Dôležitosť súladu so SOC2 pre overovanie e-mailov

máj 11, 2023
11

Ručné čistenie e-mailového zoznamu, keď v ňom máte "len" približne 100 e-mailových adries, môže byť časovo náročné. 

naplánovať stretnutie

Ale čo ak máte tisíce adries, ktoré musíte prejsť? Potom je takmer nemožné vyradiť všetky neaktívne alebo nesprávne adresy zo zoznamu - pokiaľ nepoužívate nástroj na overovanie e-mailových zoznamov.

Nechcete však len tak hocijaký nástroj - chcete používať nástroj na overovanie e-mailov, ktorý je v súlade so SOC2.

Čo je SOC2 a ako môže chrániť informácie vo vašom e-mailovom zozname? Všetko, čo o nej potrebujete vedieť, nájdete v našom článku.

Obsah

Pochopenie súladu so SOC2 

Skôr než sa dostaneme k tomu, ako môžu poskytovatelia e-mailových služieb spĺňajúci požiadavky SOC2 zaručiť bezpečnosť vašich e-mailový zoznam, musíme vedieť, čo je SOC2. 

Čo je štandard SOC2?

SOC 2 (Systems and Organization Controls 2) je súbor noriem kybernetickej bezpečnosti a ochrany osobných údajov pre organizácie poskytujúce služby. Požiadavky vypracoval Americký inštitút certifikovaných účtovníkov (AICPA) v roku 2010 s cieľom špecifikovať, ako by mali poskytovatelia služieb spravovať, uchovávať a chrániť údaje zákazníkov, aby sa minimalizovali bezpečnostné riziká a incidenty.

Hoci je súlad so štandardom SOC2 stále "len" dobrovoľným štandardom, čoraz viac poskytovateľov služieb sa uchádza o bezpečnostný audit - s cieľom chrániť svoje služby aj svojich zákazníkov pred narušením.

Napríklad v štúdii A-lign, 47% respondentov uviedlo, že audit SOC2 bol pre ich podnik najdôležitejším auditom.

Existujú dva typy auditov SOC2:

  • Počas typu 1, nezávislý audítor kontroluje a analyzuje konkrétne obchodné postupy a procesy s cieľom zistiť, do akej miery zodpovedajú požiadavkám na príslušné zásady dôvery.
  • Typ 2 skúma tie isté procesy, ale za určité časové obdobie, zvyčajne od 6 do 12 mesiacov.

Čo je to päť kritérií dôveryhodných služieb (TSC) pre rámec zhody SOC2?

Rámec SOC2 sa skladá z piatich kritérií dôveryhodných služieb (TSC), a to:

  • Zabezpečenie
  • Dostupnosť
  • Dôvernosť
  • Integrita spracovania
  • Ochrana osobných údajov

Bezpečnosť (nazývaná aj Spoločné kritériá) je povinná pre všetky spoločnosti, ktoré chcú prejsť auditom SOC2. Ostatné sú voliteľné, takže podniky sa môžu uchádzať len o tie kategórie auditu, ktoré sú pre ne dôležité.

V spoločnosti Bouncer sme napríklad do nášho auditu zahrnuli dostupnosť služieb a dôvernosť údajov.

 Pozrime sa teraz bližšie na zásady dôveryhodných služieb.

Bezpečnosť (Spoločné kritériá)

Bezpečnostné audity skúmajú úroveň zabezpečenia a súladu s predpismi v celej organizácii:

  • Bezpečnostné postupy a zásady
  • Ochrana pred neoprávneným prístupom alebo zneužitím údajov
  • Nastavenia prístupu používateľa
  • implementované bezpečnostné funkcie (firewall, šifrovanie, viacfaktorové overovanie atď.)
  • Postupy spoločnosti v prípade bezpečnostných incidentov alebo narušení bezpečnosti atď.

 

Skutočný zoznam požiadaviek na audit je však oveľa dlhší. Počas typického bezpečnostného auditu audítor SOC2 hodnotí 80 až 100 bezpečnostných kontrol, aby pokryl všetky miesta, kde by mohlo dôjsť k incidentu. 

