SOC2-vaatimustenmukaisuuden merkitys sähköpostin todentamisessa

touko 11, 2023
11

Sähköpostilistan puhdistaminen manuaalisesti, kun siinä on "vain" noin 100 sähköpostiosoitetta, voi olla aika aikaa vievää. 

sovi tapaaminen

Mutta entä jos sinulla on tuhansia osoitteita tutkittavana? Silloin on lähes mahdotonta tarkistaa kaikki listalla olevat toimimattomat tai virheelliset osoitteet - ellet käytä sähköpostilistan tarkistustyökalua.

Et kuitenkaan halua mitä tahansa työkalua, vaan haluat käyttää sähköpostin validointityökalua, joka on SOC2-vaatimusten mukainen.

Mikä on SOC2 ja miten se voi suojata sähköpostilistasi sisältämiä tietoja? Artikkelistamme löydät kaiken, mitä sinun tarvitsee tietää siitä.

Sisällysluettelo

SOC2-vaatimustenmukaisuuden ymmärtäminen 

Ennen kuin siirrymme siihen, miten SOC2-yhteensopivat sähköpostipalveluntarjoajat voivat taata turvallisuutesi. sähköpostilistameidän on tiedettävä, mikä SOC2 on. 

Mikä on SOC2-standardi?

SOC 2 (Systems and Organization Controls 2) on joukko palveluorganisaatioiden kyberturvallisuus- ja tietosuojastandardeja. American Institute of Certified Public Accountants (AICPA) kehitti vaatimukset vuonna 2010 määrittelemään, miten palveluntarjoajien olisi hallittava, säilytettävä ja suojattava asiakastietoja tietoturvariskien ja vaaratilanteiden minimoimiseksi.

Vaikka SOC2-vaatimustenmukaisuus on edelleen "vain" vapaaehtoinen standardi, yhä useammat palveluntarjoajat hakeutuvat tietoturvatarkastukseen suojellakseen palveluitaan ja asiakkaitaan tietoturvaloukkauksilta.

Esimerkiksi A-lign-tutkimuksessa, 47% vastaajista sanoi, että SOC2-auditointi oli heidän liiketoimintansa kannalta tärkein auditointi.

SOC2-auditointeja on kahdenlaisia:

  • Tyypin 1 aikana, riippumaton tilintarkastaja tarkastaa ja analysoi tiettyjä liiketoimintakäytäntöjä ja prosesseja sen selvittämiseksi, kuinka hyvin ne täyttävät asiaankuuluvien luottamusperiaatteiden vaatimukset.
  • Tyyppi 2 tarkastellaan samoja prosesseja, mutta tietyn ajanjakson, yleensä 6-12 kuukauden, aikana.

Mitkä ovat SOC2-vaatimustenmukaisuuden viisi luottamuspalvelukriteeriä (TSC)?

SOC2-kehys koostuu viidestä luottamuspalvelukriteeristä (Trust Services Criteria, TSC), jotka ovat:

  • Turvallisuus
  • Saatavuus
  • Luottamuksellisuus
  • Käsittelyn eheys
  • Yksityisyys

Turvallisuus (kutsutaan myös nimellä Yhteiset perusteet) on pakollinen kaikille yrityksille, jotka haluavat suorittaa SOC2-auditoinnin. Muut ovat valinnaisia, joten yritykset voivat hakea vain niille tärkeisiin auditointiluokkiin.

Esimerkiksi Bouncerissa otimme tarkastuksessa huomioon palvelun saatavuuden ja tietojen luottamuksellisuuden.

 Tarkastellaan nyt tarkemmin luottamuspalvelun periaatteita.

Turvallisuus (yhteiset kriteerit)

Turvallisuusauditoinneissa tarkastellaan koko organisaation tietoturvan ja vaatimustenmukaisuuden tasoa:

  • Turvallisuusmenettelyt ja -politiikat
  • Suojaus luvattomalta käytöltä tai tietojen väärinkäytöltä
  • Käyttäjän käyttöoikeusasetukset
  • Turvallisuusominaisuuksien käyttöönotto (palomuuri, salaus, monitekijätodennus jne.).
  • Yrityksen menettelyt tietoturvaloukkausten tai -poikkeamien varalta jne.

