SOC2 atitikties el. pašto tikrinimui svarba

2023 m. gegužės 11 d.
11

Rankinis el. pašto sąrašo valymas, kai jame yra "tik" apie 100 el. pašto adresų, gali užimti daug laiko. 

planuoti susitikimą

Tačiau ką daryti, jei reikia peržiūrėti tūkstančius adresų? Tuomet patikrinti visus neaktyvius ar neteisingus adresus sąraše beveik neįmanoma, nebent naudojate el. pašto sąrašo tikrinimo įrankį.

Tačiau nenorite naudoti bet kokio įrankio - norite naudoti el. pašto patvirtinimo įrankį, atitinkantį SOC2 reikalavimus.

Kas yra SOC2 ir kaip ji gali apsaugoti jūsų el. pašto sąraše esančią informaciją? Viską, ką apie tai reikia žinoti, rasite mūsų straipsnyje.

Turinys

SOC2 atitikties supratimas 

Prieš pradėdami aptarti, kaip SOC2 reikalavimus atitinkantys el. pašto paslaugų teikėjai gali užtikrinti jūsų el. pašto sąrašas, turime žinoti, kas yra SOC2. 

Kas yra SOC2 standartas?

SOC 2 (Sistemų ir organizacijų kontrolė 2) - tai kibernetinio saugumo ir privatumo standartų rinkinys, skirtas paslaugų organizacijoms. Šiuos reikalavimus 2010 m. parengė Amerikos sertifikuotų buhalterių institutas (AICPA), siekdamas nurodyti, kaip paslaugų teikėjai turėtų valdyti, saugoti ir apsaugoti klientų duomenis, kad būtų sumažinta saugumo rizika ir incidentai.

Nors SOC2 atitiktis vis dar yra "tik" savanoriškas standartas, vis daugiau paslaugų teikėjų kreipiasi dėl saugumo audito, kad apsaugotų savo paslaugas ir klientus nuo pažeidimų.

Pavyzdžiui, atliekant A-lign tyrimą, 47% respondentų teigė, kad SOC2 auditas buvo svarbiausias auditas jų verslui.

Atliekami dviejų tipų SOC2 auditai:

  • Per 1 tipo, nepriklausomas auditorius tikrina ir analizuoja konkrečią verslo praktiką ir procesus, siekdamas išsiaiškinti, kiek jie atitinka atitinkamų patikimumo principų reikalavimus.
  • 2 tipas tiriami tie patys procesai, tačiau per tam tikrą laikotarpį, paprastai nuo 6 iki 12 mėnesių.

Kokie yra penki patikimumo paslaugų kriterijai (TSC), taikomi SOC2 atitikties sistemai?

SOC2 sistemą sudaro penki patikimumo užtikrinimo paslaugų kriterijai (TSC):

  • Apsauga
  • Prieinamumas
  • Konfidencialumas
  • Apdorojimo vientisumas
  • Privatumas

Saugumas (dar vadinamas Bendrieji kriterijai) yra privalomas visoms įmonėms, norinčioms atlikti SOC2 auditą. Likusios yra neprivalomos, todėl įmonės gali kreiptis tik dėl joms svarbių audito kategorijų.

Pavyzdžiui, "Bouncer" audito metu įtraukėme paslaugų prieinamumą ir duomenų konfidencialumą.

 Dabar atidžiau panagrinėkime pasitikėjimo paslaugų principus.

Saugumas (Bendrieji kriterijai)

Atliekant saugumo auditą tikrinamas visos organizacijos saugumo ir atitikties lygis:

  • Saugumo procedūros ir politika
  • Apsauga nuo neleistinos prieigos ar netinkamo duomenų naudojimo
  • Naudotojo prieigos nustatymai
  • Įdiegtos saugumo funkcijos (ugniasienė, šifravimas, kelių veiksnių autentifikavimas ir kt.)
  • Įmonės procedūros, taikomos saugumo incidentų ar pažeidimų atvejais ir pan.

