CONTENTS
SOC 2 Type II er en av de høyeste informasjonssikkerhetsstandardene som er tilgjengelige for SaaS-selskaper. Hos Userpilot vet vi hvor viktig informasjonssikkerhet er for din bedrift. Det er derfor Userpilot har utsatt seg for en streng datasikkerhetsrevisjon av en uavhengig revisor. For å sikre at informasjonssikkerhetstiltakene våre er av høyeste standard – har vi blitt revidert av Barr Advisory, og tildelt SOC 2 Type II-sertifikatet.
Userpilot er en plattform for produktvekst som lar deg analysere brukernes atferd i produktet ditt, lage personlige opplevelser i appen for dem for å forbedre produktopplevelsen, samt samle inn deres følelser og meninger via NPS og mikroundersøkelser . Unødvendig å si – vi behandler mye brukerdata og tar spørsmålene om datasikkerhet ekstremt alvorlig.
La oss se nærmere på hva SOC 2 Type II er, hvorfor det er viktig, og hva Userpilots nye sertifisering betyr for din bedrift.
Sammendrag
- SOC 2 er en revisjonsprosedyre fra AICPA som sikrer sikkerheten til behandling av klientdata fra tredjeparts tjenesteleverandører.
- SOC 2-sertifisering er basert på at tjenesteleverandørene oppfyller de 5 “tillitstjenesteprinsippene”: sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern
- SOC 2-revisjon innebærer besøk fra revisjonsorganet til det reviderte selskapet og observasjon av dets systemer og deres effektivitet i et kontrollert miljø i en periode på 3-9 måneder, for å kontrollere hvordan selskapets systemer oppfyller de 5 tjenestetillitsprinsippene.
- SOC 2 Type I vurderer kun beskrivelsen av virksomhetens systemer. SOC 2 Type II evaluerer i tillegg dens operasjonelle effektivitet.
- Userpilots SOC 2-revisjon ble utført av Barr Advisory, pålitelig skybasert sikkerhet og rådgivende organ for samsvar.
- Fordelene ved å velge SOC 2 Type II-sertifiserte tjenesteleverandører som Userpilot inkluderer: forebygging av datainnbrudd, søksmål og konkursbeskyttelse, økt troverdighet og pålitelighet, og en høyere sjanse for å avslutte bedriftsavtaler.
- Nåværende og fremtidige kunder av Userpilot kan nå være sikre på kvaliteten på datobeskyttelsesmekanismene og kan lære alle detaljene fra SOC 2-rapporten, tilgjengelig på forespørsel.
Hva er SOC 2
SOC 2 er en revisjonsprosedyre utviklet av American Institute of CPAs ( AICPA ), som sikrer sikkerheten til databehandlingen din av tredjeparts tjenesteleverandører som SaaS og skyselskaper.
SOC 2 definerer kriterier for hvordan tjenesteleverandører skal administrere dataene til kundene sine.
Kriteriene er basert på fem «tillitstjenesteprinsipper»:
- sikkerhet
- tilgjengelighet
- behandlingsintegritet
- konfidensialitet
- personvern
Hver organisasjon må utforme sine egne kontrollprosedyrer for å sikre samsvar med ett eller flere av SOC2-tillitsprinsippene – så SOC2-rapportene vil være forskjellige for hver organisasjon.
Rapportene dekker informasjon om hvordan tjenesteleverandøren administrerer dataene til sine klienter/kunder. SOC2-revisjoner og rapporter utføres av uavhengige rådgivende organer.
SOC 2 revisjonsprosess
Revisjonsorganet besøker det reviderte selskapet og observerer dets systemer og deres effektivitet i et kontrollert miljø i en periode på 3-9 måneder. Dette inkluderer møter på stedet, diskusjoner med ledelsen som er ansvarlig for de respektive systemene som trenger å presentere detaljerte beskrivelser av deres systemer og kontroller, samt en langvarig evalueringsprosess med mange spørsmål.
Undersøkelsen av beskrivelsen av systemet og egnetheten til utformingen og driftseffektiviteten til kontrollene innebærer følgende:
- Få en forståelse av systemet, forpliktelser og servicekrav
- Vurdere risikoene for at beskrivelsen ikke er presentert i samsvar med beskrivelseskriteriene og at kontrollene ikke var hensiktsmessig utformet eller ikke fungerte effektivt
- Utføre prosedyrer for å innhente bevis om hvorvidt beskrivelsen er presentert i samsvar med beskrivelseskriteriene;
- Utføre prosedyrer for å innhente bevis om hvorvidt kontroller angitt i beskrivelsen var hensiktsmessig utformet for å gi rimelig sikkerhet for at serviceorganisasjonen oppnådde sine serviceforpliktelser og systemkrav basert på gjeldende kriterier for tillitstjenester;
- Teste driftseffektiviteten til kontrollene som er angitt i beskrivelsen for å gi rimelig sikkerhet for at serviceorganisasjonen oppnådde sine serviceforpliktelser og systemkrav basert på gjeldende kriterier for tillitstjenester; og,
- Evaluering av den generelle presentasjonen av beskrivelsen.
Målet med SOC 2-revisjonen er å svare på følgende spørsmål om systemene i det aktuelle selskapet i forhold til de 5 «tillitsprinsippene»:
Sikkerhet
- Er systemet beskyttet mot uautorisert tilgang (både fysisk og logisk)?
Tilgjengelighet
- Er systemet tilgjengelig for drift og bruk som forpliktet eller avtalt (f.eks. av en SLA)?
Behandlingsintegritet
- Oppnår systemet sitt formål (dvs. leverer riktig data til rett pris til rett tid)?
