Updates

Userpilot is nu SOC 2 Type II gecertificeerd! Meer informatie over onze normen voor informatiebeveiliging

december 28, 2021

7 min read

CONTENTS

    SOC 2 Type II is een van de hoogste informatiebeveiligingsnormen voor SaaS-bedrijven. Bij Userpilot weten we hoe essentieel informatiebeveiliging voor uw bedrijf is. Daarom heeft Userpilot zich onderworpen aan een strenge gegevensbeveiligingsaudit door een onafhankelijke auditor. Om ervoor te zorgen dat onze informatiebeveiligingsmaatregelen aan de hoogste eisen voldoen, zijn wij gecontroleerd door Barr Advisory en hebben wij het SOC 2 Type II certificaat ontvangen.

    Userpilot is een platform voor productgroei waarmee u het gedrag van uw gebruikers binnen uw product kunt analyseren, gepersonaliseerde in-app ervaringen voor hen kunt creëren om hun productervaring te verbeteren, en hun sentiment en meningen kunt verzamelen via NPS en microsurveys. Het behoeft geen betoog dat wij veel gebruikersgegevens verwerken en de beveiliging van gegevens uiterst serieus nemen.

    Laten we eens kijken wat SOC 2 Type II is, waarom het belangrijk is, en wat de nieuwe certificering van Userpilot voor uw bedrijf betekent.

    Samenvatting

    • SOC 2 is een controleprocedure van de AICPA die de veiligheid van de verwerking van cliëntgegevens door derden-dienstverleners waarborgt.
    • De SOC 2-certificering is gebaseerd op het feit dat de dienstverleners voldoen aan de 5 “trust service principles”: veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
    • Een SOC 2-audit houdt in dat de auditinstantie het gecontroleerde bedrijf bezoekt en de systemen en de doeltreffendheid ervan observeert in een gecontroleerde omgeving gedurende een periode van 3-9 maanden, om na te gaan hoe de systemen van het bedrijf voldoen aan de 5 beginselen van vertrouwen in de dienstverlening.
    • SOC 2 Type I beoordeelt alleen de beschrijving van de systemen van het bedrijf. SOC 2 Type II evalueert bovendien de operationele efficiëntie.
    • De SOC 2-audit van Userpilot werd uitgevoerd door Barr Advisory, een betrouwbaar adviesorgaan voor cloudgebaseerde beveiliging en compliance.
    • De voordelen van het kiezen van SOC 2 Type II gecertificeerde dienstverleners zoals Userpilot zijn: preventie van datalekken, bescherming tegen rechtszaken en faillissementen, grotere geloofwaardigheid en betrouwbaarheid, en een grotere kans op het sluiten van zakelijke deals.
    • Huidige en toekomstige klanten van Userpilot kunnen nu zeker zijn van de kwaliteit van de databeveiligingsmechanismen en kunnen alle details vernemen uit het SOC 2-rapport, dat op verzoek beschikbaar is.

    Wat is SOC 2?

    SOC 2 is een door het American Institute of CPAs(AICPA) ontwikkelde auditprocedure die de veiligheid van uw gegevensverwerking door externe dienstverleners zoals SaaS- en cloudbedrijven waarborgt.

    SOC 2 definieert criteria voor de manier waarop dienstverleners de gegevens van hun klanten moeten beheren.

    De criteria zijn gebaseerd op vijf “trust service principles”:

    1. beveiliging
    2. beschikbaarheid
    3. verwerkingsintegriteit
    4. vertrouwelijkheid
    5. privacy

    SOC 2 Type II vertrouwenscriteria bij Userpilot

     

    Elke organisatie moet haar eigen controleprocedures ontwerpen om de naleving van een of meer van de SOC2-vertrouwensprincipes te waarborgen – de SOC2-rapporten zullen dus voor elke organisatie anders zijn.

    De verslagen bevatten informatie over de manier waarop de dienstverlener de gegevens van zijn klanten beheert. SOC2-audits en -rapporten worden uitgevoerd door onafhankelijke adviesorganen.

    SOC 2-auditproces

    De controle-instantie bezoekt het gecontroleerde bedrijf en observeert de systemen en de doeltreffendheid ervan in een gecontroleerde omgeving gedurende een periode van 3-9 maanden. Dit omvat vergaderingen ter plaatse, gesprekken met het voor de respectieve systemen verantwoordelijke management, die gedetailleerde beschrijvingen van hun systemen en controles moeten geven, en een langdurig evaluatieproces met veel vragen.

