Userpilot现在通过了SOC 2 Type II认证! 了解我们的信息安全标准

SOC 2 Type II是SaaS公司可用的最高信息安全标准之一。 在Userpilot，我们知道信息安全对你的公司是多么重要。 这就是为什么Userpilot要接受独立审计师严格的数据安全审计。 为了确保我们的信息安全措施达到最高标准–我们已经接受了巴尔咨询公司的审计，并获得了SOC 2 Type II证书。

Userpilot是一个产品成长平台，它允许你分析用户在产品内的行为，为他们创造个性化的应用内体验，以改善他们的产品体验，同时通过NPS和微调查收集他们的情绪和意见。 毋庸置疑，我们处理了大量的用户数据，并对数据安全问题极为重视。

让我们看看什么是SOC 2 Type II，为什么它很重要，以及Userpilot的新认证对你的公司意味着什么。

摘要

• SOC 2是AICPA的一个审计程序，确保第三方服务供应商处理客户数据的安全性。
• SOC 2认证是基于服务提供商满足5项 “信任服务原则”：安全性、可用性、处理完整性、保密性和隐私性。
• SOC 2审计涉及审计机构对被审计公司的访问，并在受控环境中观察其系统及其有效性，为期3-9个月，以检查该公司的系统如何满足5项服务信任原则。
• SOC 2第一类只评估公司系统的描述。 SOC 2 Type II还评估了其运营效率。
• Userpilot的SOC 2审计是由Barr Advisory进行的，Barr Advisory是值得信赖的基于云的安全和合规性咨询机构。
• 选择像Userpilot这样的SOC 2 Type II认证服务供应商的好处包括：防止数据泄露、诉讼和破产保护、提高信誉和可信度，以及提高完成企业交易的机会。
• Userpilot的现有和未来客户现在可以确定其日期保护机制的质量，并可以从SOC 2报告中了解所有细节，可根据要求提供。

什么是SOC 2

SOC 2是由美国注册会计师协会（AICPA）制定的审计程序，它确保第三方服务提供商（如SaaS和云计算公司）处理您的数据的安全性。

SOC 2定义了服务提供商应如何管理其客户的数据的标准。

这些标准是基于五项 “信任服务原则”：

1. 安全
2. 可用性
3. 加工完整性
4. 保密性
5. 隐私

每个组织都必须设计自己的控制程序，以确保符合SOC2的一项或多项信任原则–因此SOC2报告对每个组织来说都是不同的。

这些报告涵盖了关于服务提供商如何管理其客户/顾客的数据的信息。 SOC2审计和报告由独立咨询机构进行。

SOC 2审计过程

审计机构访问被审计公司，在受控环境中观察其系统及其有效性，为期3-9个月。 这包括现场会议，与负责各自系统的管理层进行讨论，他们需要对其系统和控制进行详细的描述，以及带有大量问题的漫长的评估过程。

对系统的描述以及控制措施的设计和运行效果的适宜性的审查涉及以下内容：

• 获得对系统、承诺和服务要求的理解
• 评估说明没有按照说明标准提出的风险，以及控制没有适当设计或没有有效运行的风险
• 执行程序以获得有关说明是否按照说明标准提出的证据；
• 执行程序，以获取有关描述中所述的控制是否经过适当设计，以合理保证服务组织根据适用的信托服务标准实现其服务承诺和系统要求的证据；
• 测试说明中所述控制措施的运行效果，以合理保证服务机构根据适用的信托服务标准实现其服务承诺和系统要求；以及、
• 评价描述的整体表现。

SOC 2审计的目的是根据5项 “信任原则 “回答有关被审计公司系统的下列问题：

安全问题

• 系统是否受到保护，防止未经授权的访问（包括物理和逻辑）？

可利用性

• 系统是否可以按照承诺或约定（例如通过SLA）进行操作和使用？

处理的完整性

• 该系统是否达到其目的（即在正确的时间以正确的价格提供正确的数据）？
• 数据处理是否完整、有效、准确、及时和授权？

保密性

• 被指定为机密的信息是否按照承诺或约定得到保护？
• 对机密信息的访问和披露是否只限于特定的人或组织？
• 是否有适当的措施，如网络和应用程序防火墙，以保护数据的机密性？