Nájdete tu podrobný zoznam bezpečnostných požiadaviek na webovej stránke AICPA.

 Dostupnosť

Druhou kategóriou auditu SOC2 je dostupnosť, čo znamená skúmanie času prevádzkyschopnosti a výkonu služby. Audítor tiež skontroluje:

  • Aké postupy na obnovu po havárii organizácia zaviedla
  • Ako často vytvárajú zálohy
  • Aké metódy používajú na monitorovanie výkonu a kvality služieb
  • či majú postupy na riešenie bezpečnostných incidentov

Dôvernosť

Počas auditu dôvernosti budú audítori SOC2 kontrolovať, ako organizácie poskytujúce služby uchovávajú údaje o zákazníkoch (najmä citlivé a dôverné typy údajov) a ako dobre sú chránené.

Spoločnosti, ktoré uchovávajú informácie chránené dohodami o mlčanlivosti (NDA) alebo ktorých klienti požadujú, aby sa ich údaje po skončení zmluvy vymazali, často zahŕňajú do svojho auditu aj túto kategóriu.

Integrita spracovania

Audit integrity spracovania kontroluje, či sú údaje pridané a spracované v systéme organizácie spoľahlivé a bez chýb. Audítor sa pozrie aj na to, ako sa informácie vo vnútri systému spracúvajú - napríklad aká ich časť sa počas spracovania stratí alebo poškodí. 

Budú tiež merať, ako dlho trvá, kým sú spracované údaje pripravené na použitie, a ako daná spoločnosť rieši prípadné problémy so spracovaním. 

Ochrana osobných údajov

Počas tejto časti audítor SOC2 analyzuje, ako sa PII (Personally identifiable information) sú zhromažďované, uchovávané a chránené pred narušením alebo zneužitím. 

Kritériá ochrany súkromia sa môžu zdať rovnaké ako kritériá dôvernosti, ale je tu jeden významný rozdiel. Zatiaľ čo požiadavky na dôvernosť sa týkajú všetkých typov citlivých materiálov, ktoré môže podnik uchovávať, ochrana osobných údajov sa vzťahuje len na informácie PII (napríklad rodné čísla alebo čísla sociálneho poistenia). 

Výhody súladu so SOC2

Vykonanie takéhoto dôkladného bezpečnostného auditu v organizácii sa môže zdať ako veľa práce a času stráveného touto činnosťou. Správa SOC 2 typu 1 zvyčajne trvá približne dva mesiace, zatiaľ čo správa SOC 2 typu 2 môže trvať 6 až 12 mesiacov.

Výhody služby s certifikátom SOC2 však viac než vynahradia čas a úsilie, ktoré sú potrebné.   

Tu sú tri hlavné dôvody, prečo môže byť vykonanie auditu SOC 2 pre spoločnosti z dlhodobého hľadiska prínosom.

Zvýšená ochrana

Jednou z najväčších výhod auditu SOC2 je, že môže pomôcť spoločnostiam posilniť ich bezpečnostné opatrenia. Vykonaním bezpečnostného auditu môžu zistiť svoje silné a slabé miesta, pokiaľ ide o bezpečnosť, a určiť miesta s najvyšším rizikom vzniku bezpečnostného incidentu. 

Potom môžu na základe poznatkov z auditu naplánovať a zaviesť bezpečnostné postupy, ktoré im pomôžu vyriešiť hlavné problémy kybernetickej bezpečnosti vo firme. 

Organizácie tak môžu získať istotu, že majú zavedené spoľahlivé zásady ochrany a zabezpečenia údajov, aby mohli lepšie riešiť prípady narušenia bezpečnosti.  

Lepšie dodržiavanie miestnych a medzinárodných zákonov

Ďalšou výhodou absolvovania auditu SOC2 je, že jeho požiadavky sa často prekrývajú s inými dôležitými bezpečnostnými normami. 