    Het onderzoek naar de beschrijving van het systeem en de geschiktheid van het ontwerp en de doeltreffendheid van de controles houdt het volgende in:

    • Het verkrijgen van inzicht in het systeem, de verplichtingen en de servicevereisten
    • Het beoordelen van de risico’s dat de beschrijving niet in overeenstemming met de beschrijvingscriteria wordt gepresenteerd en dat de controles niet naar behoren waren opgezet of niet doeltreffend werkten
    • Het uitvoeren van procedures om bewijs te verkrijgen of de beschrijving wordt gepresenteerd in overeenstemming met de beschrijvingscriteria;
    • Het uitvoeren van procedures om bewijsmateriaal te verkrijgen over de vraag of de in de beschrijving vermelde controles adequaat zijn opgezet om een redelijke mate van zekerheid te bieden dat de serviceorganisatie haar dienstverplichtingen en systeemvereisten op basis van de toepasselijke criteria voor vertrouwensdiensten nakomt;
    • het testen van de operationele doeltreffendheid van de in de beschrijving vermelde controles om redelijke zekerheid te verschaffen dat de dienstenorganisatie haar dienstverplichtingen en systeemvereisten op basis van de toepasselijke criteria voor vertrouwensdiensten heeft gehaald; en,
    • Evaluatie van de algemene presentatie van de beschrijving.

    Het doel van de SOC 2-audit is het beantwoorden van de volgende vragen over de systemen in het onderworpen bedrijf met betrekking tot de 5 “trust principles”:

    Veiligheid

    gegevensbeveiliging

     

    • Is het systeem beschermd tegen ongeoorloofde toegang (zowel fysiek als logisch)?

    Beschikbaarheid

    • Is het systeem beschikbaar voor gebruik zoals vastgelegd of overeengekomen (bv. door een SLA)?

    Integriteit van de verwerking

    • Bereikt het systeem zijn doel (d.w.z. levert het de juiste gegevens tegen de juiste prijs op het juiste moment)?
    • Is de gegevensverwerking volledig, geldig, nauwkeurig, tijdig en geautoriseerd?

    Vertrouwelijkheid

    • Is de als vertrouwelijk aangemerkte informatie beschermd zoals vastgelegd of overeengekomen?
    • Is de toegang tot en bekendmaking van vertrouwelijke informatie beperkt tot bepaalde personen of organisaties?
    • Zijn er passende maatregelen, zoals netwerk- en toepassingsfirewalls, om de vertrouwelijkheid van gegevens te beschermen?

    Privacy

    • Zijn het verzamelen, gebruiken, bewaren, openbaar maken en verwijderen van persoonlijke informatie in overeenstemming met het privacybeleid van de organisatie?
    • Is het in overeenstemming met de algemeen aanvaarde privacybeginselen (GAPP) van de AICPA?

    Vereisten van de HIPAA-beveiligingsregel

    Het BI360-systeem en de toepasselijke controles zijn in overeenstemming met de toepasselijke HIPAA-beveiligingsvoorschriften van de Health Information Portability and Accountability Act van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS).

    Wat is het verschil tussen SOC2 Type I en SOC 2 Type II?

    SOC 2-rapporten zijn er in twee soorten: Type I en Type II.

    • SOC 2 Type I beschrijft de systemen van het gecontroleerde bedrijf en of de opzet ervan geschikt is voor de relevante vertrouwensbeginselen.
    • SOC 2 Type II beschrijft niet alleen de systemen, maar beoordeelt ook hun operationele doeltreffendheid.

    SOC 2 Type II bij Userpilot

    BARR-advieslogo

     

    De SOC 2-audit van Userpilot werd uitgevoerd door Barr Advisory, een betrouwbaar adviesorgaan voor beveiliging en compliance in de cloud. Barr is een betrouwbare adviseur voor enkele van de snelst groeiende cloud-gebaseerde organisaties over de hele wereld en vereenvoudigt de naleving van meerdere regelgevende en klantvereisten in sterk gereguleerde sectoren, waaronder technologie, financiële diensten, gezondheidszorg en overheid.

    Het SOC 2-onderzoek is uitgevoerd overeenkomstig de attestatienormen van het American Institute of Certified Public Accountants.