 

Varsinainen luettelo tarkastusvaatimuksista on kuitenkin paljon pidempi. Tyypillisen tietoturva-auditoinnin aikana SOC2-tarkastaja arvioi 80-100 tietoturvakontrollia kattaakseen kaikki paikat, joissa vaaratilanne voi tapahtua. 

Löydät yksityiskohtainen luettelo turvallisuusvaatimuksista AICPA:n verkkosivuilla.

 Saatavuus

SOC2-tarkastuksen toinen kategoria on käytettävyys, mikä tarkoittaa palvelun käytettävyyden ja suorituskyvyn tarkastelua. Tilintarkastaja tarkastaa myös:

  • Mitä palautumiskäytäntöjä organisaatiossa on käytössä
  • Kuinka usein ne luovat varmuuskopioita
  • Mitä menetelmiä ne käyttävät palvelun suorituskyvyn ja laadun seurantaan?
  • Onko niillä menettelyjä tietoturvaloukkausten käsittelyä varten?

Luottamuksellisuus

Luottamuksellisuustarkastuksen aikana SOC2-tarkastajat tarkastavat, miten palveluorganisaatiot säilyttävät asiakastietoja (erityisesti arkaluonteisia ja luottamuksellisia tietoja) ja miten hyvin ne on suojattu.

Yritykset, jotka tallentavat tietoja, jotka on suojattu salassapitosopimuksilla (NDA), tai joiden asiakkaat vaativat, että heidän tietonsa poistetaan sopimuksen päättymisen jälkeen, sisällyttävät usein myös tämän luokan tarkastukseensa.

Käsittelyn eheys

Käsittelyn eheyden tarkastuksessa tarkastetaan, ovatko organisaation järjestelmään lisätyt ja käsitellyt tiedot luotettavia ja virheettömiä. Tarkastaja tarkastaa myös, miten järjestelmän sisällä olevia tietoja käsitellään - esimerkiksi, mikä osa niistä katoaa tai turmeltuu käsittelyn aikana. 

Ne mittaavat myös sitä, kuinka kauan kestää, ennen kuin käsitellyt tiedot ovat valmiita käytettäviksi, ja kuinka yritys ratkaisee mahdolliset käsittelyyn liittyvät ongelmat. 

Yksityisyys

Tämän osan aikana SOC2-tarkastaja analysoi, miten PII (henkilökohtaisesti tunnistettavat tiedot) kerätään, tallennetaan ja suojataan tietoturvaloukkauksilta tai väärinkäytöksiltä. 

Yksityisyyden suojaa koskevat kriteerit saattavat vaikuttaa samanlaisilta kuin luottamuksellisuutta koskevat kriteerit, mutta niissä on kuitenkin yksi merkittävä ero. Luottamuksellisuusvaatimukset liittyvät kaikenlaiseen arkaluonteiseen aineistoon, jota yritys saattaa tallentaa, kun taas yksityisyys koskee vain PII-tietoja (kuten syntymäaikoja tai sosiaaliturvatunnuksia). 

SOC2-yhteensopivuuden edut

Näin perusteellisen tietoturvatarkastuksen suorittaminen organisaatiossa saattaa tuntua työläältä ja aikaa vievältä. SOC 2 Type 1 -raportti kestää yleensä noin kaksi kuukautta, kun taas SOC 2 Type 2 -raportti voi kestää 6-12 kuukautta.

SOC2-sertifioidun palvelun hyödyt korvaavat kuitenkin enemmän kuin hyvin sen vaatiman ajan ja vaivan.   

Seuraavassa on kolme tärkeintä syytä, miksi SOC 2 -auditoinnin suorittaminen voi hyödyttää yrityksiä pitkällä aikavälillä.

Parannettu suojaus

Yksi SOC2-auditoinnin suurimmista eduista on, että se voi auttaa yrityksiä vahvistamaan tietoturvatoimiaan. Suorittamalla tietoturva-auditoinnin ne voivat löytää tietoturvaan liittyvät vahvat ja heikot kohtansa ja paikantaa paikat, joissa tietoturvaloukkauksen riski on suurin. 

