Updates

Userpilot är nu SOC 2 typ II-certifierad! Läs mer om våra standarder för informationssäkerhet

December 28, 2021

8 min read

CONTENTS

    SOC 2 typ II är en av de högsta informationssäkerhetsstandarderna för SaaS-företag. På Userpilot vet vi hur viktigt informationssäkerheten är för ditt företag. Därför har Userpilot utsatt sig för en sträng datasäkerhetsrevision av en oberoende revisor. För att säkerställa att våra informationssäkerhetsåtgärder är av högsta standard har vi granskats av Barr Advisory och tilldelats SOC 2 Type II-certifikatet.

    Userpilot är en plattform för produktutveckling som gör det möjligt att analysera användarnas beteende i produkten, skapa personliga upplevelser i appen för dem för att förbättra deras produktupplevelse samt samla in deras känslor och åsikter via NPS och mikroundersökningar. Självfallet behandlar vi en hel del användardata och tar datasäkerhetsfrågorna på största allvar.

    Låt oss undersöka vad SOC 2 typ II är, varför det är viktigt och vad Userpilots nya certifiering innebär för ditt företag.

    Sammanfattning

    • SOC 2 är ett granskningsförfarande av AICPA som säkerställer säkerheten för behandling av kunduppgifter hos tredjepartstjänsteleverantörer.
    • SOC 2-certifiering bygger på att tjänsteleverantörerna uppfyller de fem “principerna för betrodda tjänster”: säkerhet, tillgänglighet, behandlingsintegritet, konfidentialitet och integritet.
    • SOC 2-revision innebär att revisionsorganet besöker det granskade företaget och observerar dess system och deras effektivitet i en kontrollerad miljö under en period på 3-9 månader för att kontrollera hur företagets system uppfyller de fem principerna för tjänsteförtroende.
    • SOC 2 typ I bedömer endast beskrivningen av företagets system. SOC 2 typ II utvärderar dessutom dess operativa effektivitet.
    • Userpilots SOC 2-revision utfördes av Barr Advisory, ett pålitligt rådgivande organ för molnbaserad säkerhet och efterlevnad.
    • Fördelarna med att välja SOC 2 Typ II-certifierade tjänsteleverantörer som Userpilot är bland annat: förebyggande av dataintrång, skydd mot stämningar och konkurser, ökad trovärdighet och pålitlighet samt större chans att avsluta affärer med företag.
    • Userpilots nuvarande och framtida kunder kan nu vara säkra på kvaliteten på deras dataskyddsmekanismer och kan ta del av alla detaljer i SOC 2-rapporten, som är tillgänglig på begäran.

    Vad är SOC 2

    SOC 2 är ett granskningsförfarande som utvecklats av American Institute of CPAs(AICPA) och som garanterar säkerheten för din databehandling av tredjepartstjänsteleverantörer, t.ex. SaaS- och molnföretag.

    SOC 2 definierar kriterier för hur tjänsteleverantörer ska hantera sina kunders uppgifter.

    Kriterierna bygger på fem “principer för förtroendetjänster”:

    1. säkerhet
    2. tillgänglighet
    3. Bearbetningsintegritet.
    4. sekretess
    5. integritet

    SOC 2 Typ II-kriterier för förtroende på Userpilot

     

    Varje organisation måste utforma sina egna kontrollförfaranden för att säkerställa att en eller flera av SOC2-principerna följs – därför kommer SOC2-rapporterna att vara olika för varje organisation.

    Rapporterna innehåller information om hur tjänsteleverantören hanterar sina klienters/kunders uppgifter. SOC2-revisioner och rapporter utförs av oberoende rådgivande organ.

    SOC 2-revisionsprocessen

    Revisionsorganet besöker det granskade företaget och observerar dess system och deras effektivitet i en kontrollerad miljö under en period på 3-9 månader. Detta omfattar möten på plats, diskussioner med ledningen som ansvarar för respektive system och som måste presentera detaljerade beskrivningar av sina system och kontroller, samt en långvarig utvärderingsprocess med många frågor.

