

Userpilot es una plataforma de crecimiento de producto que te permite analizar el comportamiento de tus usuarios dentro de tu producto, crear experiencias in-app personalizadas para ellos con el fin de mejorar su experiencia de producto, así como recoger su sentimiento y opiniones a través de NPS y microencuestas. Ni que decir tiene que procesamos muchos datos de usuarios y nos tomamos muy en serio la seguridad de los datos.

Veamos qué es SOC 2 Tipo II, por qué es importante y qué significa para su empresa la nueva certificación de Userpilot.

Resumen

• SOC 2 es un procedimiento de auditoría del AICPA que garantiza la seguridad del tratamiento de los datos de los clientes por terceros proveedores de servicios.
• La certificación SOC 2 se basa en el cumplimiento por parte de los proveedores de servicios de los 5 “principios del servicio de confianza”: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
• La auditoría SOC 2 implica visitas de la entidad auditora a la empresa auditada y la observación de sus sistemas y su eficacia en un entorno controlado durante un periodo de 3 a 9 meses, para comprobar cómo los sistemas de la empresa cumplen los 5 principios de confianza en los servicios.
• SOC 2 Tipo I evalúa únicamente la descripción de los sistemas de la empresa. SOC 2 Tipo II evalúa además su eficacia operativa.
• La auditoría SOC 2 de Userpilot fue llevada a cabo por Barr Advisory, un organismo de confianza de asesoramiento sobre seguridad y cumplimiento en la nube.
• Las ventajas de elegir proveedores de servicios con certificación SOC 2 Tipo II como Userpilot incluyen: prevención de filtraciones de datos, protección frente a demandas y quiebras, mayor credibilidad y fiabilidad, y mayores posibilidades de cerrar acuerdos empresariales.
• Los clientes actuales y futuros de Userpilot ya pueden estar seguros de la calidad de sus mecanismos de protección de datos y conocer todos los detalles en el informe SOC 2, disponible previa solicitud.

Qué es SOC 2

SOC 2 es un procedimiento de auditoría desarrollado por el American Institute of CPAs(AICPA), que garantiza la seguridad del tratamiento de sus datos por parte de terceros proveedores de servicios, como empresas SaaS y en la nube.

La norma SOC 2 define los criterios que deben seguir los proveedores de servicios para gestionar los datos de sus clientes.

Los criterios se basan en cinco “principios de servicio de confianza”:

1. seguridad
2. disponibilidad
3. integridad del procesamiento
4. confidencialidad
5. privacidad

Cada organización tiene que diseñar sus propios procedimientos de control para garantizar el cumplimiento de uno o varios de los principios de confianza SOC2, por lo que los informes SOC2 serán diferentes para cada organización.

Los informes incluyen información sobre cómo gestiona el proveedor de servicios los datos de sus clientes. Las auditorías y los informes SOC2 son realizados por organismos asesores independientes.

Proceso de auditoría SOC 2

El organismo auditor visita la empresa auditada y observa sus sistemas y su eficacia en un entorno controlado durante un periodo de 3 a 9 meses. Esto incluye reuniones in situ, conversaciones con los responsables de los respectivos sistemas, que tienen que presentar descripciones detalladas de sus sistemas y controles, así como un largo proceso de evaluación con muchas preguntas.

El examen de la descripción del sistema y de la idoneidad del diseño y la eficacia operativa de los controles implica lo siguiente:

• Obtener una comprensión del sistema, los compromisos y los requisitos del servicio
• Evaluar los riesgos de que la descripción no se presente de acuerdo con los criterios de descripción y de que los controles no se hayan diseñado adecuadamente o no hayan funcionado con eficacia.
• Realizar procedimientos para obtener pruebas sobre si la descripción se presenta de acuerdo con los criterios de descripción;
• Realización de procedimientos para obtener pruebas sobre si los controles indicados en la descripción se diseñaron adecuadamente para proporcionar una garantía razonable de que la organización de servicios cumplió sus compromisos de servicio y los requisitos del sistema basados en los criterios aplicables a los servicios de confianza;
• Comprobación de la eficacia operativa de los controles indicados en la descripción para ofrecer una garantía razonable de que la organización de servicios ha cumplido sus compromisos de servicio y los requisitos del sistema en función de los criterios aplicables a los servicios de confianza; y
• Evaluar la presentación general de la descripción.

El objetivo de la auditoría SOC 2 es responder a las siguientes preguntas sobre los sistemas de la empresa sometida a auditoría en relación con los 5 “principios de confianza”:

Seguridad

• ¿Está protegido el sistema contra accesos no autorizados (tanto físicos como lógicos)?

Disponibilidad

• ¿Está el sistema disponible para su funcionamiento y uso según lo comprometido o acordado (por ejemplo, mediante un SLA)?

Integridad del tratamiento

• ¿Cumple el sistema su propósito (es decir, proporciona los datos adecuados al precio adecuado y en el momento oportuno)?
• ¿El tratamiento de los datos es completo, válido, exacto, puntual y autorizado?

Confidencialidad

• ¿La información designada como confidencial está protegida según lo comprometido o acordado?
• ¿Está restringido el acceso y la divulgación de información confidencial a determinadas personas u organizaciones?
• ¿Existen medidas adecuadas, como cortafuegos de redes y aplicaciones, para proteger la confidencialidad de los datos?

