Updates

Userpilot ma teraz certyfikat SOC 2 Type II! Dowiedz się o naszych standardach bezpieczeństwa informacji

28 grudnia, 2021

8 min read

CONTENTS

    SOC 2 Type II to jeden z najwyższych standardów bezpieczeństwa informacji dostępnych dla firm SaaS. W Userpilot wiemy, jak istotne dla Twojej firmy jest bezpieczeństwo informacji. Dlatego Userpilot poddał się rygorystycznemu audytowi bezpieczeństwa danych przeprowadzonemu przez niezależnego audytora. W celu zapewnienia najwyższego standardu naszych środków bezpieczeństwa informacji – poddaliśmy się audytowi Barr Advisory i otrzymaliśmy certyfikat SOC 2 Type II.

    Userpilot to platforma rozwoju produktu, która pozwala analizować zachowanie użytkowników wewnątrz Twojego produktu, tworzyć dla nich spersonalizowane doświadczenia w aplikacji, aby poprawić ich doświadczenie z produktem, a także zbierać ich sentyment i opinie poprzez NPS i mikrosondaże. Nie trzeba dodawać – przetwarzamy wiele danych użytkowników i traktujemy sprawy bezpieczeństwa danych niezwykle poważnie.

    Przyjrzyjmy się, czym jest SOC 2 Type II, dlaczego jest ważny i co nowa certyfikacja Userpilota oznacza dla Twojej firmy.

    Podsumowanie

    • SOC 2 jest procedurą audytową AICPA zapewniającą bezpieczeństwo przetwarzania danych klientów przez zewnętrznych dostawców usług.
    • Certyfikacja SOC 2 opiera się na spełnieniu przez dostawców usług 5 “zasad usług zaufania”: bezpieczeństwa, dostępności, integralności przetwarzania, poufności i prywatności
    • Audyt SOC 2 polega na wizytach jednostki audytorskiej w badanej firmie i obserwowaniu jej systemów oraz ich efektywności w kontrolowanym środowisku przez okres 3-9 miesięcy, w celu sprawdzenia, jak systemy firmy spełniają 5 zasad service trust.
    • SOC 2 Typ I ocenia jedynie opis systemów przedsiębiorstwa. SOC 2 Type II dodatkowo ocenia jego efektywność operacyjną.
    • Audyt SOC 2 Userpilot został przeprowadzony przez Barr Advisory, zaufany organ doradczy w zakresie bezpieczeństwa w chmurze i zgodności z przepisami.
    • Korzyści wynikające z wyboru certyfikowanych dostawców usług SOC 2 Type II, takich jak Userpilot, obejmują: zapobieganie naruszeniom danych, ochronę przed pozwami sądowymi i bankructwem, zwiększoną wiarygodność i zaufanie, a także większą szansę na zamknięcie transakcji korporacyjnych.
    • Obecni i przyszli klienci Userpilota mogą być teraz pewni jakości jego mechanizmów ochrony danych i mogą poznać wszystkie szczegóły z raportu SOC 2, dostępnego na życzenie.

    Co to jest SOC 2

    SOC 2 to procedura audytowa opracowana przez American Institute of CPAs(AICPA), która zapewnia bezpieczeństwo przetwarzania Twoich danych przez zewnętrznych dostawców usług, takich jak firmy SaaS i chmury.

    SOC 2 określa kryteria, w jaki sposób dostawcy usług powinni zarządzać danymi swoich klientów.

    Kryteria te opierają się na pięciu “zasadach służby zaufania”:

    1. bezpieczeństwo
    2. dostępność
    3. integralność przetwarzania
    4. poufność
    5. prywatność

    Kryteria zaufania SOC 2 Type II na Userpilot

     

    Każda organizacja musi zaprojektować własne procedury kontrolne, aby zapewnić zgodność z jedną lub kilkoma zasadami zaufania SOC2 – dlatego raporty SOC2 będą inne dla każdej organizacji.

    Raporty obejmują informacje o tym, jak usługodawca zarządza danymi swoich klientów/klientek. Audyty i raporty SOC2 przeprowadzane są przez niezależne podmioty doradcze.

    Proces audytu SOC 2

    Jednostka audytorska odwiedza badaną firmę i obserwuje jej systemy oraz ich skuteczność w kontrolowanym środowisku przez okres 3-9 miesięcy. Obejmuje to spotkania na miejscu, rozmowy z kierownictwem odpowiedzialnym za poszczególne systemy, które musi przedstawić szczegółowe opisy swoich systemów i kontroli, a także długi proces oceny z dużą ilością pytań.