 

Tačiau tikrasis audito reikalavimų sąrašas yra daug ilgesnis. Tipinio saugumo audito metu SOC2 auditorius įvertina 80-100 saugumo kontrolės priemonių, kad apimtų visas vietas, kuriose gali įvykti incidentas. 

Galite rasti išsamus saugumo reikalavimų sąrašas. AICPA svetainėje.

 Prieinamumas

Antroji SOC2 audito kategorija - prieinamumas, t. y. paslaugos veikimo laikas ir našumas. Auditorius taip pat tikrina:

  • kokią atkūrimo po nelaimės praktiką taiko organizacija
  • Kaip dažnai jie kuria atsargines kopijas
  • Kokius metodus jie taiko stebėdami paslaugų našumą ir kokybę
  • Ar jie turi saugumo incidentų nagrinėjimo procesus.

Konfidencialumas

Atlikdami konfidencialumo auditą SOC2 auditoriai tikrina, kaip paslaugų organizacijos saugo klientų duomenis (ypač neskelbtinus ir konfidencialius) ir kaip gerai jie apsaugoti.

Įmonės, kurios saugo informaciją, saugomą pagal neatskleidimo susitarimus (NDA), arba kurių klientai reikalauja, kad pasibaigus sutarčiai jų duomenys būtų ištrinti, dažnai į auditą įtraukia ir šią kategoriją.

Apdorojimo vientisumas

Atliekant duomenų apdorojimo vientisumo auditą tikrinama, ar organizacijos sistemoje pridedami ir apdorojami duomenys yra patikimi ir be klaidų. Auditorius taip pat nagrinės, kaip sistemoje apdorojama informacija, pavyzdžiui, kokia jos dalis prarandama ar sugadinama apdorojimo metu. 

Taip pat bus vertinama, per kiek laiko apdorojami duomenys paruošiami naudojimui ir kaip konkreti įmonė sprendžia bet kokias duomenų apdorojimo problemas. 

Privatumas

Šioje dalyje SOC2 auditorius analizuoja, kaip PII (asmenį identifikuojanti informacija) renkama, saugoma ir apsaugoma nuo pažeidimų ar netinkamo naudojimo. 

Gali atrodyti, kad privatumo kriterijai yra identiški konfidencialumo kriterijams, tačiau yra vienas esminis skirtumas. Konfidencialumo reikalavimai yra susiję su visų rūšių neskelbtina medžiaga, kurią įmonė gali saugoti, o privatumo reikalavimai taikomi tik PII informacijai (pvz., gimimo datoms ar socialinio draudimo numeriams). 

SOC2 atitikties privalumai

Atlikti tokį išsamų saugumo auditą organizacijoje gali atrodyti daug darbo ir laiko sąnaudų. SOC 2 1 tipo ataskaita paprastai trunka apie du mėnesius, o SOC 2 tipo ataskaita gali užtrukti nuo 6 iki 12 mėnesių.

Tačiau SOC2 sertifikatą turinčios paslaugos nauda daugiau nei kompensuoja laiko ir pastangų sąnaudas.   

Pateikiame tris pagrindines priežastis, kodėl SOC 2 auditas gali būti naudingas įmonėms ilguoju laikotarpiu.

Patobulinta apsauga

Vienas didžiausių SOC2 audito privalumų yra tas, kad jis gali padėti įmonėms sustiprinti saugumo apsaugos priemones. Atlikdamos saugumo auditą, jos gali rasti savo stipriąsias ir silpnąsias saugumo vietas ir nustatyti vietas, kuriose yra didžiausia saugumo incidentų rizika. 

Tada, naudodamiesi audito metu gautomis žiniomis, jie gali planuoti ir įgyvendinti saugumo praktiką, kuri padės išspręsti pagrindines įmonės kibernetinio saugumo problemas. 

Tokiu būdu organizacijos gali būti tikros, kad yra įdiegusios patikimą duomenų apsaugos ir saugumo politiką, kad galėtų geriau susidoroti su saugumo pažeidimais.  