Privacidad

• ¿La recogida, uso, conservación, divulgación y eliminación de información personal del sistema se ajustan a la política de privacidad de la organización?
• ¿Se ajusta a los principios de privacidad generalmente aceptados (GAPP) de la AICPA?

Requisitos de la norma de seguridad HIPAA

El sistema BI360 y los controles aplicables cumplen los requisitos de la norma de seguridad HIPAA establecidos en la Ley de Portabilidad y Responsabilidad de la Información Sanitaria del Departamento de Salud y Servicios Humanos de EE.UU. (HHS).

¿Cuál es la diferencia entre SOC2 Tipo I y SOC 2 Tipo II?

Los informes SOC 2 son de dos tipos: Tipo I y Tipo II.

• SOC 2 Tipo I describe los sistemas de la empresa auditada y si su diseño es adecuado para los principios de confianza pertinentes.
• SOC 2 Tipo II, además de describir los sistemas, evalúa su eficacia operativa.

SOC 2 Tipo II en Userpilot

La auditoría SOC 2 de Userpilot fue realizada por Barr Advisory, un organismo de confianza de asesoramiento sobre seguridad y cumplimiento en la nube. Barr es un asesor de confianza para algunas de las organizaciones basadas en la nube de más rápido crecimiento en todo el mundo y simplifica el cumplimiento de múltiples requisitos normativos y de clientes en sectores altamente regulados, como la tecnología, los servicios financieros, la sanidad y la administración pública.

El examen SOC 2 se llevó a cabo de conformidad con las normas de certificación establecidas por el Instituto Americano de Contables Públicos Certificados.

El examen SOC 2 Tipo II de Userpilot se realizó entre el 1 de enero de 2021 y el 31 de marzo de 2021.

La auditoría concluyó el pleno cumplimiento de los principios de confianza SOC 2.

Ventajas de utilizar proveedores de servicios con certificación SOC 2 Tipo II

Ahora te preguntarás: “Vale, Userpilot ha obtenido la certificación SOC 2 Tipo II. Pero, ¿qué hay para mí?”. Hay varias razones por las que utilizar proveedores con certificación SOC2 Tipo II es una buena idea para su empresa:

SOC 2 le ayuda a evitar filtraciones involuntarias de datos por parte de terceros

En 2021, los datos son el nuevo oro negro. Como su recurso más preciado, hace todo lo posible por protegerlo de hackers, spammers y otros ciberdelincuentes. Pero, ¿y si sus proveedores de servicios no lo hacen? Si sólo utiliza proveedores SOC-2 de Tipo II, podrá dormir tranquilo y no tendrá que preocuparse por filtraciones o violaciones de datos a través de los servicios de terceros que utilice.

Evitará demandas

Ni que decir tiene que la mayor pesadilla de todo propietario de una empresa de SaaS es que se filtren los datos de sus usuarios a través de una laguna legal de un proveedor de servicios externo y que, como consecuencia, sea demandado. Una demanda colectiva puede significar la ruina financiera y la quiebra de su empresa. Para protegerse de ello, no sólo debe contar con los más altos estándares de seguridad en su empresa, sino también utilizar únicamente proveedores de servicios externos con certificación SOC 2 Tipo II.

Mantiene la reputación de la marca

Una demanda contra su empresa puede dañar no sólo sus finanzas, sino también la reputación de su marca, que es mucho más difícil de recuperar. Esta es otra razón para elegir sólo proveedores de servicios que se tomen muy en serio la protección de datos.

Obtendrá una ventaja competitiva y una mayor confianza de sus clientes.

Muchos clientes, sobre todo empresas consolidadas, exigen a sus posibles proveedores las máximas medidas de seguridad de los datos. Garantizar a sus clientes más valiosos que sólo utiliza proveedores de servicios con certificación SOC 2 Tipo II puede ayudarle a ganarse la confianza y una ventaja sobre otras empresas, y a conseguir más contratos empresariales.

¿Qué significa en la práctica la certificación SOC 2 de Userpilot?

Userpilot, como plataforma de crecimiento de producto que analiza el comportamiento de tus usuarios dentro de la aplicación, te permite segmentar a tus usuarios y construir experiencias de onboarding personalizadas para ellos, así como recoger sus sentimientos y opiniones a través de NPS y microencuestas – recoge un montón de datos de los usuarios. Para nosotros es sumamente importante que se sienta seguro de que sus datos de usuario están en buenas manos, y no se toman a la ligera. Por eso decidimos someternos al proceso de auditoría y certificación SOC2.

Gracias a ello, ahora puede estar seguro de que Userpilot:

• dispone de control de acceso mediante cifrado de extremo a extremo y autenticación de dos factores. Puede obtener más información sobre las tecnologías utilizadas para garantizar la seguridad de los datos en un informe emitido por un auditor independiente de confianza.
• utiliza cortafuegos de red y de aplicaciones
• dispone de mecanismos de detección de intrusos
• utiliza herramientas de supervisión del rendimiento
• utiliza herramientas de recuperación en caso de catástrofe
• dispone de procedimientos de gestión de incidentes de seguridad
• utiliza procedimientos de aseguramiento de la calidad y supervisión de los procesos

Los clientes actuales y potenciales interesados en una copia de nuestro informe SOC 2 Tipo II pueden ponerse en contacto con [email protected] para obtener más detalles.