Tämän jälkeen he voivat auditoinnista saadun tiedon avulla suunnitella ja toteuttaa tietoturvakäytäntöjä, jotka auttavat heitä ratkaisemaan yrityksen tärkeimmät kyberturvallisuusongelmat. 

Näin organisaatiot voivat luottaa siihen, että niillä on vankat tietosuoja- ja tietoturvakäytännöt, jotta ne voivat paremmin käsitellä tietoturvaloukkauksia.  

Paikallisen ja kansainvälisen lainsäädännön noudattamisen parantaminen

SOC2-auditoinnin läpikäymisestä ja läpäisemisestä on lisähyötyä, koska sen vaatimukset ovat usein päällekkäisiä muiden tärkeiden turvallisuusstandardien kanssa. 

Suorittamalla ensin SOC2-auditoinnin organisaatiot voivat siis helpottaa vaatimustenmukaisuuttaan:  

  • HIPAA (Health Insurance Portability and Accountability Act) ja HITECH (Health Information Technology for Economic and Clinical Health).
  • Kansainvälinen standardisoimisjärjestö (ISO) 27001
  • Payment Card Industry (PCI) Data Security Standards (DSS) tai muut PCI-säännökset.
  • Kansainväliset tietosuojanormit, kuten Euroopan yleinen tietosuoja-asetus tai Kalifornian CCPA. 

Yrityksille, jotka pyrkivät sekä SOC2- että esimerkiksi HIPAA-vaatimusten mukaisiksi, AICPA on myös laatinut muutamia oppaita siitä, miten nämä vaatimukset täyttyvät. vaatimukset ovat päällekkäisiä. 

Lisääntynyt asiakkaiden luottamus

Kun otetaan huomioon, kuinka paljon otsikoita he näkevät tietokantarikkomuksista, ei ole ihme, että asiakkaat ovat yhä enemmän huolissaan tietojensa turvallisuudesta. 

Näyttämällä SOC2-auditointimerkin yritys voi vakuuttaa asiakkailleen, että se on jo ryhtynyt toimiin palvelunturvallisuuden vahvistamiseksi ja järjestelmiensä sisältämien tietojen suojaamiseksi. Ja kun asiakkaat (erityisesti ne, jotka käsittelevät arkaluonteisia aineistoja) näkevät, että palveluntarjoaja on läpäissyt SOC2-auditoinnin, he voivat käyttää kyseistä palvelua rauhallisemmin.   

SOC2-vaatimustenmukaisuuden rooli sähköpostivarmennuksessa

Jotta saat kaiken irti sähköpostilistastasi, on tärkeää, että poistat säännöllisesti mitättömät ja inaktiiviset sähköpostit listalta - miksi lähettää uutiskirjeesi tai tarjouksesi henkilölle, joka ei edes avaa postia? 

Kuten esittelyssä jo mainittiin, sähköpostilistan puhdistaminen manuaalisesti ei kuitenkaan ole mikään vaihtoehto, kun listalla on useita tuhansia nimiä. Tässä kohtaa sähköpostin todentamistyökalut kuten Bouncer ovat käteviä, sillä ne voivat hoitaa suurimman osan luettelossa olevien osoitteiden tarkistamiseen liittyvästä raskaasta työstä.

Miten voit kuitenkin löytää luotettavan sähköpostivarmennuspalvelun, joka ei sotke listaa? Ja mikä tärkeintä, se pitää myös sähköpostilistasi täysin turvallisena. 

SOC2-yhteensopivan verifiointipalvelun käyttäminen on vastaus. Miksi? Tässä on pari syytä.

Arkaluonteisten sähköpostitietojen suojaaminen

Työskentelemällä SOC2-yhteensopivan varmennuspalveluntarjoajan kanssa voit olla varma, että se osaa pitää hyvää huolta sähköpostiluetteloiden ja itse sähköpostien sisältämistä arkaluonteisista tiedoista. 

Esimerkiksi kaikki Bouncerin kautta kulkevat sähköpostiviestit ovat automaattisesti salattuja, ja myös tietokantojemme asiakastiedot ovat salattuja. 