Geresnė atitiktis vietos ir tarptautiniams teisės aktams

Papildoma SOC2 audito nauda yra ta, kad jo reikalavimai dažnai sutampa su kitais svarbiais saugumo standartais. 

Taigi, pirmiausia atlikdamos SOC2 auditą, organizacijos gali lengviau pasiekti atitiktį reikalavimams:  

  • Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas (HIPAA) ir Sveikatos informacijos technologijos ekonominei ir klinikinei sveikatai (HITECH)
  • Tarptautinė standartizacijos organizacija (ISO) 27001
  • Mokėjimo kortelių industrijos (PCI) duomenų saugumo standartai (DSS) arba kitos PCI taisyklės
  • Tarptautiniai privatumo standartai, pavyzdžiui, Europos BDAR arba Kalifornijos CCPA. 

Įmonėms, siekiančioms atitikti ir SOC2, ir, pavyzdžiui, HIPAA reikalavimus, AICPA taip pat parengė keletą vadovų, kaip tai padaryti. reikalavimai sutampa. 

Didesnis klientų pasitikėjimas

Nenuostabu, kad klientai vis dažniau susirūpina savo duomenų saugumu, nes daugybė antraščių skelbia apie duomenų bazių pažeidimus. 

Rodydama SOC2 audito ženklelį, įmonė gali patikinti savo klientus, kad ji jau ėmėsi priemonių paslaugų saugumui stiprinti ir jos sistemose esantiems duomenims apsaugoti. O matydami, kad paslaugų teikėjas praėjo SOC2 auditą, klientai (ypač tie, kurie tvarko slaptas medžiagas) gali jaustis ramiau naudodamiesi konkrečia paslauga.   

SOC2 atitikties vaidmuo tikrinant el. paštą

Kad el. pašto sąrašas būtų kuo geriau išnaudojamas, būtina reguliariai šalinti negaliojantys ir neaktyvūs el. laiškai iš sąrašo - kam siųsti naujienlaiškį ar pasiūlymus žmogui, kuris net neatidarys laiško? 

Tačiau, kaip jau minėjome įžangoje, valyti el. pašto sąrašą rankiniu būdu nėra visiškai įmanoma, kai sąraše yra keli tūkstančiai vardų. Štai čia el. pašto tikrinimo įrankiai pavyzdžiui, "Bouncer", nes jos gali atlikti didžiąją dalį sunkių užduočių, susijusių su sąraše esančių adresų tikrinimu.

Tačiau kaip rasti patikimą el. pašto tikrinimo paslaugą, kuri nepadarys netvarkos jūsų sąraše? O svarbiausia, kad jūsų el. pašto sąrašas būtų visiškai saugus. 

Atsakymas - naudoti patikros paslaugą, atitinkančią SOC2 reikalavimus. Kodėl? Štai kelios priežastys.

Neskelbtinų el. pašto duomenų apsauga

Bendradarbiaudami su SOC2 reikalavimus atitinkančiu tikrinimo paslaugų teikėju galite būti tikri, kad jis žino, kaip tinkamai pasirūpinti konfidencialia informacija, esančia jūsų el. pašto sąrašuose ir pačiuose el. laiškuose. 

Pavyzdžiui, visi per "Bouncer" siunčiami el. laiškai automatiškai užšifruojami, o klientų duomenys mūsų duomenų bazėse taip pat užšifruojami. 

Duomenų saugumo pažeidimų rizikos mažinimas

SOC2 audito metu tikrinama, ar paslaugų teikėjai yra įdiegę pramonės saugumo praktiką ir žino, kaip elgtis netikėtose situacijose. Taip sumažinama pažeidimo (dėl darbuotojo klaidos arba kibernetinės atakos) rizika. To nepadarius, jums gresia įprastos kibernetinio saugumo grėsmės, pvz. kredito kortelės vagystė, sukčiavimo ir tapatybės vagystės. 

