SOC 2 Type II – один из самых высоких стандартов информационной безопасности, доступных для SaaS-компаний. В Userpilot мы знаем, насколько важна информационная безопасность для вашей компании. Именно поэтому Userpilot подверг себя строгой проверке безопасности данных независимым аудитором. Для того чтобы убедиться в том, что наши меры информационной безопасности соответствуют самым высоким стандартам, мы прошли аудит компании Barr Advisory и получили сертификат SOC 2 Type II.
Userpilot – это платформа для роста продукта, которая позволяет анализировать поведение пользователей внутри вашего продукта, создавать для них персонализированный опыт в приложении, чтобы улучшить их впечатления от продукта, а также собирать их настроения и мнения с помощью NPS и микроопросов. Нет необходимости говорить о том, что мы обрабатываем большое количество данных пользователей и относимся к вопросам безопасности данных очень серьезно.
Давайте рассмотрим, что такое SOC 2 Type II, почему он важен и что означает новая сертификация Userpilot для вашей компании.
Резюме
- SOC 2 – это процедура аудита AICPA, обеспечивающая безопасность обработки клиентских данных сторонними поставщиками услуг.
- Сертификация SOC 2 основана на соблюдении поставщиками услуг 5 “принципов доверительного обслуживания”: безопасность, доступность, целостность обработки, конфиденциальность и приватность.
- Аудит SOC 2 предполагает посещение аудиторским органом проверяемой компании и наблюдение за ее системами и их эффективностью в контролируемой среде в течение 3-9 месяцев, чтобы проверить, насколько системы компании соответствуют 5 принципам доверия к услугам.
- SOC 2 Тип I оценивает только описание систем компании. SOC 2 Type II дополнительно оценивает его операционную эффективность.
- Аудит SOC 2 компании Userpilot был проведен компанией Barr Advisory, доверенным консультационным органом по вопросам безопасности и соответствия облачным технологиям.
- Преимущества выбора поставщиков услуг, сертифицированных по стандарту SOC 2 Type II, таких как Userpilot, включают: предотвращение утечки данных, защиту от судебных исков и банкротства, повышение авторитета и надежности, а также увеличение шансов на заключение корпоративных сделок.
- Нынешние и будущие клиенты Userpilot теперь могут быть уверены в качестве механизмов защиты данных и узнать все подробности из отчета SOC 2, доступного по запросу.
Что такое SOC 2
SOC 2 – это процедура аудита, разработанная Американским институтом CPA(AICPA), которая обеспечивает безопасность обработки ваших данных сторонними поставщиками услуг, такими как SaaS и облачные компании.
SOC 2 определяет критерии того, как поставщики услуг должны управлять данными своих клиентов.
Критерии основаны на пяти “принципах доверительного обслуживания”:
- безопасность
- наличие
- целостность обработки
- конфиденциальность
- конфиденциальность
Каждая организация должна разработать свои собственные процедуры контроля для обеспечения соответствия одному или нескольким принципам доверия SOC2 – поэтому отчеты SOC2 будут разными для каждой организации.
В отчетах содержится информация о том, как поставщик услуг управляет данными своих клиентов/заказчиков. Аудиты и отчеты по SOC2 проводятся независимыми консультативными органами.
Процесс аудита SOC 2
Аудиторский орган посещает проверяемую компанию и наблюдает за ее системами и их эффективностью в контролируемой среде в течение 3-9 месяцев. Это включает в себя встречи на местах, беседы с руководством, ответственным за соответствующие системы, которое должно представить подробное описание своих систем и средств контроля, а также длительный процесс оценки с большим количеством вопросов.
Изучение описания системы и пригодности дизайна и операционной эффективности средств контроля включает следующее:
- Получение представления о системе, обязательствах и требованиях к услугам
- Оценка рисков того, что описание не представлено в соответствии с критериями описания и что средства контроля не были надлежащим образом разработаны или не действовали эффективно
- Выполнение процедур для получения доказательств того, что описание представлено в соответствии с критериями описания;
- Выполнение процедур для получения доказательств того, были ли средства контроля, указанные в описании, надлежащим образом разработаны для обеспечения разумной уверенности в том, что сервисная организация выполнила свои обязательства по предоставлению услуг и системные требования на основе применимых критериев доверительных услуг;
- Проверка операционной эффективности средств контроля, указанных в описании, для обеспечения разумной уверенности в том, что сервисная организация выполнила свои обязательства по предоставлению услуг и системные требования на основе применимых критериев доверительных услуг; и,
- Оценка общего представления описания.
Цель аудита SOC 2 – ответить на следующие вопросы о системах в проверяемой компании в отношении 5 “принципов доверия”:
Безопасность
- Защищена ли система от несанкционированного доступа (как физического, так и логического)?
Доступность
- Доступна ли система для эксплуатации и использования в соответствии с обязательствами или договоренностями (например, SLA)?
Целостность обработки
- Достигает ли система своей цели (т.е. предоставляет ли она нужные данные по нужной цене в нужное время)?
- Является ли обработка данных полной, действительной, точной, своевременной и авторизованной?
Конфиденциальность
- Защищена ли информация, обозначенная как конфиденциальная, в соответствии с обязательствами или договоренностями?
- Ограничен ли доступ к конфиденциальной информации и ее раскрытие определенными людьми или организациями?
