Updates

Userpilot теперь сертифицирован по SOC 2 Type II! Узнайте о наших стандартах информационной безопасности

28 декабря, 2021

1 min read

CONTENTS

    SOC 2 Type II – один из самых высоких стандартов информационной безопасности, доступных для SaaS-компаний. В Userpilot мы знаем, насколько важна информационная безопасность для вашей компании. Именно поэтому Userpilot подверг себя строгой проверке безопасности данных независимым аудитором. Для того чтобы убедиться в том, что наши меры информационной безопасности соответствуют самым высоким стандартам, мы прошли аудит компании Barr Advisory и получили сертификат SOC 2 Type II.

    Userpilot – это платформа для роста продукта, которая позволяет анализировать поведение пользователей внутри вашего продукта, создавать для них персонализированный опыт в приложении, чтобы улучшить их впечатления от продукта, а также собирать их настроения и мнения с помощью NPS и микроопросов. Нет необходимости говорить о том, что мы обрабатываем большое количество данных пользователей и относимся к вопросам безопасности данных очень серьезно.

    Давайте рассмотрим, что такое SOC 2 Type II, почему он важен и что означает новая сертификация Userpilot для вашей компании.

    Резюме

    • SOC 2 – это процедура аудита AICPA, обеспечивающая безопасность обработки клиентских данных сторонними поставщиками услуг.
    • Сертификация SOC 2 основана на соблюдении поставщиками услуг 5 “принципов доверительного обслуживания”: безопасность, доступность, целостность обработки, конфиденциальность и приватность.
    • Аудит SOC 2 предполагает посещение аудиторским органом проверяемой компании и наблюдение за ее системами и их эффективностью в контролируемой среде в течение 3-9 месяцев, чтобы проверить, насколько системы компании соответствуют 5 принципам доверия к услугам.
    • SOC 2 Тип I оценивает только описание систем компании. SOC 2 Type II дополнительно оценивает его операционную эффективность.
    • Аудит SOC 2 компании Userpilot был проведен компанией Barr Advisory, доверенным консультационным органом по вопросам безопасности и соответствия облачным технологиям.
    • Преимущества выбора поставщиков услуг, сертифицированных по стандарту SOC 2 Type II, таких как Userpilot, включают: предотвращение утечки данных, защиту от судебных исков и банкротства, повышение авторитета и надежности, а также увеличение шансов на заключение корпоративных сделок.
    • Нынешние и будущие клиенты Userpilot теперь могут быть уверены в качестве механизмов защиты данных и узнать все подробности из отчета SOC 2, доступного по запросу.

    Что такое SOC 2

    SOC 2 – это процедура аудита, разработанная Американским институтом CPA(AICPA), которая обеспечивает безопасность обработки ваших данных сторонними поставщиками услуг, такими как SaaS и облачные компании.

    SOC 2 определяет критерии того, как поставщики услуг должны управлять данными своих клиентов.

    Критерии основаны на пяти “принципах доверительного обслуживания”:

    1. безопасность
    2. наличие
    3. целостность обработки
    4. конфиденциальность
    5. конфиденциальность

    Критерии доверия SOC 2 Тип II на Userpilot

     

    Каждая организация должна разработать свои собственные процедуры контроля для обеспечения соответствия одному или нескольким принципам доверия SOC2 – поэтому отчеты SOC2 будут разными для каждой организации.

    В отчетах содержится информация о том, как поставщик услуг управляет данными своих клиентов/заказчиков. Аудиты и отчеты по SOC2 проводятся независимыми консультативными органами.

    Процесс аудита SOC 2

    Аудиторский орган посещает проверяемую компанию и наблюдает за ее системами и их эффективностью в контролируемой среде в течение 3-9 месяцев. Это включает в себя встречи на местах, беседы с руководством, ответственным за соответствующие системы, которое должно представить подробное описание своих систем и средств контроля, а также длительный процесс оценки с большим количеством вопросов.

    Изучение описания системы и пригодности дизайна и операционной эффективности средств контроля включает следующее:

    • Получение представления о системе, обязательствах и требованиях к услугам
    • Оценка рисков того, что описание не представлено в соответствии с критериями описания и что средства контроля не были надлежащим образом разработаны или не действовали эффективно
    • Выполнение процедур для получения доказательств того, что описание представлено в соответствии с критериями описания;
    • Выполнение процедур для получения доказательств того, были ли средства контроля, указанные в описании, надлежащим образом разработаны для обеспечения разумной уверенности в том, что сервисная организация выполнила свои обязательства по предоставлению услуг и системные требования на основе применимых критериев доверительных услуг;
    • Проверка операционной эффективности средств контроля, указанных в описании, для обеспечения разумной уверенности в том, что сервисная организация выполнила свои обязательства по предоставлению услуг и системные требования на основе применимых критериев доверительных услуг; и,
    • Оценка общего представления описания.

    Цель аудита SOC 2 – ответить на следующие вопросы о системах в проверяемой компании в отношении 5 “принципов доверия”:

    Безопасность

    безопасность данных

     

    • Защищена ли система от несанкционированного доступа (как физического, так и логического)?

    Доступность

    • Доступна ли система для эксплуатации и использования в соответствии с обязательствами или договоренностями (например, SLA)?

    Целостность обработки

    • Достигает ли система своей цели (т.е. предоставляет ли она нужные данные по нужной цене в нужное время)?
    • Является ли обработка данных полной, действительной, точной, своевременной и авторизованной?

    Конфиденциальность

    • Защищена ли информация, обозначенная как конфиденциальная, в соответствии с обязательствами или договоренностями?
    • Ограничен ли доступ к конфиденциальной информации и ее раскрытие определенными людьми или организациями?
    • Применяются ли соответствующие меры, такие как сетевые и прикладные брандмауэры, для защиты конфиденциальности данных?