Tietoturvaloukkausten riskin vähentäminen

SOC2-auditoinnilla tarkistetaan, onko palveluntarjoajilla alan turvallisuuskäytännöt käytössä ja osaavatko ne käsitellä odottamattomia tilanteita. Näin minimoidaan tietoturvaloukkauksen riski (joko työntekijän virheestä tai verkkohyökkäyksestä johtuen). Ilman tätä olet vaarassa joutua kärsimään yleisistä kyberturvallisuusuhista, kuten luottokorttivarkaus, phishing ja identiteettivarkaus. 

 Tietojen eheyden säilyttäminen tarkastusprosessin aikana

Kun käytät listan vahvistustyökalua, haluat saada puhdistetun listan, jossa on vahvistetut sähköpostit, joihin voit lähettää sähköposteja heti. Mutta ei missään nimessä listaa, jossa on vioittuneita tai puuttuvia osoitteita, jotka sinun on puhdistettava myös itse.

SOC2-yhteensopivat palveluntarjoajat voivat taata, että tällaista ei tapahdu, koska heidän palvelunsa on jo tarkistettu vastaavien ongelmien varalta. Voit siis olla varma, että työkalu säästää aikaasi (ja myös hermojasi) sen sijaan, että se tuhlaisi sitä.

Tarkkojen ja johdonmukaisten varmennustulosten saaminen

Toinen asia, joka SOC2-auditoinnissa tarkistetaan, on se, kuinka luotettava palvelu on ja kuinka hyvin se toimii kuormitettuna. Kun käytät SOC2-yhteensopivaa palvelua, voit siis olla varma, että saat tarkkoja tuloksia riippumatta siitä, kuinka suuri listasi on tai kuinka monta ihmistä käyttää palvelua juuri nyt.

Tietoturvaan sitoutumisen osoittaminen

Mikä olisi parempi tapa todistaa asiakkaalle, että palveluntarjoaja suhtautuu kyberturvallisuuteen vakavasti kuin SOC2-vaatimustenmukaisuusmerkki verkkosivuillaan? 

Läpäisemällä auditoinnin palveluntarjoajat voivat todistaa, että ne osaavat suojata järjestelmiensä sisältämät tiedot vahingoittumiselta ja että niillä on käytössään kaikki oikeat välineet ja menettelyt infrastruktuurinsa suojaamiseksi verkkohyökkäyksiltä.

Asiakkaiden luottamuksen ja uskottavuuden lisääminen

SOC2-auditointiraportin asettaminen kaikkien vierailijoiden luettavaksi on hyvä tapa vastata joihinkin kävijöiden mahdollisesti esittämiin saatavuuteen tai turvallisuuteen liittyviin kysymyksiin. 

Jos he esimerkiksi ovat huolissaan mahdollisesta palvelun käyttökatkoksesta tai vaativat tietynlaista sähköpostin salauspalvelu, tilintarkastuskertomuksen sisältämien tietojen pitäisi rauhoittaa heidän mieltään. Ja kun he näkevät, että he voivat luottaa palveluntarjoajan pitävän tietonsa turvassa, he myös todennäköisemmin luottavat palveluntarjoajiin omia sähköpostilistojaan. 

Asiakkaiden odotusten täyttäminen

Kun otetaan huomioon, kuinka paljon verkkohyökkäyksiä tapahtuu päivittäin ja kuinka vakavia seurauksia niillä voi olla, asiakkaat odottavat nyt, että yritykset pitävät verkkoturvallisuutta ja tietosuojaa ensisijaisena tavoitteenaan. 

Siksi yhä useammat yrityspalveluja etsivät yritykset kysyvät ensin, onko palveluntarjoaja SOC2-yhteensopiva, ennen kuin he päättävät ostaa palvelun - varmistaakseen, että heidän yritystietonsa ovat täysin turvassa. 

Eräässä raportissa todettiin esimerkiksi, että 33% yritysten sanoi, että asiakkaat kysyvät SOC 2 -sertifikaateista tutkiessaan, miten tietty yritys turvaa tietonsa. 

SOC2-merkki ja auditointiraportti verkkosivustollasi voivat antaa sinulle etulyöntiaseman kilpailijoihisi nähden. 

Portsari: SOC2-yhteensopiva sähköpostin todentamistyökalu.

