Mi az a SOC2, és hogyan tudja megvédeni az e-mail listáján található információkat? Cikkünkben mindent megtalál, amit tudni kell róla.

A SOC2 megfelelőség megértése 

Mielőtt rátérnénk arra, hogy a SOC2-kompatibilis e-mail szolgáltatók hogyan garantálhatják az Ön e-mail lista, tudnunk kell, hogy mi a SOC2. 

Mi a SOC2 szabvány?

SOC 2 (Systems and Organization Controls 2) a kiberbiztonsági és adatvédelmi szabványok gyűjteménye a szolgáltató szervezetek számára. A követelményeket az Amerikai Könyvvizsgálói Intézet (AICPA) dolgozta ki 2010-ben, hogy meghatározza, hogyan kell a szolgáltatóknak kezelniük, tárolniuk és védeniük az ügyfelek adatait a biztonsági kockázatok és incidensek minimalizálása érdekében.

Bár a SOC2 megfelelés még mindig "csak" önkéntes szabvány, egyre több szolgáltató jelentkezik a biztonsági auditra - mind a szolgáltatásuk, mind az ügyfeleik védelme érdekében a jogsértésektől.

Egy A-lign vizsgálatban például, 47% a válaszadók közül azt mondta, hogy a SOC2 audit volt a legfontosabb audit a vállalkozásuk számára.

A SOC2 auditoknak két típusa van:

• Az 1. típus alatt, egy független auditor megvizsgálja és elemzi az egyes üzleti gyakorlatokat és folyamatokat, hogy azok mennyire felelnek meg a vonatkozó bizalmi alapelvek követelményeinek.
• 2. típus ugyanazt a folyamatot vizsgálja, de egy bizonyos időszak alatt, jellemzően 6-12 hónap alatt.

Mi az az öt bizalmi szolgáltatási kritérium (TSC) a SOC2 megfelelőségi keretrendszerhez?

A SOC2 keretrendszer öt bizalmi szolgáltatási kritériumból (Trust Services Criteria, TSC) áll, nevezetesen:

• Biztonság
• Elérhetőség
• Bizalmasság
• Feldolgozási integritás
• Adatvédelem

Biztonság (más néven Közös kritériumok) kötelező minden olyan vállalat számára, amely át akar esni a SOC2 auditon. A többi választható, így a vállalkozások csak a számukra fontos auditkategóriákra jelentkezhetnek.

A Bouncernél például a szolgáltatás elérhetőségét és az adatok bizalmas kezelését is bevontuk az ellenőrzésbe.

 Nézzük meg most közelebbről a bizalmi szolgáltatás alapelveit.

Biztonság (közös kritériumok)

A biztonsági auditok az egész szervezet biztonsági és megfelelőségi szintjét vizsgálják:

• Biztonsági eljárások és politikák
• Védelem a jogosulatlan hozzáférés vagy az adatokkal való visszaélés ellen
• Felhasználói hozzáférési beállítások
• Biztonsági funkciók bevezetése (tűzfal, titkosítás, többfaktoros hitelesítés stb.)
• Vállalati eljárások biztonsági incidensek vagy jogsértések esetén stb.

Az ellenőrzési követelmények tényleges listája azonban sokkal hosszabb. Egy tipikus biztonsági audit során a SOC2 auditor 80-100 biztonsági ellenőrzést értékel, hogy minden olyan helyet lefedjen, ahol incidens történhet. 

Megtalálható a biztonsági követelmények részletes listája az AICPA honlapján.

 Elérhetőség

A SOC2 audit második kategóriája a rendelkezésre állás, azaz a szolgáltatás üzemidejének és teljesítményének vizsgálata. Az auditor a következőket is ellenőrzi:

• Milyen katasztrófa utáni helyreállítási gyakorlatokat alkalmaz a szervezet
• Milyen gyakran készítenek biztonsági mentéseket
• Milyen módszereket alkalmaznak a szolgáltatás teljesítményének és minőségének ellenőrzésére?
• rendelkeznek-e eljárásokkal a biztonsági incidensek kezelésére

Bizalmasság

A titoktartási audit során a SOC2 auditorok megvizsgálják, hogy a szolgáltató szervezetek hogyan tárolják az ügyféladatokat (különösen az érzékeny és bizalmas adattípusokat), és hogy azok mennyire vannak védve.

Azok a vállalatok, amelyek titoktartási megállapodásokkal (NDA) védett információkat tárolnak, vagy amelyek ügyfelei megkövetelik, hogy a szerződésük lejárta után töröljék az adataikat, gyakran ezt a kategóriát is bevonják az ellenőrzésükbe.