- Er databehandlingen fullstendig, gyldig, nøyaktig, rettidig og autorisert?
konfidensialitet
- Er informasjonen utpekt som konfidensiell beskyttet som forpliktet eller avtalt?
- Er tilgang til og utlevering av konfidensiell informasjon begrenset til spesifiserte personer eller organisasjoner?
- Er hensiktsmessige tiltak som nettverks- og applikasjonsbrannmurer på plass for å beskytte datakonfidensialitet?
Personvern
- Er systemets innsamling, bruk, oppbevaring, avsløring og avhending av personopplysninger i samsvar med organisasjonens retningslinjer for personvern?
- Er det i samsvar med AICPAs generelt aksepterte personvernprinsipper (GAPP)?
Krav til HIPAA-sikkerhetsregel
BI360-systemet og gjeldende kontroller er i samsvar med gjeldende HIPAA-sikkerhetsregelkrav fastsatt i US Department of Health and Human Services (HHS) Health Information Portability and Accountability Act.
Hva er forskjellen mellom SOC2 Type I og SOC 2 Type II?
SOC 2-rapporter kommer i to typer: Type I og Type II.
- SOC 2 Type I beskriver systemene til det reviderte selskapet og om deres utforming er hensiktsmessig for de relevante tillitsprinsippene.
- SOC 2 Type II, i tillegg til å beskrive systemene, vurderer deres operasjonelle effektivitet.
SOC 2 Type II hos Userpilot
Userpilots SOC 2-revisjon ble utført av Barr Advisory, et pålitelig, skybasert rådgivende organ for sikkerhet og samsvar. Barr er en pålitelig rådgiver for noen av de raskest voksende skybaserte organisasjonene rundt om i verden og forenkler etterlevelse på tvers av flere regulatoriske og kundekrav i sterkt regulerte bransjer, inkludert teknologi, finansielle tjenester, helsetjenester og myndigheter.
SOC 2-undersøkelsen ble utført i samsvar med attestasjonsstandarder etablert av American Institute of Certified Public Accountants.
Userpilots SOC 2 Type II-undersøkelse ble utført mellom 1. januar 2021 og 31. mars 2021.
Revisjonen konkluderte med fullstendig overholdelse av SOC 2-prinsippene for tillit.
Fordeler med å bruke SOC 2 Type II-sertifiserte tjenesteleverandører
Nå lurer du kanskje på – “Ok, så Userpilot ble SOC 2 Type II-sertifisert. Men hva er det for meg?”. Det er flere grunner til at det er en god idé for din bedrift å bruke SOC2 Type II-sertifiserte leverandører:
SOC 2 hjelper deg med å unngå utilsiktede datainnbrudd fra tredjeparter
I 2021 er data det nye sorte gullet. Som din mest dyrebare ressurs gjør du alt for å beskytte den mot hackere, spammere og andre nettkriminelle. Men hva om tredjeparts tjenesteleverandører ikke gjør det? Ved å kun bruke SOC-2 Type II-leverandører kan du sove godt om natten og ikke bekymre deg for datalekkasjer eller brudd gjennom tredjepartstjenestene du bruker!
Du unngår søksmål
Det burde være unødvendig å si at det å få brukernes data lekket gjennom smutthullet til en tredjeparts tjenesteleverandør, og bli saksøkt som et resultat, er enhver SaaS-bedriftseiers største mareritt. Et gruppesøksmål kan bety økonomisk ruin og konkurs for virksomheten din. For å beskytte deg selv mot dette, må du ikke bare ha de høyeste sikkerhetsstandardene i bedriften din, men også kun bruke SOC 2 Type II-sertifiserte tredjeparts tjenesteleverandører.
Du opprettholder merkevarens omdømme
Et søksmål mot din bedrift kan skade ikke bare økonomien din, men også merkevarens omdømme – noe som er mye vanskeligere å gjenopprette. Dette er en annen grunn til å gå med bare de tjenesteleverandørene som tar databeskyttelse ekstremt alvorlig.
Du får et konkurransefortrinn og høyere tillit hos kundene dine
Mange kunder, spesielt etablerte bedriftskunder, krever de høyeste datasikkerhetstiltakene fra sine potensielle leverandører. Å sikre de mest verdifulle kundene dine at du kun bruker SOC 2 Type II-sertifiserte tjenesteleverandører, kan hjelpe deg å få tillit, en fordel i forhold til andre selskaper og vinne flere bedriftsavtaler!
Hva betyr Userpilots SOC 2-sertifisering for deg i praksis?
Userpilot, som en produktvekstplattform som analyserer brukernes adferd i appen, lar deg segmentere brukerne dine og bygge personlige onboarding-opplevelser for dem, samt å samle deres følelser og meninger via NPS og mikroundersøkelser – samler mange brukere data. Det er ekstremt viktig for oss å få deg til å føle deg trygg på at brukerdataene dine er i gode hender – og ikke tas lett på. Dette er grunnen til at vi bestemte oss for å underkaste oss SOC2-revisjons- og sertifiseringsprosessen.
Takket være dette kan du nå være trygg på at Userpilot:
- har tilgangskontroll via ende-til-ende-kryptering og to-faktor autentisering. Du kan lære mer om teknologiene som brukes for å sikre datasikkerhet i en rapport utstedt av en anerkjent, uavhengig revisor.
- bruker nettverks- og applikasjonsbrannmurer
- har inntrengningsdeteksjonsmekanismer på plass
- bruker ytelsesovervåkingsverktøy
- bruker katastrofegjenopprettingsverktøy
- har prosedyrer for håndtering av sikkerhetshendelser på plass
- bruker prosedyrer for kvalitetssikring og prosessovervåking
Nåværende og potensielle kunder som er interessert i en kopi av vår SOC 2 Type II-rapport kan kontakte [email protected] for å få mer informasjon.