    Granskningen av beskrivningen av systemet och lämpligheten av kontrollernas utformning och effektivitet omfattar följande:

    • Att få en förståelse för systemet, åtagandena och kraven på tjänsterna.
    • Bedömning av riskerna för att beskrivningen inte presenteras i enlighet med beskrivningskriterierna och att kontrollerna inte var lämpligt utformade eller inte fungerade effektivt.
    • Utföra förfaranden för att få bevis för att beskrivningen presenteras i enlighet med beskrivningskriterierna;
    • Utföra förfaranden för att få bevis för att kontrollera om de kontroller som anges i beskrivningen var lämpligt utformade för att ge rimlig säkerhet om att serviceorganisationen uppnådde sina serviceåtaganden och systemkrav baserat på de tillämpliga kriterierna för betrodda tjänster;
    • Testning av effektiviteten av de kontroller som anges i beskrivningen för att ge rimlig säkerhet om att tjänsteorganisationen uppnådde sina tjänsteåtaganden och systemkrav baserat på de tillämpliga kriterierna för betrodda tjänster, och,
    • Utvärdering av den övergripande presentationen av beskrivningen.

    Syftet med SOC 2-revisionen är att besvara följande frågor om systemen i det granskade företaget med avseende på de fem “förtroendeprinciperna”:

    Säkerhet

    Datasäkerhet.

     

    • Är systemet skyddat mot obehörig åtkomst (både fysiskt och logiskt)?

    Tillgänglighet

    • Är systemet tillgängligt för drift och användning enligt åtagande eller avtal (t.ex. genom ett SLA)?

    Integritet i bearbetningen

    • Uppfyller systemet sitt syfte (dvs. levererar rätt data till rätt pris och vid rätt tidpunkt)?
    • Är databehandlingen fullständig, giltig, korrekt, i rätt tid och auktoriserad?

    Konfidentialitet

    • Är de uppgifter som betecknas som konfidentiella skyddade enligt åtagandet eller överenskommelsen?
    • Är tillgången till och utlämnandet av konfidentiell information begränsad till vissa personer eller organisationer?
    • Finns det lämpliga åtgärder, t.ex. nätverks- och programbrandväggar, för att skydda datakonfidentialiteten?

    Integritet

    • Är systemets insamling, användning, lagring, utlämnande och bortskaffande av personlig information förenligt med organisationens sekretesspolicy?
    • Är den förenlig med AICPA:s allmänt accepterade principer för integritetsskydd (GAPP)?

    HIPAA:s säkerhetsbestämmelser

    BI360-systemet och tillämpliga kontroller är förenliga med de tillämpliga kraven i HIPAA Security Rule som anges i Health Information Portability and Accountability Act från det amerikanska hälsovårdsdepartementet (HHS).

    Vad är skillnaden mellan SOC2 typ I och SOC 2 typ II?

    SOC 2-rapporter finns i två typer: Typ I och Typ II.

    • SOC 2 typ I beskriver det granskade företagets system och huruvida deras utformning är lämplig för de relevanta förtroendeprinciperna.
    • SOC 2 typ II beskriver inte bara systemen utan bedömer även deras operativa effektivitet.

    SOC 2 typ II på Userpilot

    BARR rådgivande logotyp

     

    Userpilots SOC 2-revision utfördes av Barr Advisory , ett pålitligt rådgivande organ för molnbaserad säkerhet och efterlevnad. Barr är en betrodd rådgivare till några av de snabbast växande molnbaserade organisationerna runt om i världen och förenklar efterlevnad av flera olika lagstadgade krav och kundkrav i starkt reglerade branscher som teknik, finansiella tjänster, hälsovård och myndigheter.

    SOC 2-undersökningen genomfördes i enlighet med de intygsstandarder som fastställts av American Institute of Certified Public Accountants.

    Userpilots SOC 2 typ II-undersökning genomfördes mellan den 1 januari 2021 och den 31 mars 2021.

