Updates

Userpilot agora é certificado SOC 2 Tipo II! Saiba mais sobre as nossas normas de segurança da informação

dezembro 28, 2021

9 min read

CONTENTS

    O SOC 2 Tipo II é uma das normas de segurança da informação mais elevadas disponíveis para as empresas SaaS. Na Userpilot, sabemos como a segurança da informação é essencial para a sua empresa. É por isso que a Userpilot se submeteu a uma rigorosa auditoria de segurança de dados efectuada por um auditor independente. Para garantir que as nossas medidas de segurança da informação são do mais alto nível, fomos auditados pela Barr Advisory e recebemos o certificado SOC 2 Tipo II.

    Userpilot é uma plataforma de crescimento de produtos que permite analisar o comportamento dos seus utilizadores dentro do seu produto, criar experiências personalizadas na aplicação para melhorar a sua experiência com o produto, bem como recolher os seus sentimentos e opiniões através de NPS e microsurveys. Escusado será dizer que processamos muitos dados dos utilizadores e levamos as questões da segurança dos dados muito a sério.

    Vamos analisar o que é o SOC 2 Tipo II, por que é importante e o que a nova certificação do Userpilot significa para a sua empresa.

    Resumo

    • O SOC 2 é um procedimento de auditoria do AICPA que garante a segurança do processamento de dados dos clientes por prestadores de serviços terceiros.
    • A certificação SOC 2 baseia-se no facto de os prestadores de serviços cumprirem os 5 “princípios dos serviços de confiança”: segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade
    • A auditoria SOC 2 envolve visitas do organismo de auditoria à empresa auditada e a observação dos seus sistemas e da sua eficácia num ambiente controlado durante um período de 3 a 9 meses, para verificar a forma como os sistemas da empresa cumprem os 5 princípios de confiança no serviço.
    • O SOC 2 Tipo I avalia apenas a descrição dos sistemas da empresa. O SOC 2 Tipo II avalia adicionalmente a sua eficiência operacional.
    • A auditoria SOC 2 da Userpilot foi conduzida pela Barr Advisory, um órgão de consultoria de segurança e conformidade baseado em nuvem confiável.
    • As vantagens de escolher fornecedores de serviços com certificação SOC 2 Tipo II, como a Userpilot, incluem: prevenção de violação de dados, protecção contra processos judiciais e falências, maior credibilidade e fiabilidade e uma maior probabilidade de fechar negócios empresariais.
    • Os actuais e futuros clientes da Userpilot podem agora ter a certeza da qualidade dos seus mecanismos de protecção de dados e podem conhecer todos os detalhes no relatório SOC 2, disponível mediante pedido.

    O que é o SOC 2

    O SOC 2 é um procedimento de auditoria desenvolvido pelo American Institute of CPAs(AICPA), que garante a segurança do processamento dos seus dados por prestadores de serviços terceiros, como empresas SaaS e de computação em nuvem.

    O SOC 2 define critérios para a forma como os prestadores de serviços devem gerir os dados dos seus clientes.

    Os critérios baseiam-se em cinco “princípios do serviço de confiança”:

    1. segurança
    2. disponibilidade
    3. integridade do processamento
    4. confidencialidade
    5. privacidade

    Critérios de confiança SOC 2 Tipo II no Userpilot

     

    Cada organização tem de conceber os seus próprios procedimentos de controlo para garantir a conformidade com um ou mais dos princípios de confiança SOC2 – pelo que os relatórios SOC2 serão diferentes para cada organização.

    Os relatórios contêm informações sobre a forma como o prestador de serviços gere os dados dos seus clientes. As auditorias e relatórios SOC2 são efectuados por organismos consultivos independentes.

    Processo de auditoria SOC 2

    O organismo de auditoria visita a empresa auditada e observa os seus sistemas e a sua eficácia num ambiente controlado durante um período de 3 a 9 meses. Isto inclui reuniões no local, discussões com os gestores responsáveis pelos respectivos sistemas, que têm de apresentar descrições pormenorizadas dos seus sistemas e controlos, bem como um longo processo de avaliação com muitas perguntas.