Feldolgozási integritás

A feldolgozás integritásának ellenőrzése azt ellenőrzi, hogy a szervezet rendszerén belül hozzáadott és feldolgozott adatok megbízhatóak és hibamentesek-e. Az auditor azt is megvizsgálja, hogy a rendszeren belül hogyan dolgozzák fel az információkat - például, hogy a feldolgozás során milyen részük veszik el vagy sérül meg. 

Azt is mérni fogják, hogy mennyi időbe telik, amíg a feldolgozott adatok felhasználásra készek lesznek, és hogy az adott vállalat hogyan oldja meg a feldolgozási problémákat. 

Adatvédelem

E rész során a SOC2 auditor elemzi, hogy a PII (személyazonosításra alkalmas információk) összegyűjtik, tárolják és védik a jogsértésektől vagy visszaélésektől. 

Az adatvédelmi kritériumok azonosnak tűnhetnek a titoktartási kritériumokkal, de van egy jelentős különbség. Nevezetesen, míg a titoktartási követelmények minden olyan típusú érzékeny anyagra vonatkoznak, amelyet egy vállalkozás tárolhat, addig az Adatvédelem csak a PII információkra (például születési adatokra vagy társadalombiztosítási számokra) vonatkozik. 

A SOC2-nek való megfelelés előnyei

Egy ilyen alapos biztonsági audit lefuttatása egy szervezetben sok munkának és időnek tűnhet. Egy SOC 2 Type 1 jelentés általában körülbelül két hónapot vesz igénybe, míg egy SOC 2 Type 2 jelentés 6-12 hónapig tarthat.

A SOC2 tanúsítvánnyal rendelkező szolgáltatás előnyei azonban bőven ellensúlyozzák a szükséges időt és erőfeszítést.   

Íme három fő ok, amiért a SOC 2 audit lefolytatása hosszú távon előnyös lehet a vállalatok számára.

Fokozott védelem

A SOC2 audit egyik legnagyobb előnye, hogy segíthet a vállalatoknak megerősíteni biztonsági védelmi intézkedéseiket. Egy biztonsági audit lefuttatásával megtalálhatják az erős és gyenge pontjaikat a biztonság tekintetében, és pontosan meghatározhatják azokat a helyeket, ahol a legnagyobb a biztonsági incidensek bekövetkezésének kockázata. 

Ezután az auditból származó ismeretek felhasználásával megtervezhetik és megvalósíthatják azokat a biztonsági gyakorlatokat, amelyek segítenek megoldani a vállalat fő kiberbiztonsági problémáit. 

Így a szervezetek biztosak lehetnek abban, hogy megbízható adatvédelmi és biztonsági szabályzatokkal rendelkeznek, és így jobban tudják kezelni a biztonság megsértését.  

A helyi és nemzetközi jogszabályoknak való jobb megfelelés

A SOC2-ellenőrzésen való átesés és annak további előnye, hogy a követelmények gyakran átfedésben vannak más fontos biztonsági szabványokkal. 

Tehát a SOC2 audit lefuttatásával a szervezetek megkönnyíthetik maguknak a megfelelés elérését:  

• Az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvény (HIPAA) és az egészségügyi információs technológia a gazdasági és klinikai egészségügyért (HITECH).
• Nemzetközi Szabványügyi Szervezet (ISO) 27001
• Payment Card Industry (PCI) Data Security Standards (DSS) vagy egyéb PCI-előírások
• Nemzetközi adatvédelmi szabványok, mint például az európai GDPR vagy a kaliforniai CCPA. 

Azoknak a vállalkozásoknak, amelyek egyszerre kívánnak SOC2- és például HIPAA-kompatibilissé válni, az AICPA néhány útmutatót is készített arról, hogy ezek hogyan valósíthatók meg. a követelmények átfedik egymást. 

Megnövekedett ügyfélbizalom

Azzal, hogy milyen sok címlapot látnak az adatbázisok megsértéséről, nem csoda, hogy az ügyfelek egyre inkább aggódnak adataik biztonsága miatt. 

A SOC2 auditáló jelvény felmutatásával a vállalat megnyugtathatja ügyfeleit, hogy már megtette a szükséges lépéseket a szolgáltatásbiztonság megerősítése és a rendszereiben lévő adatok védelme érdekében. Ha pedig látják, hogy egy szolgáltató átesett a SOC2 auditon, az ügyfelek (különösen azok, akik érzékeny anyagokat kezelnek) nyugodtabban vehetik igénybe az adott szolgáltatást.   

