Updates

Userpilot è ora certificato SOC 2 Tipo II! Informazioni sui nostri standard di sicurezza delle informazioni

Dicembre 28, 2021

8 min read

CONTENTS

    Il SOC 2 di tipo II è uno dei più elevati standard di sicurezza delle informazioni disponibili per le aziende SaaS. Noi di Userpilot sappiamo quanto sia essenziale la sicurezza delle informazioni per la vostra azienda. Ecco perché Userpilot si è sottoposta a un rigoroso controllo della sicurezza dei dati da parte di un revisore indipendente. Per garantire che le nostre misure di sicurezza delle informazioni siano del più alto livello, siamo stati sottoposti a un audit da parte di Barr Advisory e abbiamo ottenuto il certificato SOC 2 Type II.

    Userpilot è una piattaforma di crescita del prodotto che consente di analizzare il comportamento degli utenti all’interno del prodotto, di creare esperienze personalizzate all’interno dell’app per migliorare l’esperienza del prodotto e di raccogliere il loro sentiment e le loro opinioni tramite NPS e microsondaggi. Inutile dire che trattiamo molti dati degli utenti e che prendiamo molto sul serio la questione della sicurezza dei dati.

    Vediamo cos’è il SOC 2 di tipo II, perché è importante e cosa significa per la vostra azienda la nuova certificazione di Userpilot.

    Sintesi

    • SOC 2 è una procedura di audit dell’AICPA che garantisce la sicurezza dell’elaborazione dei dati dei clienti da parte di fornitori di servizi terzi.
    • La certificazione SOC 2 si basa sul rispetto da parte dei fornitori di servizi dei 5 “principi del servizio fiduciario”: sicurezza, disponibilità, integrità dell’elaborazione, riservatezza e privacy.
    • L’audit SOC 2 prevede che l’organismo di revisione si rechi presso l’azienda sottoposta ad audit e osservi i suoi sistemi e la loro efficacia in un ambiente controllato per un periodo di 3-9 mesi, per verificare come i sistemi dell’azienda soddisfino i 5 principi di fiducia del servizio.
    • Il SOC 2 Tipo I valuta solo la descrizione dei sistemi aziendali. Il SOC 2 Tipo II valuta inoltre la sua efficienza operativa.
    • L’audit SOC 2 di Userpilot è stato condotto da Barr Advisory, ente di consulenza di fiducia per la sicurezza e la conformità del cloud.
    • I vantaggi di scegliere fornitori di servizi certificati SOC 2 Tipo II come Userpilot includono: prevenzione delle violazioni dei dati, protezione da cause legali e fallimenti, maggiore credibilità e affidabilità e maggiori possibilità di concludere contratti aziendali.
    • I clienti attuali e futuri di Userpilot possono ora essere sicuri della qualità dei suoi meccanismi di protezione dei dati e possono apprendere tutti i dettagli dal rapporto SOC 2, disponibile su richiesta.

    Cos’è il SOC 2

    SOC 2 è una procedura di audit sviluppata dall’American Institute of CPAs(AICPA), che garantisce la sicurezza dell’elaborazione dei dati da parte di fornitori di servizi terzi, come le società SaaS e cloud.

    Il SOC 2 definisce i criteri per la gestione dei dati dei clienti da parte dei fornitori di servizi.

    I criteri si basano su cinque “principi di servizio fiduciario”:

    1. sicurezza
    2. disponibilità
    3. integrità del processo
    4. riservatezza
    5. privacy

    Criteri fiduciari SOC 2 Tipo II presso Userpilot

     

    Ogni organizzazione deve progettare le proprie procedure di controllo per garantire la conformità a uno o più principi fiduciari del SOC2, pertanto i rapporti SOC2 saranno diversi per ogni organizzazione.

    I rapporti contengono informazioni su come il fornitore di servizi gestisce i dati dei propri clienti. Gli audit e i rapporti SOC2 sono condotti da organismi di consulenza indipendenti.

    Processo di audit SOC 2

    L’organismo di revisione visita l’azienda sottoposta a revisione e osserva i suoi sistemi e la loro efficacia in un ambiente controllato per un periodo di 3-9 mesi. Ciò comporta incontri in loco, colloqui con i dirigenti responsabili dei rispettivi sistemi che devono presentare descrizioni dettagliate dei loro sistemi e controlli, nonché un lungo processo di valutazione con molte domande.