 Duomenų vientisumo užtikrinimas patikros proceso metu

Kai naudojate sąrašo tikrinimo įrankį, norite gauti išvalytą sąrašą su patikrintais el. pašto adresais, į kurį galite iš karto siųsti el. laiškus. Bet tikrai ne sąrašą su sugadintais ar trūkstamais adresais, kurį taip pat turite išvalyti patys.

SOC2 reikalavimus atitinkantys paslaugų teikėjai gali garantuoti, kad tokių dalykų nenutiks, nes jų paslaugos jau buvo patikrintos dėl panašių problemų. Taigi galite būti tikri, kad ši priemonė padės sutaupyti jūsų laiko (ir nervų), o ne jį iššvaistyti.

Tikslūs ir nuoseklūs patikros rezultatai

Dar vienas dalykas, kurį tikrina SOC2 auditas, yra tai, kiek patikima yra paslauga ir kaip gerai ji gali veikti esant apkrovai. Taigi naudodamiesi SOC2 reikalavimus atitinkančia paslauga galite būti tikri, kad gausite tikslius rezultatus, nesvarbu, koks didelis jūsų sąrašas ar kiek žmonių šiuo metu naudojasi paslauga.

Įsipareigojimo užtikrinti duomenų saugumą demonstravimas

Kaip geriau įrodyti klientui, kad paslaugų teikėjas rimtai žiūri į kibernetinį saugumą, nei savo interneto svetainėje parodyti SOC2 atitikties ženklelį? 

Atlikę auditą paslaugų teikėjai gali įrodyti, kad žino, kaip apsaugoti savo sistemose esančius duomenis nuo žalos, taip pat kad turi visas tinkamas priemones ir procedūras, skirtas apsaugoti savo infrastruktūrą nuo kibernetinių atakų.

Klientų pasitikėjimo ir patikimumo didinimas

SOC2 audito ataskaita, su kuria gali susipažinti visi lankytojai, yra puikus būdas atsakyti į kai kuriuos lankytojams kylančius klausimus, susijusius su prieinamumu ar saugumu. 

Pavyzdžiui, jei jie nerimauja dėl galimos paslaugos prastovos arba reikalauja tam tikros el. pašto šifravimo paslauga, audito ataskaitoje pateikta informacija turėtų juos nuraminti. Kai jie pamatys, kad gali pasikliauti paslaugų teikėju ir užtikrinti duomenų saugumą, jie taip pat bus labiau linkę patikėti paslaugų teikėjams savo el. pašto sąrašus. 

Klientų lūkesčių tenkinimas

Atsižvelgdami į tai, kiek daug kibernetinių atakų įvyksta kasdien ir kokios sunkios gali būti jų pasekmės, klientai tikisi, kad įmonės kibernetinį saugumą ir duomenų apsaugą laikys svarbiausiu savo prioritetu. 

Todėl vis daugiau įmonių, ieškančių verslo paslaugų, prieš nuspręsdamos pirkti paslaugą, pirmiausia klausia, ar paslaugų teikėjas atitinka SOC2 reikalavimus, kad įsitikintų, jog jų verslo duomenys yra visiškai saugūs. 

Pavyzdžiui, vienoje ataskaitoje nustatyta, kad 33% įmonių apklaustas teigė, kad klientai klausia apie SOC 2 sertifikatus, kai aiškinasi, kaip konkreti įmonė užtikrina savo duomenų saugumą. 

Tokiu būdu SOC2 ženklelis ir audito ataskaita jūsų interneto svetainėje gali suteikti jums pranašumą prieš konkurentus. 

Iškylautojas: SOC2 reikalavimus atitinkanti el. pašto tikrinimo priemonė

"Bouncer" prioritetas - užtikrinti, kad per mūsų paslaugą perduodami duomenys būtų kuo saugesni. Todėl džiaugiamės galėdami pasakyti, kad nuo 2023 m. vasario mėn. dabar atitinkame SOC2 1 tipo standartų reikalavimus (2 tipo standartas dar tik diegiamas!).

el. pašto juodasis sąrašas

Mūsų paslaugas patikrino SOC2 auditoriai:

  • Duomenų ir infrastruktūros saugumas,
  • Paslaugų prieinamumas
  • Konfidencialumas.