A SOC2 megfelelés szerepe az e-mail ellenőrzésben

Ahhoz, hogy a legtöbbet hozza ki az e-mail listájából, elengedhetetlen, hogy rendszeresen eltávolítsa a érvénytelen és inaktív e-mailek a listáról - miért küldene hírlevelet vagy ajánlatokat olyasvalakinek, aki meg sem nyitja a levelet? 

Ahogy a bevezetőben már említettük, az e-mail lista manuális tisztítása nem éppen egy lehetőség, ha több ezer név van a listán. Itt van, ahol e-mail ellenőrző eszközök mint például a Bouncer, jól jönnek, mivel a listán szereplő címek ellenőrzésével kapcsolatos nehéz feladatok nagy részét el tudják végezni.

Ennek ellenére hogyan találhatsz megbízható e-mail ellenőrző szolgáltatást, amely nem teszi tönkre a listádat? És ami a legfontosabb, hogy az e-mail listádat is teljesen biztonságban tartja. 

Egy SOC2-nek megfelelő hitelesítési szolgáltatás használata a megoldás. Miért? Íme néhány ok.

Az érzékeny e-mail adatok védelme

Ha SOC2-kompatibilis ellenőrző szolgáltatóval dolgozik együtt, biztos lehet benne, hogy tudja, hogyan kell vigyázni az e-mail listákon és az e-mailekben található érzékeny adatokra. 

Például a Bouncer-en keresztül érkező összes e-mailt automatikusan kódoljuk, és az adatbázisainkban lévő ügyféladatokat is titkosítjuk. 

Az adatvédelmi incidensek kockázatának csökkentése

A SOC2 audit azt ellenőrzi, hogy a szolgáltatók rendelkeznek-e az iparági biztonsági gyakorlatokkal, és tudják-e, hogyan kezeljék a váratlan helyzeteket. Így minimálisra csökkenthető a (akár munkavállalói hiba, akár kibertámadás miatti) jogsértés kockázata. Enélkül olyan gyakori kiberbiztonsági fenyegetéseknek van kitéve, mint például hitelkártya lopás, adathalászat és személyazonosság-lopás. 

 Az adatok integritásának fenntartása az ellenőrzési folyamat során

Ha egy listaellenőrző eszközt használ, akkor egy olyan ellenőrzött e-maileket tartalmazó, megtisztított listát szeretne kapni, amelyre azonnal elküldheti az e-mailjeit. De semmiképpen sem egy olyan listát, amely sérült vagy hiányzó címeket tartalmaz, amelyeket szintén magának kell megtisztítania.

A SOC2-kompatibilis szolgáltatók garantálni tudják, hogy ilyesmi nem fordulhat elő, mivel szolgáltatásukat már átvilágították hasonló problémákra. Így biztos lehet benne, hogy az eszköz inkább időt (és idegeket is) takarít meg, mintsem elpazarolja azt.

Pontos és következetes ellenőrzési eredmények elérése

A SOC2 auditálás egy másik dolog, amit ellenőriz, hogy mennyire megbízható a szolgáltatás, és mennyire képes terhelés alatt működni. Ha tehát SOC2-konform szolgáltatást vesz igénybe, biztos lehet benne, hogy pontos eredményeket kap, függetlenül attól, hogy mekkora a listája, vagy hányan használják éppen a szolgáltatást.

Az adatbiztonság iránti elkötelezettség bizonyítása

Mivel lehetne jobban bizonyítani egy ügyfélnek, hogy egy szolgáltató komolyan veszi a kiberbiztonságot, mint azzal, hogy a weboldalán SOC2 megfelelőségi jelvényt mutat? 

Az auditon való megfeleléssel a szolgáltatók bizonyítani tudják, hogy tudják, hogyan védjék meg a rendszereikben lévő adatokat a károsodástól, és hogy rendelkeznek a megfelelő eszközökkel és eljárásokkal az infrastruktúrájuk kibertámadások elleni védelmére.

Az ügyfelek bizalmának és hitelességének növelése

Ha a SOC2 auditálási jelentés minden látogató számára olvasható, az nagyszerű módja annak, hogy a látogatók válaszolni tudjanak néhány rendelkezésre állással vagy biztonsággal kapcsolatos kérdésre. 

Például, ha aggódnak egy esetleges szolgáltatás leállása miatt, vagy ha egy bizonyos e-mail titkosítási szolgáltatás, a könyvvizsgálói jelentésben szereplő információk megnyugtatják őket. És ha látják, hogy megbízhatnak a szolgáltatóban az adataik biztonságában, akkor nagyobb valószínűséggel bíznak meg a szolgáltatókban a saját e-mail listáikkal is. 

