Путь Courier к соответствию SOC 2 Type 2

Потребительство SaaS привело к массовому обращению с PII (личной информацией) в последние годы. Таким образом, безопасность и защита указанной PII стали основой качественного продукта SaaS, и Courier не исключение. В мире, где каждый раз, когда мы смотрим, возникает новая утечка данных, пользователи постоянно требуют прозрачности в отношении того, как будут обрабатываться их данные. Команды инженеров и разработчиков SaaS, которые заботятся о безопасности своих приложений, также стремятся удовлетворить этот спрос. Сегодня, сделав большой шаг к этой прозрачности, мы рады сообщить, что Courier теперь полностью совместим с SOC 2 Type 2.

Но что это значит? Безопасность программного обеспечения и соответствие требованиям постоянно развиваются и являются столь же сложной, сколь и важной темой. Поэтому мы хотели воспользоваться этой возможностью, чтобы немного рассказать о том, что значит быть совместимым с SOC 2 Type 2, почему это важно и как выглядело наше путешествие по пути сюда.

Почему Courier инвестировала в соответствие SOC 2

Миссия Courier состоит в том, чтобы сделать общение между программным обеспечением и человеком восхитительным, в настоящее время предоставляя превосходную инфраструктуру уведомлений. Уведомления о продуктах могут включать широкий спектр контента. Приложению для совместного использования может потребоваться включить информацию о местонахождении пользователя, чтобы обеспечить наилучшие впечатления, в то время как банковское приложение может отправлять уведомления с личной финансовой информацией.

Из-за конфиденциального характера многих уведомлений для нас и наших клиентов важно, чтобы Courier обеспечивал безопасность конфиденциальных данных и спокойствие для наших конечных пользователей.

Также стоит помнить, что компании SaaS, как правило, используют другие инструменты SaaS для создания своих собственных продуктов, которые должны быть раскрыты клиентам с помощью соглашений с субпроцессорами. Одним из требований соответствия SOC2 является обеспечение того, чтобы все ваши подпроцессоры также были совместимы с SOC2, поэтому это необходимый шаг для предоставления программного обеспечения многим другим инструментам SaaS.

Соответствие SOC — это один из способов, с помощью которого Courier, как и другие SaaS-компании, может заверить клиентов и конечных пользователей в том, что их данные остаются и будут оставаться максимально защищенными. Наличие отчета о контроле систем и организаций (SOC) показывает, что у нас есть важные меры безопасности, мы используем передовой опыт для предотвращения, обнаружения и устранения любых нарушений и будем прозрачны для наших клиентов в отношении того, как мы используем их информацию.

Почему все SaaS-компании должны быть совместимы с SOC 2 Type 2

Чтобы понять, какие шаги нужно предпринять, чтобы соответствовать SOC 2 Type 2, мы должны лучше понять множество отчетов SOC, которые может предоставить компания, и почему SOC 2 Type 2 является лучшим вариантом из всех.

Компания, отвечающая требованиям SOC 1, сообщает о мерах безопасности в отношении финансовой информации и целей. Соответствие SOC 2 выходит за рамки финансов и фокусируется на отчетах об элементах управления безопасностью, касающихся пяти принципов служб доверия (TSP), включая безопасность, доступность, целостность обработки, конфиденциальность и конфиденциальность. В последнее время наблюдается тенденция к созданию и распространению отчетов SOC 3 вместо более строгого отчета SOC 2. Отчет SOC 3 обычно создается во время аудита типа II и предназначен для общедоступного отчета, в котором описываются внутренние средства контроля, которые компания использует для соблюдения SOC на высоком уровне. Как правило, они не содержат достаточно информации, чтобы считаться заменой полного отчета Типа II, но могут предоставить третьей стороне общую информацию о политике компании без разглашения какой-либо конфиденциальной информации о внутреннем контроле.

Из-за детализации и глубины соответствия SOC 2 является лучшим вариантом для большинства компаний. Отчеты SOC 2 бывают двух типов: тип 1 и тип 2. Отчеты типа 1 генерируются быстрее и проще, поскольку они охватывают элементы управления безопасностью и их функции за один день. Их цель — показать, что средства контроля существуют, но не предоставить никакой информации о том, используются ли средства контроля на практике. Отчеты Типа 2, с другой стороны, состоят из годового периода аудита, требующего доказательств эффективной политики и контроля. . Хотя эти отчеты требуют больше времени и ресурсов, они также дают лучшее представление об эффективности способности компании обнаруживать и устранять уязвимости в системе безопасности.

Курьер хотел иметь возможность не только заявить о наших намерениях, но и доказать заинтересованным сторонам, что мы их выполняем, что позволит нам сделать отчет SOC 2 Type 2.

Как выглядел путь Courier к соблюдению требований?

Более года назад, когда Courier начала приобретать клиентов в отраслях с конфиденциальными данными, таких как финансовые услуги и здравоохранение, стало важно показать нашим клиентам, что их данные (и данные их клиентов) будут в надежных руках. Для этого, как и многие технологические компании на ранней стадии, мы сначала пошли на соответствие SOC 2 Type 1.

Чтобы соответствовать требованиям Типа I, нам нужно было разработать набор политик и средств контроля для нашей деловой практики, охватывающий ряд действий, от финансовой отчетности и найма до того, как мы отправляем код и храним данные. Мы использовали программную службу под названием Vanta, клиента Courier, для разработки этих политик и обеспечения соблюдения всего набора требований. После этого процесс был довольно простым — мы привлекли аудитора, чтобы он проверил наши политики и удостоверился, что мы соответствуем всем критериям соответствия Типу I. После завершения краткого аудита они подготовили для нас отчет SOC 2 типа I. Мы сделали это в ноябре 2020 года.

Поскольку соответствие Типу II требует прохождения годового аудита, нам пришлось ждать целый год, прежде чем мы смогли начать процесс. В декабре 2021 года мы начали сотрудничество с [Geels-Norton] (https://geelsnorton.com/#home), консультационной службой, которая является квалифицированным аудитором для SOC 2. Для завершения аудита они запросили и проанализировали доказательство от Courier, что мы эффективно применяли все необходимые политики и элементы управления для SOC 2. Некоторые примеры доказательств включали доказательство того, что мы применяли шифрование жесткого диска на всех устройствах, применяли многофакторную аутентификацию во всех инженерных системах и регулярно проводили встречи с наша доска. После того, как мы удовлетворительно завершили аудит, они выпустили отчет типа II для Courier.

Заключение

Путь к обеспечению того, чтобы мы делали все возможное для защиты данных наших клиентов, не заканчивается достижением соответствия Типу II. В дополнение к постоянному совершенствованию наших политик, чтобы следовать лучшим практикам в отрасли и внедрять их в культуру нашей компании по мере масштабирования, мы также работаем над соблюдением других стандартов соответствия, таких как HIPAA, чтобы мы могли поддерживать медицинские организации с их инфраструктурой связи с клиентами и ISO. 27001. Как поставщику базовой инфраструктуры для наших клиентов чрезвычайно важно, чтобы мы оставались на переднем крае методов обеспечения безопасности и по-прежнему стремимся завоевать их доверие.