Remdamiesi audito rezultatais, parengėme ir įgyvendinome keletą saugumo priemonių, kurių dėka savo platformoje sukūrėme tvirtovės lygio saugumą.   

Kaip "Bouncer" atitinka SOC2 atitikties reikalavimus

Taigi ką tiksliai padarėme, kad mūsų el. pašto tikrinimo paslauga būtų patikimesnė, atsparesnė ir saugesnė? 

Reguliarūs saugumo auditai ir vertinimai

Bent kartą per metus atliekame:

  • Rizikos vertinimo auditas
  • įsiskverbimo testas (atliekamas trečiosios šalies įmonės)
  • Prieigos kontrolės politikos peržiūra ir Organizacinė schema.

Tuo tarpu kartą per ketvirtį atliekame gamybinės aplinkos pažeidžiamumų skenavimą.

"Bouncer" įdiegtos saugumo priemonės

Taip pat patobulinome duomenų naudojimo ir saugojimo būdus savo įmonėje:

  • versijų valdymo sistemos naudojimas šaltinio kodui, dokumentacijai ir kitai svarbiai medžiagai tvarkyti. 
  • Darbuotojams ir klientams nustatyta tvarka, kaip pranešti vadovybei apie saugumo, konfidencialumo, vientisumo ir prieinamumo incidentus ir problemas. 
  • Reagavimo į incidentus plano sukūrimas ir specialių darbuotojų priskyrimas reagavimo grupei.  

Mes taip pat naudojame Drata platforma stebėti įmonės politiką, procedūras ir IT infrastruktūrą, kad užtikrintume, jog mūsų darbuotojai laikosi pramonės standartų.

Šifravimas

Visi mūsų platformos duomenys (saugomi ir fiziniuose įrenginiuose, ir debesyje) šifruojami naudojant SSL/TLS šifravimą. Be to, visuose įmonės išduotuose nešiojamuosiuose kompiuteriuose esanti informacija taip pat automatiškai užšifruojama naudojant visiško disko šifravimą.

Prieigos kontrolė ir stebėjimas

  • Klientų duomenims taikome "mažiausių privilegijų politiką", t. y. darbuotojai gali pasiekti tik tuos klientų duomenis, kurie reikalingi jų darbo užduotims atlikti.
  • Norėdami prisijungti prie versijų valdymo sistemos arba į ją įtraukti pakeitimus, darbuotojai turi turėti administratoriaus teises.
  • Norint pasiekti neskelbtinus duomenis ir programas, reikia naudoti dviejų veiksnių autentifikavimą - naudotojo ID, slaptažodį, OTP ir (arba) sertifikatą.

Tačiau tai tik nedidelė dalis darbo, kurį atlikome siekdami užtikrinti visišką mūsų platformos saugumą. 

Norėdami sužinoti daugiau apie tai, kokią saugumo praktiką įgyvendinome po audito (ir ką darome, kad užtikrintume tvirtovės lygio saugumą), galite perskaityti išsami saugumo ataskaita sukurtą "Drata", kurią galima rasti mūsų svetainėje.

SOC2 atitikties poveikis "Bouncer" veikimui ir patikimumui 

Tačiau sunkus darbas buvo daugiau nei vertas. Atlikę SOC2 auditą sužinojome daug daugiau apie savo paslaugų ir infrastruktūros saugumą ir radome vietų, kuriose galėtume dar labiau patobulinti savo el. pašto tikrinimo paslaugą. 

Taigi auditas mums padėjo:

Ar ieškojote sąrašo tikrinimo įrankio, kuris pasižymėtų ne tik išskirtiniu tikslumu, bet ir patikimomis duomenų apsaugos priemonėmis? "Bouncer" pasirengęs padėti - nesvarbu, ar turite tūkstančius, ar milijonus adresų, galite greitai gauti šviežią ir aktyvų el. pašto sąrašą.   