Az ügyfelek elvárásainak való megfelelés

Tekintettel arra, hogy naponta milyen sok kibertámadás történik, és milyen súlyos következményei lehetnek, az ügyfelek ma már elvárják, hogy a vállalkozások a kiberbiztonságot és az adatvédelmet elsődleges prioritásként kezeljék. 

Ezért az üzleti szolgáltatásokat kereső vállalatok egyre nagyobb része kérdezi meg először, hogy a szolgáltató rendelkezik-e SOC2-kompatibilitással, mielőtt a szolgáltatás megvásárlása mellett döntene - hogy megbizonyosodjon arról, hogy üzleti adatai teljes biztonságban vannak. 

Egy jelentés például megállapította, hogy 33% a vállalatok a felmérés szerint az ügyfelek a SOC 2 tanúsítványokról érdeklődnek, amikor azt kutatják, hogy egy adott vállalat hogyan biztosítja az adatait. 

Így a SOC2 jelvény és az auditálási jelentés megjelenése a weboldalán előnyt jelenthet a versenytársakkal szemben. 

Kidobó: SOC2-kompatibilis e-mail ellenőrző eszköz

Számunkra a Bouncernél elsődleges fontosságú annak biztosítása, hogy a szolgáltatásunkon keresztül továbbított adatok a lehető legbiztonságosabbak legyenek. Ezért örömmel mondhatjuk, hogy 2023 februárjától már megfelelünk a SOC2 Type 1 szabványnak (a 2. típus folyamatban van!).

Szolgáltatásunkat SOC2 auditorok tesztelték a következőkre:

• Adat- és infrastruktúra-biztonság,
• A szolgáltatás elérhetősége
• Bizalmasság.

Az ellenőrzés eredményei alapján ezután számos biztonsági intézkedést vázoltunk fel és hajtottunk végre, amelyeknek köszönhetően erőd szintű biztonságot építettünk ki a platformunkon belül.   

Hogyan felel meg a Bouncer a SOC2 megfelelés követelményeinek?

Pontosan mit tettünk azért, hogy az e-mail ellenőrző szolgáltatásunk megbízhatóbbá, rugalmasabbá és biztonságosabbá váljon? 

Rendszeres biztonsági ellenőrzések és értékelések

Évente legalább egyszer fellépünk:

• Kockázatértékelési audit
• behatolásteszt (harmadik fél által végzett)
• A hozzáférés-ellenőrzési politikánk felülvizsgálata és Szervezeti diagram.

Közben negyedévente egyszer a termelési környezetünk sebezhetőségi vizsgálatát végezzük el.

A Bouncer által végrehajtott biztonsági intézkedések

Az adatok felhasználásának és tárolásának módját is továbbfejlesztettük a vállalaton belül:

• Verziókezelő rendszer használata a forráskód, a dokumentáció és más fontos anyagok kezelésére. 
• A biztonsági, bizalmas, integritási és rendelkezésre állási incidensek és aggályok vezetőség felé történő bejelentésére szolgáló, vázolt folyamat mind az alkalmazottak, mind az ügyfelek számára. 
• Incidensreagálási terv készítése és az erre a célra kijelölt alkalmazottak kijelölése a reagáló csoportba.  

Mi is használjuk a Drata platform a vállalat irányelveinek, eljárásainak és informatikai infrastruktúrájának ellenőrzése annak biztosítása érdekében, hogy alkalmazottaink betartsák az iparági szabványokat.

Titkosítás

A platformunkban lévő összes adat (mind a fizikai eszközökön, mind a felhőben tárolt) SSL/TLS titkosítással van titkosítva. Ezen túlmenően a vállalat által kiadott összes laptopban lévő információk is automatikusan titkosítva vannak Full disk titkosítással.

Hozzáférés-ellenőrzés és felügyelet

• Az ügyféladatokra a "legkisebb kiváltságok politikáját" alkalmazzuk, ami azt jelenti, hogy az alkalmazottak csak azokhoz az ügyféladatokhoz férhetnek hozzá, amelyekre a munkájukhoz szükségük van.
• A verziókezelő rendszerhez való hozzáféréshez vagy a módosítások hozzáadásához az alkalmazottaknak admin jogosultsággal kell rendelkezniük.
• Az érzékeny adatokhoz és alkalmazásokhoz való hozzáféréshez kétfaktoros hitelesítésre van szükségünk felhasználói azonosító, jelszó, OTP és/vagy tanúsítvány formájában.