Meille Bouncerilla on ensisijaisen tärkeää varmistaa, että palvelumme kautta kulkevat tiedot ovat mahdollisimman turvallisia. Olemme siis iloisia voidessamme todeta, että helmikuusta 2023 lähtien olemme nyt SOC2 Type 1 -yhteensopiva (Type 2 on tekeillä!).

sähköpostin musta lista

SOC2-tilintarkastajat ovat testanneet palvelumme seuraavilta osin:

  • Tietojen ja infrastruktuurin turvallisuus,
  • Palvelun saatavuus
  • Luottamuksellisuus.

Tarkastustulosten perusteella hahmottelimme ja toteutimme useita turvatoimia, joiden ansiosta olemme rakentaneet alustaan linnoitustason turvallisuuden.   

Miten Bouncer täyttää SOC2-yhteensopivuuden vaatimukset?

Mitä tarkalleen ottaen teimme tehdessämme sähköpostivarmennuspalvelustamme luotettavamman, joustavamman ja turvallisemman? 

Säännölliset turvatarkastukset ja -arvioinnit

Esiinnymme vähintään kerran vuodessa:

  • Riskinarviointitarkastus
  • Tunkeutumistesti (kolmannen osapuolen suorittama).
  • Pääsynvalvontapolitiikkamme ja organisaatiokaavion tarkastelu.

Kerran neljännesvuosittain suoritamme tuotantoympäristömme haavoittuvuustarkastuksen.

Bouncerin toteuttamat turvatoimet

Olemme myös parantaneet sitä, miten tietoja käytetään ja tallennetaan yrityksessämme:

  • Versionhallintajärjestelmän käyttäminen lähdekoodin, dokumentaation ja muun tärkeän materiaalin hallintaan. 
  • Sekä työntekijöille että asiakkaille on laadittu prosessi, jonka avulla he voivat raportoida johdolle tietoturvaan, luottamuksellisuuteen, eheyteen ja käytettävyyteen liittyvistä vaaratilanteista ja huolenaiheista. 
  • Onnettomuustilanteiden torjuntasuunnitelman laatiminen ja erityistyöntekijöiden nimeäminen torjuntaryhmään.  

Käytämme myös Drata-alusta valvoa yrityksen toimintatapoja, menettelyjä ja IT-infrastruktuuria sen varmistamiseksi, että työntekijämme noudattavat alan standardeja.

Salaus

Kaikki alustallamme olevat tiedot (sekä fyysisiin laitteisiin että pilvipalveluun tallennetut) on salattu SSL/TLS-salauksella. Lisäksi kaikkien yrityksen käytössä olevien kannettavien tietokoneiden sisältämät tiedot salataan automaattisesti koko levyn salauksen avulla.

Kulunvalvonta ja seuranta

  • Käytämme asiakastietoihin "vähiten etuoikeuksia koskevaa käytäntöä", mikä tarkoittaa, että työntekijät pääsevät käsiksi vain niihin asiakastietoihin, joita he tarvitsevat työtehtävissään.
  • Työntekijöillä on oltava järjestelmänvalvojan oikeudet, jotta he voivat käyttää versionhallintajärjestelmää tai lisätä siihen muutoksia.
  • Arkaluonteisten tietojen ja sovellusten käyttäminen edellyttää kaksitekijätodennusta käyttäjätunnuksen, salasanan, OTP:n ja/tai varmenteen muodossa.

Tämä on kuitenkin vain murto-osa siitä työstä, jonka teimme varmistaaksemme, että alustamme on täysin turvallinen. 

Jos haluat lisätietoja siitä, mitä turvallisuuskäytäntöjä olemme toteuttaneet auditoinnin jälkeen (ja mitä teemme varmistaaksemme, että turvallisuutemme pysyy linnoitustasona), voit lukea asiakirjan täydellinen turvallisuusraportti jonka Drata on luonut ja joka on saatavilla verkkosivuillamme.

SOC2-vaatimustenmukaisuuden vaikutus Bouncerin suorituskykyyn ja luotettavuuteen. 

Kova työ oli kuitenkin enemmän kuin sen arvoista. SOC2-auditoinnin ansiosta saimme paljon enemmän tietoa palvelumme ja infrastruktuurimme turvallisuudesta ja löysimme paikkoja, joissa voisimme parantaa sähköpostivarmennuspalveluamme entisestään. 