Jei norite pirmiausia išbandyti, kaip veikia "Bouncer", galite tikrinti pirmuosius el. pašto adresus visiškai nemokamai 🙂 

Taigi, kaip jums patiems patikrinti, koks švarus gali būti jūsų sąrašas su mūsų pagalba?  

Įsitikinkite, kad pasirinkote SOC2 atitikties reikalavimus atitinkantį įrankį

El. pašto tikrinimo įrankiai gali būti puiki pagalba jūsų verslui. Tiesiog pateikite jiems turimų el. pašto adresų sąrašą, ir jie išryškins visus adresus, kurie gali niekada neatidaryti jūsų el. laiškų. Taigi kodėl turėtumėte jiems skirti laiko ir pinigų? 

Kad įsitikintumėte, jog sąrašu naudositės tik jūs (ir jūsų darbuotojai), turėtumėte ieškoti el. pašto tikrinimo paslaugų, pasižyminčių aukščiausio lygio saugumu. O SOC2 atitikties ženkliukas, kaip antai tas, kurį galite pamatyti mūsų "Bouncer" puslapyje, yra būtent tokio saugumo ženklas. 

Naudodamiesi programėle galite atlikti visą sunkų sąrašo valymo darbą, o kai naujas sąrašas bus paruoštas, iš karto siųskite naujienlaiškius ar pasiūlymus.

Dažniausiai užduodami klausimai apie SOC2 atitiktį

Kas yra SOC2 atitiktis ir kodėl ji svarbi paslaugų teikėjams?

SOC2 - tai Amerikos sertifikuotų apskaitininkų instituto (AICPA) nustatytas saugumo standartas, pagal kurį vertinamas paslaugų įmonės gebėjimas apsaugoti klientų duomenų privatumą, saugumą ir konfidencialumą.

Atlikdami SOC2 auditą paslaugų teikėjai gali daugiau sužinoti apie tai, kaip apsaugoti jautrią informaciją nuo duomenų saugumo pažeidimų ar neteisėtos prieigos ir kaip sustiprinti savo vidaus saugumą. 

Kuo SOC2 atitiktis naudinga paslaugų teikėjams ir jų klientams?

Atlikdamos SOC2 auditą paslaugų organizacijos įrodo, kad žino, kaip gali apsaugoti verslo duomenis ir savo paslaugas nuo pažeidimų, netinkamo naudojimo ir kibernetinių atakų. Dėl to jų klientai gali būti ramesni, ypač tie, kurie iš debesijos paslaugų, kuriomis naudojasi, reikalauja aukšto saugumo lygio. 

Kaip SOC2 auditas gali būti naudingas el. pašto tikrinimo paslaugoms?

El. pašto tikrinimo paslaugų teikėjai tvarko daug konfidencialios informacijos, pavyzdžiui, el. pašto adresus ir klientų asmeninius duomenis. Atlikę SOC2 auditą jie gali sužinoti, kaip gerai jų tinkle apsaugoti duomenys ir ką galima patobulinti, kad jų paslaugos būtų atsparesnės.     

 

Linija ir taškai

Populiariausi mūsų tinklaraštyje

Tinklaraščio įrašas Bouncer

Kaip patikrinti, ar el. pašto adresas yra tikras, ar suklastotas: Kaip išsiaiškinti, ar el. pašto adresas

Izabela Harbarczyk
Skaityti daugiau
Tinklaraščio įrašas Bouncer

Kaip patikrinti, ar el. pašto adresas yra galiojantis: Galutinis vadovas: kaip išsiaiškinti, ar el.

Izabela Harbarczyk
Skaityti daugiau
Tinklaraščio įrašas Bouncer

El. pašto paskyra: Vienintelis vadovas pradedantiesiems, kurio jums reikia

Izabela Harbarczyk
Skaityti daugiau
Tinklaraščio įrašas Bouncer

Kas yra "Gmail" siuntimo ribos? Atsakymai į visus klausimus

Izabela Harbarczyk
Skaityti daugiau