Ez azonban csak egy töredéke annak a munkának, amit annak érdekében végeztünk, hogy platformunk teljesen biztonságos legyen. 

Ha többet szeretne megtudni arról, hogy milyen biztonsági gyakorlatokat vezettünk be az auditálás után (és mit teszünk annak érdekében, hogy megőrizzük erőd szintű biztonságunkat), olvassa el a teljes biztonsági jelentés Drata által létrehozott, a weboldalunkon elérhető.

A SOC2 megfelelőség hatása a Bouncer teljesítményére és megbízhatóságára 

A kemény munka azonban bőven megérte. A SOC2 auditnak köszönhetően sokkal többet tudtunk meg a szolgáltatásunk és az infrastruktúránk biztonságáról, és megtaláltuk azokat a helyeket, ahol még jobbá tehetjük az e-mail ellenőrző szolgáltatásunkat. 

Így tehát az ellenőrzés segített nekünk:

• Email ellenőrző szolgáltatásunk jobb védelme a kiberfenyegetésekkel szemben
• Minőségi és megbízható szolgáltatás biztosítása minden ügyfelünk számára.
• Biztosítani üzleti partnereinket, hogy adataik biztonságban vannak nálunk.     

Olyan listaellenőrző eszközt keresett, amely kiemelkedő pontosságú, de egyben megbízható adatvédelmi intézkedésekkel is rendelkezik? A Bouncer készen áll a segítségére - akár több ezer, akár több millió címmel rendelkezik, pillanatok alatt friss és aktív e-mail listához juthat.   

Ha pedig először szeretné kipróbálni, hogyan működik a Bouncer, akkor ellenőrizze az első e-mail címeket teljesen ingyen 🙂 

Mit szólnál hozzá, ha a segítségünkkel magad is kipróbálnád, milyen tiszta lehet a listád?  

Győződjön meg róla, hogy SOC2-megfelelőség-barát eszközt választ

Az e-mail ellenőrző eszközök fantasztikus segítséget jelenthetnek vállalkozása számára. Csak adja meg nekik az Ön e-mail címeinek listáját, és ők kiemelik azokat a címeket, amelyek esetleg soha nem nyitják meg az Ön e-mailjeit. Akkor miért érdemes időt és pénzt költenie rájuk? 

Annak érdekében azonban, hogy csak Ön (és az alkalmazottai) használhassák a listát, érdemes olyan e-mail ellenőrző szolgáltatásokat keresnie, amelyek kiváló biztonsággal rendelkeznek. És a SOC2 megfelelőségi jelvény, mint amilyet a Bouncer oldalunkon láthat, pontosan az ilyen biztonság jele. 

Az alkalmazással az Ön oldalán a lista megtisztításának teljes nehéz munkáját elvégezheti Ön helyett - és amint az új lista elkészült, azonnal elküldheti hírleveleit vagy ajánlatait.

SOC2 megfelelés Gyakran ismételt kérdések

Mi az a SOC2 megfelelés és miért fontos a szolgáltatók számára?

A SOC2 az American Institute of Certified Public Accountants (AICPA) által meghatározott biztonsági szabvány, amely azt méri, hogy egy szolgáltató vállalat mennyire képes megvédeni az ügyfelek adatainak magánéletét, biztonságát és bizalmas jellegét.

A SOC2 auditálás során a szolgáltatók többet tudhatnak meg arról, hogy miként védhetik meg az érzékeny információkat az adatbiztonság megsértésétől vagy a jogosulatlan hozzáféréstől, és hogyan erősíthetik meg belső biztonságukat. 

Milyen előnyökkel jár a SOC2 megfelelés a szolgáltatók és ügyfeleik számára?

A SOC2 auditáláson való megfeleléssel a szolgáltató szervezetek bizonyítják, hogy tudják, hogyan tudják megvédeni az üzleti adatokat és a szolgáltatásukat a jogsértésektől, visszaélésektől és kibertámadásoktól. Ez megnyugtathatja ügyfeleiket, különösen azokat, akik magas szintű biztonságot igényelnek az általuk használt felhőszolgáltatásoktól. 

Milyen előnyökkel járhat a SOC2 audit az e-mail ellenőrző szolgáltatások számára?

Az e-mail ellenőrző szolgáltatók rengeteg érzékeny információt kezelnek, például e-mail címeket és az ügyfelek személyes adatait. A SOC2 auditálással megtudhatják, hogy mennyire védik az adatokat a hálózatukon belül, és mit tudnak javítani, hogy szolgáltatásaik ellenállóbbá váljanak.