Updates

Userpilot on nyt SOC 2 Type II -sertifioitu! Lisätietoja tietoturvastandardeistamme

28 joulukuun, 2021

6 min read

CONTENTS

    SOC 2 Type II on yksi korkeimmista SaaS-yrityksille saatavilla olevista tietoturvastandardeista. Me Userpilotilla tiedämme, miten tärkeää tietoturva on yrityksellesi. Siksi Userpilot on suorittanut tiukan tietoturvatarkastuksen, jonka on tehnyt riippumaton tarkastaja. Varmistaaksemme, että tietoturvatoimenpiteemme ovat korkeinta tasoa, Barr Advisory on auditoinut meidät, ja meille on myönnetty SOC 2 Type II -sertifikaatti.

    Userpilot on tuotekehitysalusta, jonka avulla voit analysoida käyttäjien käyttäytymistä tuotteesi sisällä, luoda heille yksilöllisiä sovelluksen sisäisiä kokemuksia tuotekokemuksen parantamiseksi sekä kerätä heidän mielipiteitään NPS- ja mikrokyselyjen avulla. Sanomattakin on selvää, että käsittelemme paljon käyttäjätietoja ja suhtaudumme tietoturvaan erittäin vakavasti.

    Tutustutaanpa siihen, mitä SOC 2 Type II on, miksi se on tärkeä ja mitä Userpilotin uusi sertifiointi tarkoittaa yrityksesi kannalta.

    Yhteenveto

    • SOC 2 on AICPA:n auditointimenettely, jolla varmistetaan kolmannen osapuolen palveluntarjoajien suorittaman asiakastietojen käsittelyn turvallisuus.
    • SOC 2 -sertifiointi perustuu siihen, että palveluntarjoajat täyttävät viisi “luottamuspalveluperiaatetta”: turvallisuus, saatavuus, käsittelyn eheys, luottamuksellisuus ja yksityisyys.
    • SOC 2 -auditointiin kuuluu, että auditointielin vierailee auditoitavassa yrityksessä ja tarkkailee sen järjestelmiä ja niiden tehokkuutta valvotussa ympäristössä 3-9 kuukauden ajan tarkastaakseen, miten yrityksen järjestelmät täyttävät viisi palvelusertifioinnin periaatetta.
    • SOC 2 Type I -tyyppisessä arvioinnissa arvioidaan ainoastaan yrityksen järjestelmien kuvaus. SOC 2 Type II -standardissa arvioidaan lisäksi sen toiminnan tehokkuutta.
    • Userpilotin SOC 2 -auditoinnin suoritti Barr Advisory, joka on luotettava pilvipohjainen tietoturva- ja compliance-neuvontaelin.
    • Userpilotin kaltaisten SOC 2 Type II -sertifioitujen palveluntarjoajien valinnan etuja ovat muun muassa seuraavat: tietomurtojen estäminen, oikeusjuttujen ja konkurssien estäminen, uskottavuuden ja luotettavuuden lisääminen sekä paremmat mahdollisuudet tehdä yrityskauppoja.
    • Userpilotin nykyiset ja tulevat asiakkaat voivat nyt olla varmoja sen päivämääränsuojausmekanismien laadusta ja saada kaikki yksityiskohdat pyynnöstä saatavasta SOC 2 -raportista.

    Mikä on SOC 2

    SOC 2 on American Institute of CPA:n(AICPA) kehittämä tarkastusmenettely, jolla varmistetaan, että kolmannen osapuolen palveluntarjoajat, kuten SaaS- ja pilvipalveluyritykset, käsittelevät tietojasi turvallisesti.

    SOC 2 -standardissa määritellään kriteerit sille, miten palveluntarjoajien tulisi hallita asiakkaidensa tietoja.

    Kriteerit perustuvat viiteen “luottamuspalveluperiaatteeseen”:

    1. turvallisuus
    2. saatavuus
    3. käsittelyn eheys
    4. luottamuksellisuus
    5. yksityisyys

    SOC 2 Type II -luottamusperusteet Userpilotissa

     

    Jokaisen organisaation on suunniteltava omat valvontamenettelynsä varmistaakseen yhden tai useamman SOC2-luottamusperiaatteen noudattamisen, joten SOC2-raportit ovat erilaisia jokaisessa organisaatiossa.

    Raportit sisältävät tietoja siitä, miten palveluntarjoaja hallinnoi asiakkaidensa tietoja. Riippumattomat neuvoa-antavat elimet suorittavat SOC2-auditoinnit ja -raportit.

    SOC 2 -auditointiprosessi

    Tarkastuselin vierailee tarkastettavassa yrityksessä ja tarkkailee sen järjestelmiä ja niiden tehokkuutta valvotussa ympäristössä 3-9 kuukauden ajan. Tähän sisältyy tapaamisia paikan päällä, keskusteluja asianomaisista järjestelmistä vastaavan johdon kanssa, jonka on esitettävä yksityiskohtaiset kuvaukset järjestelmistään ja valvonnastaan, sekä pitkä arviointiprosessi, johon liittyy paljon kysymyksiä.