    L’esame della descrizione del sistema e dell’adeguatezza della progettazione e dell’efficacia operativa dei controlli comporta quanto segue:

    • Ottenere una comprensione del sistema, degli impegni e dei requisiti del servizio
    • Valutare i rischi che la descrizione non sia presentata in conformità ai criteri di descrizione e che i controlli non siano stati progettati in modo adeguato o non abbiano funzionato efficacemente.
    • Esecuzione di procedure per ottenere prove sul fatto che la descrizione sia presentata in conformità ai criteri di descrizione;
    • Esecuzione di procedure per ottenere prove sul fatto che i controlli indicati nella descrizione siano stati progettati in modo adeguato per fornire una ragionevole garanzia che l’organizzazione di servizi abbia raggiunto i propri impegni di servizio e i requisiti di sistema in base ai criteri applicabili per i servizi fiduciari;
    • Verificare l’efficacia operativa dei controlli indicati nella descrizione per fornire una ragionevole garanzia che l’organizzazione di servizi abbia raggiunto gli impegni di servizio e i requisiti di sistema in base ai criteri dei servizi fiduciari applicabili; e,
    • Valutare la presentazione complessiva della descrizione.

    Lo scopo dell’audit SOC 2 è quello di rispondere alle seguenti domande sui sistemi dell’azienda sottoposta in relazione ai 5 “principi di fiducia”:

    Sicurezza

    sicurezza dei dati

     

    • Il sistema è protetto da accessi non autorizzati (sia fisici che logici)?

    Disponibilità

    • Il sistema è disponibile per il funzionamento e l’utilizzo secondo gli impegni presi o concordati (ad esempio, in base a uno SLA)?

    Integrità dell’elaborazione

    • Il sistema raggiunge il suo scopo (cioè fornisce i dati giusti al prezzo giusto e al momento giusto)?
    • L’elaborazione dei dati è completa, valida, accurata, tempestiva e autorizzata?

    Riservatezza

    • Le informazioni designate come riservate sono protette come stabilito o concordato?
    • L’accesso e la divulgazione di informazioni riservate sono limitati a persone o organizzazioni specifiche?
    • Sono state adottate misure adeguate, come firewall di rete e di applicazioni, per proteggere la riservatezza dei dati?

    La privacy

    • La raccolta, l’uso, la conservazione, la divulgazione e lo smaltimento delle informazioni personali da parte del sistema sono conformi alla politica sulla privacy dell’organizzazione?
    • È conforme ai principi sulla privacy generalmente accettati (GAPP) dell’AICPA?

    Requisiti di sicurezza HIPAA

    Il sistema BI360 e i controlli applicabili sono conformi ai requisiti HIPAA Security Rule stabiliti dalla legge sulla portabilità e la responsabilità delle informazioni sanitarie del Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti.

    Qual è la differenza tra SOC2 Tipo I e SOC 2 Tipo II?

    I rapporti SOC 2 sono di due tipi: Tipo I e Tipo II.

    • Il SOC 2 Tipo I descrive i sistemi della società sottoposta a revisione e se la loro struttura è appropriata per i principi fiduciari pertinenti.
    • Il SOC 2 Tipo II, oltre a descrivere i sistemi, ne valuta l’efficacia operativa.

    SOC 2 Tipo II a Userpilot

    Logo della consulenza BARR

     

    L’audit SOC 2 di Userpilot è stato condotto da Barr Advisory, un ente di consulenza di fiducia per la sicurezza e la conformità del cloud. Barr è un consulente di fiducia per alcune delle organizzazioni cloud-based in più rapida crescita in tutto il mondo e semplifica la conformità a molteplici requisiti normativi e dei clienti in settori altamente regolamentati, tra cui tecnologia, servizi finanziari, sanità e pubblica amministrazione.

    L’esame SOC 2 è stato condotto in conformità agli standard di attestazione stabiliti dall’American Institute of Certified Public Accountants.