隐私

• 该系统对个人信息的收集、使用、保留、披露和处理是否符合组织的隐私政策？
• 它是否符合AICPA的普遍接受的隐私原则（GAPP）？

HIPAA安全规则要求

BI360系统和适用的控制措施符合美国卫生与公众服务部（HHS）《健康信息可携性和责任法案》中规定的适用HIPAA安全规则要求。

SOC2类型I和SOC2类型II之间有什么区别？

SOC 2报告有两种类型：第一类和第二类。

• SOC 2第一类描述了被审计公司的系统以及其设计是否适合相关的信托原则。
• SOC 2第二类，在描述系统的基础上，评估它们的运行效果。

在Userpilot的SOC 2类型II

Userpilot的SOC 2审计是由Barr Advisory 进行的，Barr Advisory是 一家值得信赖的基于云的安全和合规咨询机构。 巴尔是全球一些发展最快的基于云的组织所信赖的顾问，并简化了包括技术、金融服务、医疗保健和政府等高度管制行业的多种监管和客户要求的合规性。

SOC 2检查是按照美国注册会计师协会制定的验证标准进行的。

Userpilot的SOC 2类型II检查是在2021年1月1日至2021年3月31日期间进行的。

审计结论是完全符合SOC 2的信任原则。

使用SOC 2第二类认证服务供应商的好处

现在，你可能会想–“好吧，Userpilot获得了SOC 2 Type II认证。但这对我有什么好处呢？”。 使用SOC2类型II认证的供应商对你的企业来说是一个好主意，有几个原因：

SOC 2帮助你避免第三方不经意间的数据泄露

在2021年，数据是新的黑金。 作为你最宝贵的资源，你尽一切努力保护它不受黑客、垃圾邮件发送者和其他网络犯罪分子的侵害。 但如果你的第三方服务供应商不这样做呢？ 只使用SOC-2第二类供应商意味着你可以在晚上睡个好觉，不用担心通过你所使用的第三方服务出现任何数据泄露或漏洞

你避免了法律诉讼

不用说–通过第三方服务提供商的漏洞泄露你的用户数据，并因此被起诉，是每个SaaS企业主的最大噩梦。 集体诉讼对你的企业来说可能意味着财务毁灭和破产。 为了保护自己不受影响，你不仅需要在你的公司有最高的安全标准，而且只使用经过SOC 2 Type II认证的第三方服务供应商。

你维护了品牌声誉

针对你的公司的诉讼不仅会损害你的财务，也会损害你的品牌声誉–这就更难恢复。 这也是只与那些极其认真对待数据保护的服务提供商合作的另一个原因。

你获得了竞争优势和更高的客户信任度

很多客户，特别是成熟的企业客户，要求他们的潜在供应商提供最高的数据安全措施。 确保你最有价值的客户只使用经过SOC 2 Type II认证的服务供应商，可以帮助你获得信任，比其他公司更有优势，并赢得更多的企业交易!

Userpilot的SOC 2认证在实践中对你意味着什么？

Userpilot作为一个产品成长平台，可以分析用户的应用内行为，让你对用户进行细分，为他们建立个性化的入职体验，并通过NPS和微调查收集他们的情绪和意见–收集大量的用户数据。 对我们来说，让您确信您的用户数据被妥善保管是极其重要的–而且不会被轻视。 这就是为什么我们决定让自己接受SOC2审计和认证过程。

由于这一点，你现在可以确信，Userpilot：

• 有通过端到端加密和双因素认证的访问控制。 你可以在著名的独立审计师出具的报告中了解更多关于用于确保数据安全的技术。
• 使用网络和应用程序防火墙
• 已有入侵检测机制
• 使用性能监测工具
• 使用灾难恢复工具
• 制定了安全事件处理程序
• 使用质量保证和过程监测程序

对我们的SOC 2类型II报告感兴趣的现有和潜在客户可以联系[email protected]，以获得更多细节。