    Järjestelmän kuvauksen sekä valvonnan suunnittelun ja tehokkuuden soveltuvuuden tarkastelu käsittää seuraavat seikat:

    • Järjestelmän, sitoumusten ja palveluvaatimusten ymmärtäminen.
    • Arvioidaan riskit, että kuvausta ei ole esitetty kuvauskriteerien mukaisesti ja että valvontaa ei ole suunniteltu asianmukaisesti tai että se ei ole toiminut tehokkaasti.
    • Suoritetaan menettelyjä, joilla hankitaan näyttöä siitä, onko kuvaus esitetty kuvauskriteerien mukaisesti;
    • Suoritetaan menettelyjä, joilla hankitaan näyttöä siitä, onko kuvauksessa mainitut kontrollit suunniteltu asianmukaisesti siten, että ne antavat kohtuullisen varmuuden siitä, että palveluorganisaatio on saavuttanut palvelusitoumuksensa ja järjestelmävaatimukset sovellettavien luottamuspalvelukriteerien perusteella;
    • testaamalla kuvauksessa mainittujen valvontatoimien toimivuutta, jotta voidaan saada kohtuullinen varmuus siitä, että palveluorganisaatio on saavuttanut palvelusitoumukset ja järjestelmävaatimukset sovellettavien luottamuspalvelukriteerien perusteella; ja,
    • Arvioidaan kuvauksen yleistä esitystapaa.

    SOC 2 -auditoinnin tavoitteena on vastata seuraaviin kysymyksiin, jotka koskevat kohteena olevan yrityksen järjestelmiä viiden “luottamusperiaatteen” osalta:

    Turvallisuus

    tietoturva

     

    • Onko järjestelmä suojattu luvattomalta käytöltä (sekä fyysisesti että loogisesti)?

    Saatavuus

    • Onko järjestelmä käytettävissä toimintaan ja käyttöön sitoumuksen tai sopimuksen (esim. SLA-sopimuksen) mukaisesti?

    Käsittelyn eheys

    • Saavuttaako järjestelmä tarkoituksensa (eli tuottaako se oikeat tiedot oikeaan hintaan oikeaan aikaan)?
    • Onko tietojenkäsittely täydellistä, pätevää, täsmällistä, oikea-aikaista ja luvallista?

    Luottamuksellisuus

    • Onko luottamuksellisiksi määritellyt tiedot suojattu sitoumuksen tai sopimuksen mukaisesti?
    • Onko luottamuksellisten tietojen saanti ja luovuttaminen rajoitettu tiettyihin henkilöihin tai organisaatioihin?
    • Ovatko asianmukaiset toimenpiteet, kuten verkko- ja sovelluspalomuurit, käytössä tietojen luottamuksellisuuden suojaamiseksi?

    Yksityisyys

    • Onko järjestelmän henkilötietojen kerääminen, käyttö, säilyttäminen, luovuttaminen ja hävittäminen organisaation tietosuojapolitiikan mukaista?
    • Onko se AICPA:n yleisesti hyväksyttyjen tietosuojaperiaatteiden (GAPP) mukainen?

    HIPAA Security Rule -vaatimukset

    BI360-järjestelmä ja sovellettavat valvontatoimet ovat Yhdysvaltain terveysministeriön (HHS) terveystietojen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (Health Information Portability and Accountability Act) mukaisten HIPAA Security Rule -vaatimusten mukaisia.

    Mitä eroa on SOC2 Type I:n ja SOC 2 Type II:n välillä?

    SOC 2 -raportteja on kahdenlaisia: Tyyppi I ja tyyppi II.

    • SOC 2 Type I kuvaa tarkastettavan yrityksen järjestelmiä ja sitä, onko niiden rakenne asianmukainen asiaankuuluvien luottamusperiaatteiden kannalta.
    • SOC 2 Type II -järjestelmässä järjestelmien kuvauksen lisäksi arvioidaan niiden toiminnan tehokkuutta.

    SOC 2 Type II Userpilotissa

    BARR Advisory -logo

     

    Userpilotin SOC 2 -auditoinnin suoritti Barr Advisory, joka on luotettava pilvipohjainen tietoturva- ja compliance-neuvontaelin. Barr on luotettava neuvonantaja joillekin nopeimmin kasvaville pilvipohjaisille organisaatioille ympäri maailmaa, ja se yksinkertaistaa vaatimustenmukaisuutta monien eri sääntely- ja asiakasvaatimusten osalta erittäin säännellyillä toimialoilla, kuten teknologia-, rahoituspalvelu-, terveydenhuolto- ja julkishallinnon aloilla.

    SOC 2 -tarkastus suoritettiin American Institute of Certified Public Accountantsin vahvistamien todentamisstandardien mukaisesti.