    Конфиденциальность

    • Соответствует ли сбор, использование, хранение, раскрытие и уничтожение личной информации в системе политике конфиденциальности организации?
    • Соответствует ли она общепринятым принципам конфиденциальности AICPA (GAPP)?

    Требования правила безопасности HIPAA

    Система BI360 и применимые средства контроля соответствуют применимым требованиям Правила безопасности HIPAA, изложенным в Законе о переносимости и подотчетности медицинской информации Министерства здравоохранения и социальных служб США (HHS).

    В чем разница между SOC2 Тип I и SOC 2 Тип II?

    Отчеты SOC 2 бывают двух типов: Тип I и Тип II.

    • SOC 2 Тип I описывает системы аудируемой компании и то, соответствует ли их конструкция соответствующим принципам доверия.
    • SOC 2 Type II, помимо описания систем, оценивает их операционную эффективность.

    SOC 2 Тип II на Userpilot

    Логотип консультативной службы БАРР

     

    Аудит SOC 2 компании Userpilot был проведен компанией Barr Advisory, доверенным облачным консультационным органом по вопросам безопасности и соответствия нормативным требованиям. Barr является надежным консультантом для самых быстрорастущих облачных организаций по всему миру и упрощает соблюдение многочисленных нормативных требований и требований клиентов в отраслях с высоким уровнем регулирования, включая технологии, финансовые услуги, здравоохранение и государственное управление.

    Экспертиза SOC 2 была проведена в соответствии со стандартами аттестации, установленными Американским институтом сертифицированных общественных бухгалтеров.

    Экспертиза SOC 2 Type II компании Userpilot проводилась в период с 1 января 2021 года по 31 марта 2021 года.

    Аудит показал полное соответствие принципам доверия SOC 2.

    Преимущества использования услуг поставщиков, сертифицированных по стандарту SOC 2 Type II

    Логотип сертификата SOC 2

     

    Теперь вы можете задаться вопросом: “Хорошо, Userpilot получил сертификат SOC 2 Type II. Но что это даст мне?”. Существует несколько причин, по которым использование сертифицированных поставщиков услуг SOC2 Type II является хорошей идеей для вашего бизнеса:

    SOC 2 поможет вам избежать непреднамеренной утечки данных третьими лицами

    защита от утечки данных VPN

     

    В 2021 году данные – это новое черное золото. Поскольку это ваш самый ценный ресурс, вы делаете все, чтобы защитить его от хакеров, спамеров и других киберпреступников. Но что, если ваши сторонние поставщики услуг этого не делают? Использование только поставщиков услуг SOC-2 Type II означает, что вы можете спать спокойно и не беспокоиться об утечке или нарушении данных через сторонние сервисы, которые вы используете!

    Вы избежите судебных исков

    уведомление о банкротстве

     

    Нет необходимости говорить о том, что утечка данных ваших пользователей через лазейку стороннего поставщика услуг и судебное разбирательство в результате – это самый большой кошмар каждого владельца SaaS-бизнеса. Коллективный иск может означать финансовое разорение и банкротство для вашего бизнеса. Чтобы защитить себя от этого, необходимо не только иметь самые высокие стандарты безопасности в своей компании, но и использовать только сертифицированных по SOC 2 Type II сторонних поставщиков услуг.

    Вы поддерживаете репутацию бренда

    Судебный иск против вашей компании может нанести ущерб не только вашим финансам, но и репутации вашего бренда, восстановить которую гораздо сложнее. Это еще одна причина, по которой следует обращаться только к тем поставщикам услуг, которые очень серьезно относятся к защите данных.

    Вы получаете конкурентное преимущество и повышаете доверие со стороны своих клиентов

    доверие к рукопожатию SOC 2

     

    Многие заказчики, особенно состоявшиеся корпоративные клиенты, требуют от своих потенциальных поставщиков самых высоких мер безопасности данных. Убедившись, что ваши самые ценные клиенты пользуются услугами только сертифицированных поставщиков услуг SOC 2 Type II, вы сможете завоевать доверие, получить преимущество перед другими компаниями и выиграть больше корпоративных сделок!

    Что означает для вас сертификация Userpilot по стандарту SOC 2 на практике?

    Userpilot, как платформа для роста продукта, которая анализирует поведение ваших пользователей в приложении, позволяет вам сегментировать пользователей и создавать для них персонализированный onboarding опыт, а также собирать их настроения и мнения с помощью NPS и микроопросов – собирает много пользовательских данных. Для нас чрезвычайно важно, чтобы вы чувствовали уверенность в том, что ваши пользовательские данные находятся в надежных руках – и к ним не относятся легкомысленно. Именно поэтому мы решили пройти процедуру аудита и сертификации SOC2.

    Благодаря этому вы можете быть уверены, что Userpilot:

    • имеет контроль доступа с помощью сквозного шифрования и двухфакторной аутентификации. Подробнее о технологиях, используемых для обеспечения безопасности данных, можно узнать из отчета, подготовленного авторитетным независимым аудитором.
    • использует сетевые и прикладные брандмауэры
    • имеет действующие механизмы обнаружения вторжений
    • использует средства мониторинга производительности
    • использует средства аварийного восстановления
    • имеет процедуры обработки инцидентов безопасности
    • использует процедуры обеспечения качества и мониторинга процессов

    Нынешние и потенциальные клиенты, заинтересованные в копии нашего отчета SOC 2 Type II, могут обратиться по адресу [email protected] для получения более подробной информации.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    Это поле используется для проверочных целей, его следует оставить без изменений.

    You might also be interested in ...