    O exame da descrição do sistema e da adequação da concepção e da eficácia operacional dos controlos implica o seguinte

    • Obter uma compreensão do sistema, dos compromissos e dos requisitos de serviço
    • Avaliação dos riscos de a descrição não ser apresentada de acordo com os critérios de descrição e de os controlos não terem sido adequadamente concebidos ou não funcionarem eficazmente
    • Efectuar procedimentos para obter provas de que a descrição é apresentada de acordo com os critérios de descrição;
    • Realização de procedimentos para obter provas sobre se os controlos indicados na descrição foram adequadamente concebidos para fornecer uma garantia razoável de que a organização de serviços cumpriu os seus compromissos de serviço e requisitos de sistema com base nos critérios aplicáveis aos serviços de confiança;
    • Testar a eficácia operacional dos controlos indicados na descrição para fornecer uma garantia razoável de que a organização de serviços cumpriu os seus compromissos de serviço e requisitos de sistema com base nos critérios aplicáveis aos serviços de confiança; e
    • Avaliar a apresentação global da descrição.

    O objectivo da auditoria SOC 2 é responder às seguintes perguntas sobre os sistemas da empresa sujeita no que diz respeito aos 5 “princípios de confiança”:

    Segurança

    segurança dos dados

     

    • O sistema está protegido contra o acesso não autorizado (tanto físico como lógico)?

    Disponibilidade

    • O sistema está disponível para funcionamento e utilização de acordo com o compromisso assumido ou acordado (por exemplo, através de um SLA)?

    Integridade do processamento

    • O sistema cumpre o seu objectivo (ou seja, fornece os dados certos, ao preço certo e no momento certo)?
    • O processamento de dados é completo, válido, exacto, atempado e autorizado?

    Confidencialidade

    • As informações designadas como confidenciais estão protegidas de acordo com o compromisso assumido ou acordado?
    • O acesso e a divulgação de informações confidenciais estão limitados a determinadas pessoas ou organizações?
    • Foram adoptadas medidas adequadas, como firewalls de rede e de aplicações, para proteger a confidencialidade dos dados?

    Privacidade

    • A recolha, utilização, retenção, divulgação e eliminação de informações pessoais pelo sistema estão em conformidade com a política de privacidade da organização?
    • Está em conformidade com os princípios de privacidade geralmente aceites (GAPP) do AICPA?

    Requisitos da regra de segurança da HIPAA

    O sistema BI360 e os controlos aplicáveis estão em conformidade com os requisitos da Regra de Segurança HIPAA aplicáveis, definidos na Lei de Portabilidade e Responsabilidade das Informações de Saúde do Departamento de Saúde e Serviços Humanos dos EUA (HHS).

    Qual é a diferença entre SOC2 Tipo I e SOC 2 Tipo II?

    Os relatórios SOC 2 são de dois tipos: Tipo I e Tipo II.

    • O SOC 2 Tipo I descreve os sistemas da empresa auditada e se a sua concepção é adequada aos princípios de confiança relevantes.
    • O SOC 2 Tipo II, para além de descrever os sistemas, avalia a sua eficácia operacional.

    SOC 2 Tipo II no Userpilot

    Logótipo BARR Advisory

     

    A auditoria SOC 2 da Userpilot foi realizada pela Barr Advisory, um órgão de consultoria de segurança e conformidade baseado em nuvem confiável. A Barr é uma consultora de confiança de algumas das organizações baseadas na nuvem que mais crescem em todo o mundo e simplifica a conformidade em vários requisitos regulamentares e de clientes em sectores altamente regulamentados, incluindo tecnologia, serviços financeiros, cuidados de saúde e governo.

    O exame SOC 2 foi efectuado de acordo com as normas de certificação estabelecidas pelo American Institute of Certified Public Accountants.

    O exame SOC 2 Tipo II do Userpilot foi realizado entre 1 de janeiro de 2021 e 31 de março de 2021.