    Het SOC 2 Type II onderzoek van Userpilot is uitgevoerd tussen 1 januari 2021 en 31 maart 2021.

    Uit de controle bleek dat de SOC 2-vertrouwensbeginselen volledig worden nageleefd.

    Voordelen van het gebruik van SOC 2 Type II gecertificeerde dienstverleners

    SOC 2 Certificaat logo

     

    Nu vraag je je misschien af – “Ok, dus Userpilot is SOC 2 Type II gecertificeerd. Maar wat zit er voor mij in?”. Er zijn verschillende redenen waarom het gebruik van SOC2 Type II gecertificeerde providers een goed idee is voor uw bedrijf:

    SOC 2 helpt u onbedoelde inbreuken op gegevens door derden te voorkomen

    bescherming tegen datalekken VPN

     

    In 2021 is data het nieuwe zwarte goud. Als uw kostbaarste bezit doet u er alles aan om het te beschermen tegen hackers, spammers en andere cybercriminelen. Maar wat als uw externe dienstverleners dat niet doen? Als u alleen SOC-2 Type II providers gebruikt, kunt u ‘s nachts rustig slapen en hoeft u zich geen zorgen te maken over eventuele datalekken of inbreuken via de diensten van derden die u gebruikt!

    U vermijdt rechtszaken

    faillissementsverklaring

     

    Onnodig te zeggen – dat de gegevens van uw gebruikers uitlekken via een achterdeurtje van een externe dienstverlener, en als gevolg daarvan aangeklaagd worden, is de grootste nachtmerrie van elke SaaS-bedrijfseigenaar. Een collectieve rechtszaak kan de financiële ondergang en het faillissement van uw bedrijf betekenen. Om uzelf hiertegen te beschermen, moet u niet alleen de hoogste beveiligingsnormen in uw bedrijf hebben, maar ook alleen gebruik maken van SOC 2 Type II gecertificeerde externe dienstverleners.

    U houdt de merkreputatie hoog

    Een rechtszaak tegen uw bedrijf kan niet alleen uw financiën schaden, maar ook de reputatie van uw merk – wat veel moeilijker te herstellen is. Dit is nog een reden om alleen in zee te gaan met dienstverleners die gegevensbescherming uiterst serieus nemen.

    U krijgt een concurrentievoordeel & meer vertrouwen bij uw klanten

    handshake trust SOC 2

     

    Veel klanten, vooral gevestigde zakelijke klanten, eisen de hoogste gegevensbeveiligingsmaatregelen van hun potentiële leveranciers. Door uw meest waardevolle klanten te verzekeren dat u uitsluitend gebruik maakt van SOC 2 Type II gecertificeerde dienstverleners, kunt u vertrouwen winnen, een voorsprong nemen op andere bedrijven en meer enterprise deals binnenhalen!

    Wat betekent de SOC 2 certificering van Userpilot voor u in de praktijk?

    Userpilot, als een platform voor productgroei dat het in-app gedrag van uw gebruikers analyseert, u in staat stelt uw gebruikers te segmenteren en gepersonaliseerde onboarding ervaringen voor hen te bouwen, alsmede hun sentiment en meningen te verzamelen via NPS en microsurveys – verzamelt veel gebruikersgegevens. Het is voor ons uiterst belangrijk dat u erop kunt vertrouwen dat uw gebruikersgegevens in goede handen zijn – en niet lichtvaardig worden opgevat. Daarom hebben wij besloten ons te onderwerpen aan de SOC2-audit en het certificeringsproces.

    Dankzij dit kunt u er nu op vertrouwen dat Userpilot:

    • heeft toegangscontrole via end-to-end encryptie en twee-factor authenticatie. In een rapport van een gerenommeerde, onafhankelijke auditor kunt u meer te weten komen over de technologieën die worden gebruikt om de gegevensbeveiliging te garanderen.
    • gebruikt netwerk- en toepassingsfirewalls
    • beschikt over mechanismen voor indringerdetectie
    • gebruikt instrumenten voor prestatiebewaking
    • gebruikt hulpmiddelen voor noodherstel
    • beschikt over procedures voor de behandeling van veiligheidsincidenten
    • gebruikt procedures voor kwaliteitsborging en procesbewaking

    Huidige en toekomstige klanten die geïnteresseerd zijn in een exemplaar van ons SOC 2 Type II-rapport kunnen contact opnemen met [email protected] voor meer informatie.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

    You might also be interested in ...