    Vid revisionen konstaterades att SOC 2-principerna för förtroende är helt uppfyllda.

    Fördelar med att använda SOC 2 typ II-certifierade tjänsteleverantörer

    Logotyp för SOC 2-certifikatet

     

    Nu kanske du undrar – “Okej, Userpilot har fått SOC 2 typ II-certifiering. Men vad får jag ut av det?”. Det finns flera anledningar till varför det är en bra idé för ditt företag att använda SOC2 Type II-certifierade leverantörer:

    SOC 2 hjälper dig att undvika oavsiktliga dataintrång av tredje part.

    skydd mot dataintrång VPN

     

    År 2021 är data det nya svarta guldet. Eftersom det är din mest värdefulla resurs gör du allt för att skydda den mot hackare, spammare och andra cyberbrottslingar. Men vad händer om dina tredjepartsleverantörer inte gör det? Att endast använda SOC-2 Typ II-leverantörer innebär att du kan sova gott om natten och inte behöver oroa dig för dataläckor eller överträdelser genom de tredjepartstjänster du använder!

    Du undviker stämningar

    meddelande om konkurs

     

    Det är onödigt att säga att det är alla SaaS-företagares största mardröm att användarnas uppgifter läcker genom en tredjepartsleverantörs kryphål och att de blir stämda till följd av detta. En grupptalan kan innebära ekonomisk ruin och konkurs för ditt företag. För att skydda dig mot detta måste du inte bara ha de högsta säkerhetsstandarderna i ditt företag utan också använda endast SOC 2 Typ II-certifierade tredjepartsleverantörer.

    Du upprätthåller varumärkets rykte

    En stämning mot ditt företag kan skada inte bara din ekonomi utan också ditt varumärke, vilket är mycket svårare att återställa. Detta är ytterligare en anledning att välja endast tjänsteleverantörer som tar dataskydd på största allvar.

    Du får en konkurrensfördel och ett högre förtroende hos dina kunder.

    Handskak förtroende SOC 2

     

    Många kunder, särskilt etablerade företagskunder, kräver de högsta datasäkerhetsåtgärderna av sina potentiella leverantörer. Genom att se till att dina mest värdefulla kunder endast använder SOC 2 Typ II-certifierade tjänsteleverantörer kan du vinna förtroende, få en fördel gentemot andra företag och vinna fler affärer!

    Vad innebär Userpilots SOC 2-certifiering för dig i praktiken?

    Userpilot är en plattform för produktutveckling som analyserar användarnas beteende i appen, gör det möjligt att segmentera användarna och bygga personliga introduktionsupplevelser för dem, samt samla in deras känslor och åsikter via NPS och mikroundersökningar – och samlar in en hel del användardata. Det är oerhört viktigt för oss att få dig att känna dig säker på att dina användardata är i goda händer – och att de inte tas lättvindigt. Det är därför vi bestämde oss för att genomgå SOC2-revisionen och certifieringsprocessen.

    Tack vare detta kan du nu vara säker på att Userpilot:

    • har åtkomstkontroll via kryptering från början till slut och tvåfaktorsautentisering. Du kan få mer information om den teknik som används för att garantera datasäkerheten i en rapport som utfärdats av en välrenommerad, oberoende revisor.
    • använder nätverks- och programbrandväggar
    • har mekanismer för upptäckt av intrång på plats
    • använder verktyg för övervakning av prestanda
    • använder verktyg för katastrofåterställning
    • har rutiner för hantering av säkerhetsincidenter
    • använder förfaranden för kvalitetssäkring och processövervakning

    Nuvarande och potentiella kunder som är intresserade av en kopia av vår SOC 2 Type II-rapport kan kontakta [email protected] för att få mer information.

    previous post next post

    Leave a comment

    Get The Insights!

    The fastest way to learn about Product Growth,
    Management & Trends.

    This field is for validation purposes and should be left unchanged.

    You might also be interested in ...