    L’esame SOC 2 Tipo II di Userpilot è stato condotto tra il 1° gennaio 2021 e il 31 marzo 2021.

    L’audit ha concluso la completa conformità ai principi fiduciari SOC 2.

    Vantaggi dell’utilizzo di fornitori di servizi certificati SOC 2 Tipo II

    Logo del certificato SOC 2

     

    Ora vi chiederete: “Ok, Userpilot ha ottenuto la certificazione SOC 2 di tipo II. Ma cosa ci guadagno?”. Ci sono diversi motivi per cui utilizzare fornitori certificati SOC2 Tipo II è una buona idea per la vostra azienda:

    Il SOC 2 vi aiuta a evitare violazioni involontarie dei dati da parte di terzi

    protezione delle violazioni dei dati VPN

     

    Nel 2021 i dati sono il nuovo oro nero. Essendo la vostra risorsa più preziosa, fate di tutto per proteggerla da hacker, spammer e altri criminali informatici. Ma cosa succede se i vostri fornitori di servizi terzi non lo fanno? Utilizzare solo fornitori SOC-2 di tipo II significa dormire sonni tranquilli e non preoccuparsi di eventuali fughe di dati o violazioni attraverso i servizi di terze parti utilizzati!

    Si evitano le cause legali

    avviso di fallimento

     

    Non c’è bisogno di dire che la fuga dei dati degli utenti attraverso una scappatoia di un fornitore di servizi di terze parti, e la conseguente denuncia, è il più grande incubo di ogni proprietario di un’azienda SaaS. Un’azione legale collettiva può significare la rovina finanziaria e il fallimento della vostra azienda. Per proteggersi da questo problema, è necessario non solo avere i più alti standard di sicurezza in azienda, ma anche utilizzare solo fornitori di servizi terzi certificati SOC 2 Type II.

    Mantenete la reputazione del marchio

    Una causa contro la vostra azienda può danneggiare non solo le vostre finanze, ma anche la reputazione del vostro marchio, che è molto più difficile da recuperare. Questo è un altro motivo per scegliere solo i fornitori di servizi che prendono molto sul serio la protezione dei dati.

    Ottenete un vantaggio competitivo e una maggiore fiducia nei confronti dei vostri clienti

    fiducia nella stretta di mano SOC 2

     

    Molti clienti, soprattutto le aziende consolidate, richiedono ai loro potenziali fornitori le più elevate misure di sicurezza dei dati. Assicurare ai vostri clienti più importanti che utilizzate solo fornitori di servizi certificati SOC 2 Tipo II può aiutarvi a guadagnare fiducia, a ottenere un vantaggio rispetto alle altre aziende e ad aggiudicarvi più contratti aziendali!

    Che cosa significa in pratica la certificazione SOC 2 di Userpilot per voi?

    Userpilot, in quanto piattaforma di crescita del prodotto che analizza il comportamento in-app dei vostri utenti, vi permette di segmentare i vostri utenti e di costruire esperienze di onboarding personalizzate per loro, nonché di raccogliere il loro sentiment e le loro opinioni tramite NPS e microsondaggi – raccoglie molti dati sugli utenti. Per noi è estremamente importante farvi sentire sicuri che i vostri dati utente sono in buone mani e non vengono presi alla leggera. Per questo motivo abbiamo deciso di sottoporci al processo di audit e certificazione SOC2.

    Grazie a ciò, ora potete essere certi che Userpilot:

    • ha un controllo degli accessi tramite crittografia end-to-end e autenticazione a due fattori. Per saperne di più sulle tecnologie utilizzate per garantire la sicurezza dei dati, è possibile consultare un rapporto emesso da un revisore contabile indipendente e affidabile.
    • utilizza firewall di rete e applicativi
    • dispone di meccanismi di rilevamento delle intrusioni
    • utilizza strumenti di monitoraggio delle prestazioni
    • utilizza strumenti di disaster recovery
    • dispone di procedure di gestione degli incidenti di sicurezza
    • utilizza procedure di assicurazione della qualità e di monitoraggio dei processi

    I clienti attuali e potenziali interessati a una copia del nostro rapporto SOC 2 Type II possono contattare [email protected] per ottenere maggiori dettagli.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

    You might also be interested in ...