- Применяются ли соответствующие меры, такие как сетевые и прикладные брандмауэры, для защиты конфиденциальности данных?
Конфиденциальность
- Соответствует ли сбор, использование, хранение, раскрытие и уничтожение личной информации в системе политике конфиденциальности организации?
- Соответствует ли она общепринятым принципам конфиденциальности AICPA (GAPP)?
Требования правила безопасности HIPAA
Система BI360 и применимые средства контроля соответствуют применимым требованиям Правила безопасности HIPAA, изложенным в Законе о переносимости и подотчетности медицинской информации Министерства здравоохранения и социальных служб США (HHS).
В чем разница между SOC2 Тип I и SOC 2 Тип II?
Отчеты SOC 2 бывают двух типов: Тип I и Тип II.
- SOC 2 Тип I описывает системы аудируемой компании и то, соответствует ли их конструкция соответствующим принципам доверия.
- SOC 2 Type II, помимо описания систем, оценивает их операционную эффективность.
SOC 2 Тип II на Userpilot
Аудит SOC 2 компании Userpilot был проведен компанией Barr Advisory, доверенным облачным консультационным органом по вопросам безопасности и соответствия нормативным требованиям. Barr является надежным консультантом для самых быстрорастущих облачных организаций по всему миру и упрощает соблюдение многочисленных нормативных требований и требований клиентов в отраслях с высоким уровнем регулирования, включая технологии, финансовые услуги, здравоохранение и государственное управление.
Экспертиза SOC 2 была проведена в соответствии со стандартами аттестации, установленными Американским институтом сертифицированных общественных бухгалтеров.
Экспертиза SOC 2 Type II компании Userpilot проводилась в период с 1 января 2021 года по 31 марта 2021 года.
Аудит показал полное соответствие принципам доверия SOC 2.
Преимущества использования услуг поставщиков, сертифицированных по стандарту SOC 2 Type II
Теперь вы можете задаться вопросом: “Хорошо, Userpilot получил сертификат SOC 2 Type II. Но что это даст мне?”. Существует несколько причин, по которым использование сертифицированных поставщиков услуг SOC2 Type II является хорошей идеей для вашего бизнеса:
SOC 2 поможет вам избежать непреднамеренной утечки данных третьими лицами
В 2021 году данные – это новое черное золото. Поскольку это ваш самый ценный ресурс, вы делаете все, чтобы защитить его от хакеров, спамеров и других киберпреступников. Но что, если ваши сторонние поставщики услуг этого не делают? Использование только поставщиков услуг SOC-2 Type II означает, что вы можете спать спокойно и не беспокоиться об утечке или нарушении данных через сторонние сервисы, которые вы используете!
Вы избежите судебных исков
Нет необходимости говорить о том, что утечка данных ваших пользователей через лазейку стороннего поставщика услуг и судебное разбирательство в результате – это самый большой кошмар каждого владельца SaaS-бизнеса. Коллективный иск может означать финансовое разорение и банкротство для вашего бизнеса. Чтобы защитить себя от этого, необходимо не только иметь самые высокие стандарты безопасности в своей компании, но и использовать только сертифицированных по SOC 2 Type II сторонних поставщиков услуг.
Вы поддерживаете репутацию бренда
Судебный иск против вашей компании может нанести ущерб не только вашим финансам, но и репутации вашего бренда, восстановить которую гораздо сложнее. Это еще одна причина, по которой следует обращаться только к тем поставщикам услуг, которые очень серьезно относятся к защите данных.
Вы получаете конкурентное преимущество и повышаете доверие со стороны своих клиентов
Многие заказчики, особенно состоявшиеся корпоративные клиенты, требуют от своих потенциальных поставщиков самых высоких мер безопасности данных. Убедившись, что ваши самые ценные клиенты пользуются услугами только сертифицированных поставщиков услуг SOC 2 Type II, вы сможете завоевать доверие, получить преимущество перед другими компаниями и выиграть больше корпоративных сделок!
Что означает для вас сертификация Userpilot по стандарту SOC 2 на практике?
Userpilot, как платформа для роста продукта, которая анализирует поведение ваших пользователей в приложении, позволяет вам сегментировать пользователей и создавать для них персонализированный onboarding опыт, а также собирать их настроения и мнения с помощью NPS и микроопросов – собирает много пользовательских данных. Для нас чрезвычайно важно, чтобы вы чувствовали уверенность в том, что ваши пользовательские данные находятся в надежных руках – и к ним не относятся легкомысленно. Именно поэтому мы решили пройти процедуру аудита и сертификации SOC2.
Благодаря этому вы можете быть уверены, что Userpilot:
- имеет контроль доступа с помощью сквозного шифрования и двухфакторной аутентификации. Подробнее о технологиях, используемых для обеспечения безопасности данных, можно узнать из отчета, подготовленного авторитетным независимым аудитором.
- использует сетевые и прикладные брандмауэры
- имеет действующие механизмы обнаружения вторжений
- использует средства мониторинга производительности
- использует средства аварийного восстановления
- имеет процедуры обработки инцидентов безопасности
- использует процедуры обеспечения качества и мониторинга процессов
Нынешние и потенциальные клиенты, заинтересованные в копии нашего отчета SOC 2 Type II, могут обратиться по адресу [email protected] для получения более подробной информации.