    Badanie opisu systemu oraz przydatności projektu i skuteczności operacyjnej kontroli obejmuje:

    • Uzyskanie zrozumienia systemu, zobowiązań i wymagań dotyczących usług
    • Ocena ryzyka, że opis nie jest przedstawiony zgodnie z kryteriami opisu oraz że kontrole nie były odpowiednio zaprojektowane lub nie działały skutecznie
    • Przeprowadzenie procedur w celu uzyskania dowodów na to, czy opis jest przedstawiony zgodnie z kryteriami opisu;
    • Przeprowadzenie procedur w celu uzyskania dowodów na to, czy kontrole podane w opisie były odpowiednio zaprojektowane, aby zapewnić racjonalną pewność, że organizacja usługowa osiągnęła swoje zobowiązania usługowe i wymagania systemowe w oparciu o obowiązujące kryteria usług zaufania;
    • Badanie skuteczności operacyjnej kontroli określonych w opisie w celu zapewnienia wystarczającej pewności, że organizacja usługowa osiągnęła swoje zobowiązania usługowe i wymagania systemowe w oparciu o obowiązujące kryteria usług zaufania; oraz,
    • Ocena ogólnej prezentacji opisu.

    Celem audytu SOC 2 jest odpowiedź na następujące pytania dotyczące systemów w badanej firmie w odniesieniu do 5 “zasad zaufania”:

    Bezpieczeństwo

    bezpieczeństwo danych

     

    • Czy system jest zabezpieczony przed nieautoryzowanym dostępem (zarówno fizycznym jak i logicznym)?

    Dostępność

    • Czy system jest dostępny do działania i użytkowania zgodnie z zobowiązaniami lub ustaleniami (np. umową SLA)?

    Integralność przetwarzania

    • Czy system osiąga swój cel (tj. dostarcza właściwych danych po właściwej cenie we właściwym czasie)?
    • Czy przetwarzanie danych jest kompletne, ważne, dokładne, terminowe i autoryzowane?

    Poufność

    • Czy informacje oznaczone jako poufne są chronione zgodnie z zobowiązaniem lub ustaleniami?
    • Czy dostęp do informacji poufnych i ich ujawnianie jest ograniczone do określonych osób lub organizacji?
    • Czy zastosowano odpowiednie środki, takie jak zapory sieciowe i aplikacyjne, w celu ochrony poufności danych?

    Prywatność

    • Czy gromadzenie, wykorzystywanie, przechowywanie, ujawnianie i usuwanie informacji osobowych przez system jest zgodne z polityką prywatności organizacji?
    • Czy jest ona zgodna z ogólnie przyjętymi zasadami prywatności (GAPP) AICPA?

    Wymagania dotyczące zasad bezpieczeństwa HIPAA

    System BI360 i odpowiednie kontrole są zgodne z odpowiednimi wymaganiami HIPAA Security Rule określonymi w ustawie U.S. Department of Health and Human Services (HHS) Health Information Portability and Accountability Act.

    Jaka jest różnica między SOC2 typ I a SOC 2 typ II?

    Raporty SOC 2 występują w dwóch rodzajach: Typ I i Typ II.

    • SOC 2 Typ I opisuje systemy audytowanej firmy oraz to, czy ich konstrukcja jest odpowiednia dla odpowiednich zasad zaufania.
    • SOC 2 Type II, oprócz opisu systemów, ocenia ich efektywność operacyjną.

    SOC 2 Type II na Userpilot

    Logo BARR Advisory

     

    Audyt SOC 2 firmy Userpilot został przeprowadzony przez Barr Advisory, zaufaną instytucję doradczą w zakresie bezpieczeństwa i zgodności w chmurze. Barr jest zaufanym doradcą niektórych z najszybciej rozwijających się organizacji opartych na chmurze na całym świecie i upraszcza zgodność z wieloma przepisami i wymaganiami klientów w wysoce regulowanych branżach, w tym technologii, usług finansowych, opieki zdrowotnej i rządu.

    Badanie SOC 2 zostało przeprowadzone zgodnie ze standardami atestacyjnymi ustanowionymi przez American Institute of Certified Public Accountants.

    Badanie SOC 2 Type II firmy Userpilot zostało przeprowadzone w okresie od 1 stycznia 2021 roku do 31 marca 2021 roku.

    W wyniku audytu stwierdzono całkowitą zgodność z zasadami zaufania SOC 2.