    A auditoria concluiu a total conformidade com os princípios de confiança SOC 2.

    Vantagens da utilização de prestadores de serviços com certificação SOC 2 Tipo II

    Logótipo do certificado SOC 2

     

    Agora, pode perguntar-se – “Ok, então a Userpilot obteve a certificação SOC 2 Tipo II. Mas o que é que eu ganho com isso?”. Existem várias razões pelas quais a utilização de fornecedores certificados SOC2 Tipo II é uma boa ideia para a sua empresa:

    O SOC 2 ajuda-o a evitar violações inadvertidas de dados por terceiros

    protecção contra violação de dados VPN

     

    Em 2021, os dados são o novo ouro negro. Como o seu recurso mais precioso, faz tudo para o proteger de hackers, spammers e outros cibercriminosos. Mas e se os seus fornecedores de serviços terceiros não o fizerem? Utilizar apenas fornecedores SOC-2 Tipo II significa que pode dormir descansado à noite e não se preocupar com fugas ou violações de dados através dos serviços de terceiros que está a utilizar!

    Evita acções judiciais

    aviso de falência

     

    Escusado será dizer que a fuga de dados dos seus utilizadores através de uma lacuna de um fornecedor de serviços terceiro e a consequente instauração de um processo judicial é o maior pesadelo de qualquer proprietário de uma empresa SaaS. Uma acção judicial colectiva pode significar a ruína financeira e a falência da sua empresa. Para se proteger desta situação, é necessário não só ter os mais elevados padrões de segurança na sua empresa, mas também utilizar apenas fornecedores de serviços terceiros com certificação SOC 2 Tipo II.

    Mantém a reputação da marca

    Uma acção judicial contra a sua empresa pode prejudicar não só as suas finanças, mas também a reputação da sua marca – o que é muito mais difícil de recuperar. Esta é outra razão para escolher apenas os fornecedores de serviços que levam a protecção de dados extremamente a sério.

    Ganha uma vantagem competitiva e uma maior confiança junto dos seus clientes

    aperto de mão confiança SOC 2

     

    Muitos clientes, especialmente os clientes empresariais estabelecidos, exigem as mais elevadas medidas de segurança de dados dos seus potenciais fornecedores. Garantir que os seus clientes mais valiosos utilizam apenas prestadores de serviços com certificação SOC 2 Tipo II pode ajudá-lo a ganhar confiança, uma vantagem sobre outras empresas e a obter mais negócios empresariais!

    O que é que a certificação SOC 2 da Userpilot significa para si na prática?

    A Userpilot, enquanto plataforma de crescimento de produtos que analisa o comportamento dos seus utilizadores na aplicação, permite-lhe segmentar os seus utilizadores e criar experiências de onboarding personalizadas para eles, bem como recolher os seus sentimentos e opiniões através de NPS e micro-inquéritos – recolhe muitos dados dos utilizadores. É extremamente importante para nós fazer com que se sinta confiante de que os seus dados de utilizador estão em boas mãos – e não são tomados de ânimo leve. Foi por isso que decidimos submeter-nos ao processo de auditoria e certificação SOC2.

    Graças a isto, pode agora ter a certeza de que o Userpilot:

    • tem controlo de acesso através de encriptação de ponta a ponta e autenticação de dois factores. Pode obter mais informações sobre as tecnologias utilizadas para garantir a segurança dos dados num relatório emitido por um auditor independente de renome.
    • utiliza firewalls de rede e de aplicação
    • dispõe de mecanismos de detecção de intrusões
    • utiliza ferramentas de controlo do desempenho
    • utiliza ferramentas de recuperação de desastres
    • dispõe de procedimentos de tratamento de incidentes de segurança
    • utiliza procedimentos de garantia de qualidade e de controlo dos processos

    Os clientes actuais e potenciais interessados numa cópia do nosso relatório SOC 2 Tipo II podem contactar [email protected] para obter mais informações.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    Este campo é para fins de validação e não deve ser alterado.

    You might also be interested in ...