    Userpilotin SOC 2 Type II -tarkastus suoritettiin 1. tammikuuta 2021 ja 31. maaliskuuta 2021 välisenä aikana.

    Tarkastuksessa todettiin, että SOC 2 -luottamusperiaatteita noudatetaan täysin.

    SOC 2 Type II -sertifioitujen palveluntarjoajien käytön edut

    SOC 2 -sertifikaatin logo

     

    Nyt saatat miettiä: “Userpilot sai SOC 2 Type II -sertifikaatin. Mutta mitä hyötyä siitä on minulle?”. On useita syitä, miksi SOC2 Type II -sertifioitujen palveluntarjoajien käyttäminen on yrityksesi kannalta hyvä ajatus:

    SOC 2 auttaa välttämään kolmansien osapuolten tahattomat tietomurrot.

    tietosuoja VPN

     

    Vuonna 2021 data on uutta mustaa kultaa. Koska kyseessä on arvokkain resurssisi, teet kaikkesi suojellaksesi sitä hakkereilta, roskapostittajilta ja muilta verkkorikollisilta. Entä jos kolmannen osapuolen palveluntarjoajat eivät sitä tee? Käyttämällä vain SOC-2 Type II -tyyppisiä palveluntarjoajia voit nukkua yösi rauhassa, etkä ole huolissasi käyttämiesi kolmannen osapuolen palveluiden aiheuttamista tietovuodoista tai tietomurroista!

    Vältät oikeusjuttuja

    konkurssi-ilmoitus

     

    Sanomattakin on selvää, että käyttäjien tietojen vuotaminen kolmannen osapuolen palveluntarjoajan porsaanreiän kautta ja siitä johtuva syytteen nostaminen on jokaisen SaaS-yrityksen omistajan suurin painajainen. Ryhmäkanne voi merkitä yrityksellesi taloudellista tuhoa ja konkurssia. Jos haluat suojautua tältä, yrityksessäsi on noudatettava korkeimpia turvallisuusstandardeja ja käytettävä vain SOC 2 Type II -sertifioituja kolmannen osapuolen palveluntarjoajia.

    Ylläpidät brändin mainetta

    Yritystäsi vastaan nostettu oikeusjuttu voi vahingoittaa paitsi talouttasi myös brändisi mainetta, jota on paljon vaikeampi palauttaa. Tämä on toinen syy siihen, että kannattaa valita vain palveluntarjoajat, jotka suhtautuvat tietosuojaan erittäin vakavasti.

    Saat kilpailuetua ja lisää luottamusta asiakkaidesi keskuudessa.

    handshake trust SOC 2

     

    Monet asiakkaat, erityisesti vakiintuneet yritysasiakkaat, vaativat korkeimpia mahdollisia tietoturvatoimia mahdollisilta toimittajiltaan. Kun varmistat arvokkaimmille asiakkaillesi, että käytät vain SOC 2 Type II -sertifioituja palveluntarjoajia, voit saada luottamusta, etulyöntiaseman muihin yrityksiin nähden ja voittaa enemmän yrityskauppoja!

    Mitä Userpilotin SOC 2 -sertifiointi tarkoittaa käytännössä?

    Userpilot, joka on tuotekehitysalusta, joka analysoi käyttäjien käyttäytymistä sovelluksen sisällä, antaa sinulle mahdollisuuden segmentoida käyttäjiäsi ja rakentaa heille yksilöllisiä käyttöönottokokemuksia sekä kerätä heidän mielipiteitään NPS:n ja mikrokyselyjen avulla – kerää paljon käyttäjätietoja. Meille on erittäin tärkeää, että voit luottaa siihen, että käyttäjätietosi ovat hyvissä käsissä – eikä niitä oteta kevyesti. Siksi päätimme osallistua SOC2-auditointiin ja sertifiointiprosessiin.

    Tämän ansiosta voit nyt luottaa siihen, että Userpilot:

    • on pääsynvalvonta päästä päähän -salauksen ja kaksitekijätodennuksen avulla. Voit lukea lisää tietoturvan varmistamiseen käytetyistä tekniikoista hyvämaineisen, riippumattoman tilintarkastajan laatimasta raportista.
    • käyttää verkko- ja sovelluspalomuureja
    • on käytössä tunkeutumisen havaitsemismekanismit.
    • käyttää suorituskyvyn seurantavälineitä
    • käyttää katastrofista toipumisen välineitä
    • on ottanut käyttöön menettelyt turvallisuusvälikohtausten käsittelyä varten
    • käyttää laadunvarmistus- ja prosessinvalvontamenettelyjä

    Nykyiset ja tulevat asiakkaat, jotka ovat kiinnostuneita kopiosta SOC 2 Type II -raportistamme, voivat ottaa yhteyttä osoitteeseen [email protected] saadakseen lisätietoja.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.

    You might also be interested in ...