    Korzyści z korzystania z usług dostawców certyfikowanych SOC 2 Type II

    Logo certyfikatu SOC 2

     

    Teraz możesz się zastanawiać – “Ok, więc Userpilot otrzymał certyfikat SOC 2 Type II. Ale co z tego wynika dla mnie?”. Istnieje kilka powodów, dla których korzystanie z usług certyfikowanych dostawców SOC2 Type II jest dobrym pomysłem dla Twojej firmy:

    SOC 2 pomaga uniknąć nieumyślnego naruszenia danych przez strony trzecie

    ochrona przed naruszeniem danych VPN

     

    W 2021 roku dane są nowym czarnym złotem. Jako swój najcenniejszy zasób, robisz wszystko, aby chronić go przed hakerami, spamerami i innymi cyberprzestępcami. Ale co jeśli twoi zewnętrzni dostawcy usług tego nie robią? Korzystanie wyłącznie z usług dostawców SOC-2 Type II oznacza, że możesz spać spokojnie w nocy i nie martwić się o jakiekolwiek wycieki danych lub naruszenia za pośrednictwem usług stron trzecich, z których korzystasz!

    Unikniesz pozwów sądowych

    ogłoszenie upadłości

     

    Nie trzeba dodawać, że wyciek danych użytkowników przez lukę w oprogramowaniu zewnętrznego dostawcy usług, a w konsekwencji pozwanie go, to największy koszmar każdego właściciela firmy SaaS. Pozew zbiorowy może oznaczać dla Twojej firmy ruinę finansową i bankructwo. Aby się przed tym zabezpieczyć, należy mieć nie tylko najwyższe standardy bezpieczeństwa w swojej firmie, ale także korzystać wyłącznie z usług zewnętrznych dostawców usług posiadających certyfikat SOC 2 Type II.

    Utrzymujesz reputację marki

    Pozew przeciwko Twojej firmie może zaszkodzić nie tylko Twoim finansom, ale także reputacji marki – którą znacznie trudniej odzyskać. Jest to kolejny powód, aby wybierać tylko tych usługodawców, którzy traktują ochronę danych niezwykle poważnie.

    Zyskujesz przewagę nad konkurencją i większe zaufanie klientów

    uścisk dłoni zaufanie SOC 2

     

    Wielu klientów, zwłaszcza tych o ugruntowanej pozycji na rynku, wymaga od swoich potencjalnych dostawców najwyższych środków bezpieczeństwa danych. Zapewnienie najcenniejszych klientów, że korzystasz wyłącznie z usług certyfikowanych przez SOC 2 Type II, może pomóc Ci zdobyć zaufanie, przewagę nad innymi firmami i wygrać więcej transakcji dla przedsiębiorstw!

    Co w praktyce oznacza certyfikat SOC 2 dla Userpilota?

    Userpilot, jako platforma do rozwoju produktu, która analizuje zachowania użytkowników w aplikacji, pozwala na segmentację użytkowników i budowanie dla nich spersonalizowanych doświadczeń onboardingowych, a także na zbieranie ich sentymentu i opinii poprzez NPS i mikrosurveys – zbiera mnóstwo danych o użytkownikach. Jest dla nas niezwykle ważne, abyś czuł się pewnie, że Twoje dane użytkowników są w dobrych rękach – i nie są traktowane lekko. Dlatego postanowiliśmy poddać się procesowi audytu i certyfikacji SOC2.

    Dzięki temu możesz być teraz pewny, że Userpilot:

    • posiada kontrolę dostępu poprzez szyfrowanie end-to-end i uwierzytelnianie dwuskładnikowe. Więcej o technologiach stosowanych w celu zapewnienia bezpieczeństwa danych można dowiedzieć się z raportu wydanego przez renomowanego, niezależnego audytora.
    • stosuje zapory sieciowe i aplikacyjne
    • ma wdrożone mechanizmy wykrywania włamań
    • wykorzystuje narzędzia do monitorowania wydajności
    • stosuje narzędzia do odzyskiwania danych w przypadku awarii
    • posiada procedury postępowania w przypadku zdarzeń naruszających bezpieczeństwo
    • stosuje procedury zapewniania jakości i monitorowania procesów

    Obecni i potencjalni klienci zainteresowani kopią naszego raportu SOC 2 Type II mogą skontaktować się z [email protected], aby uzyskać więcej szczegółów.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    To pole jest używane do walidacji i powinno pozostać niezmienione.

    You might also be interested in ...