Näin ollen tarkastus auttoi meitä:

Oletko etsinyt luettelon todentamisvälinettä, jolla on erinomainen tarkkuusaste mutta myös vankat tietosuojatoimenpiteet? Bouncer on valmis auttamaan - olipa sinulla tuhansia tai miljoonia osoitteita, saat tuoreen ja aktiivisen sähköpostilistan hetkessä.   

Ja jos haluat testata ensin, miten Bouncer toimii, voit tarkistaa ensimmäiset sähköpostiosoitteet täysin ilmaiseksi 🙂 

Mitäpä jos kokeilisit itse, kuinka puhdas listasi voi olla meidän avullamme?  

Varmista, että valitset SOC2 Compliance -ystävällisen työkalun.

Sähköpostivarmennustyökalut voivat olla loistava apu yrityksellesi. Anna niille vain luettelo sähköpostiosoitteistasi, ja ne korostavat kaikki osoitteet, jotka eivät ehkä koskaan avaa sähköpostejasi. Miksi sinun pitäisi siis käyttää aikaa ja rahaa niihin? 

Varmistaaksesi, että vain sinä (ja työntekijäsi) käytätte listaa, sinun kannattaa etsiä sähköpostin vahvistuspalveluja, joissa on huippuluokan tietoturva. Ja SOC2-yhteensopivuusmerkki, kuten Bouncer-sivullamme näkyvä, on juuri merkki tällaisesta turvallisuudesta. 

Kun sovellus on puolellasi, koko listan puhdistamisen raskas työ voidaan tehdä puolestasi - ja kun uusi lista on valmis, voit lähettää uutiskirjeet tai tarjoukset heti.

SOC2 Compliance Usein kysytyt kysymykset

Mikä on SOC2-vaatimustenmukaisuus ja miksi se on tärkeää palveluntarjoajille?

SOC2 on American Institute of Certified Public Accountantsin (AICPA) asettama turvallisuusstandardi, joka mittaa palveluyrityksen kykyä suojata asiakastietojen yksityisyyttä, turvallisuutta ja luottamuksellisuutta.

SOC2-auditoinnin avulla palveluntarjoajat voivat oppia lisää siitä, miten he voivat pitää arkaluonteiset tiedot turvassa tietomurroilta tai luvattomalta käytöltä ja miten he voivat vahvistaa sisäistä turvallisuuttaan. 

Miten SOC2-vaatimustenmukaisuus hyödyttää palveluntarjoajia ja heidän asiakkaitaan?

Läpäisemällä SOC2-auditoinnin palveluorganisaatiot osoittavat, että ne tietävät, miten ne voivat suojata yritystietoja ja palveluitaan tietoturvaloukkauksilta, väärinkäytöksiltä ja verkkohyökkäyksiltä. Tämä voi rauhoittaa niiden asiakkaita, erityisesti niitä, jotka vaativat käyttämiltään pilvipalveluilta korkeaa turvallisuustasoa. 

Miten SOC2-auditointi voi hyödyttää sähköpostivarmennuspalveluja?

Sähköpostivarmennuksen tarjoajat käsittelevät paljon arkaluonteisia tietoja, kuten sähköpostiosoitteita ja asiakkaiden henkilötietoja. Käymällä läpi SOC2-auditoinnin ne voivat selvittää, kuinka hyvin tiedot on suojattu niiden verkossa ja mitä ne voivat parantaa tehdäkseen palveluistaan kestävämpiä.     

 

Viiva ja pisteet

Suosituimmat blogissamme

Blogikirjoitus Pomppija

Kuinka tarkistaa, onko sähköpostiosoite aito vai väärennös: Opas

Izabela Harbarczyk
Lue lisää
Blogikirjoitus Pomppija

Kuinka tarkistaa, onko sähköpostiosoite voimassa: Perimmäinen opas

Izabela Harbarczyk
Lue lisää
Blogikirjoitus Pomppija

Sähköpostitili: Ainoa opas aloittelijoille, jota tarvitset

Izabela Harbarczyk
Lue lisää
Blogikirjoitus Pomppija

Mitä ovat Gmailin lähetysrajat? Kaikki kysymykset vastattu

Izabela Harbarczyk
Lue lisää