Ak teda organizácie najprv vykonajú audit SOC2, môžu si uľahčiť dosiahnutie súladu s predpismi:  

  • Zákon o prenosnosti a zodpovednosti za zdravotné poistenie (HIPAA) a zákon o zdravotníckych informačných technológiách pre ekonomické a klinické zdravie (HITECH)
  • Medzinárodná organizácia pre normalizáciu (ISO) 27001
  • Štandardy bezpečnosti údajov (DSS) v oblasti platobných kariet (PCI) alebo iné predpisy PCI
  • Medzinárodné normy ochrany osobných údajov, ako je európske nariadenie GDPR alebo kalifornské nariadenie CCPA. 

Pre podniky, ktoré sa snažia dosiahnuť súlad so SOC2 a napríklad aj s HIPAA, vytvorila AICPA aj niekoľko príručiek o tom, ako tieto požiadavky sa prekrývajú. 

Zvýšená dôvera zákazníkov

Vzhľadom na množstvo titulkov o narušení bezpečnosti databáz sa nemožno čudovať, že zákazníci majú čoraz väčšie obavy o bezpečnosť svojich údajov. 

Umiestnením odznaku auditu SOC2 môže spoločnosť uistiť svojich zákazníkov, že už podnikla kroky na posilnenie bezpečnosti svojich služieb a ochranu údajov vo svojich systémoch. A tým, že vidia, že poskytovateľ služieb prešiel auditom SOC2, sa zákazníci (najmä tí, ktorí pracujú s citlivými materiálmi) môžu cítiť pokojnejšie pri využívaní danej služby.   

Úloha súladu so SOC2 pri overovaní e-mailov

Ak chcete zo svojho e-mailového zoznamu vyťažiť čo najviac, je dôležité, aby ste pravidelne odstraňovali neplatné a neaktívne e-maily zo zoznamu - prečo posielať newsletter alebo ponuky niekomu, kto si poštu ani neotvorí? 

Ako sme však už spomenuli v úvode, ručné čistenie zoznamu e-mailov nie je práve najlepšou možnosťou, ak máte v zozname niekoľko tisíc mien. Tu je miesto, kde nástroje na overenie e-mailu ako je napríklad Bouncer, pretože zvládnu väčšinu ťažkých úloh spojených s overovaním adries v zozname.

Ako však môžete nájsť spoľahlivú službu overovania e-mailov, ktorá vám neurobí neporiadok v zozname? A čo je najdôležitejšie, ktorá zároveň zabezpečí úplné zabezpečenie vášho zoznamu e-mailov. 

Riešením je použitie overovacej služby, ktorá je v súlade so SOC2. Prečo? Tu je niekoľko dôvodov.

Ochrana citlivých e-mailových údajov

Spoluprácou s poskytovateľom overovacích služieb, ktorý spĺňa požiadavky SOC2, si môžete byť istí, že sa vie dobre postarať o citlivé informácie vo vašich zoznamoch e-mailov a o samotné e-maily. 

Napríklad všetky e-maily, ktoré prechádzajú cez službu Bouncer, sú automaticky zaheslované a údaje o zákazníkoch v našich databázach sú tiež zašifrované. 

Zníženie rizika porušenia ochrany údajov

Audit SOC2 kontroluje, či poskytovatelia služieb majú zavedené priemyselné bezpečnostné postupy a vedia, ako riešiť neočakávané situácie. Týmto spôsobom sa minimalizuje riziko narušenia (buď chybou zamestnanca, alebo kybernetickým útokom). Bez toho budete vystavení riziku bežných hrozieb kybernetickej bezpečnosti, ako napr. krádež kreditnej karty, phishing a krádež identity. 

 Zachovanie integrity údajov počas procesu overovania

Pri používaní nástroja na overenie zoznamu chcete získať vyčistený zoznam s overenými e-mailmi, na ktorý môžete ihneď posielať e-maily. Rozhodne však nie zoznam s poškodenými alebo chýbajúcimi adresami, ktorý musíte vyčistiť aj sami.

Poskytovatelia služieb, ktorí spĺňajú požiadavky SOC2, môžu zaručiť, že k takýmto veciam nedôjde, pretože ich služby už boli na podobné problémy skontrolované. Môžete si teda byť istí, že tento nástroj vám ušetrí čas (a tiež nervy), a nie ho premárni.

Získanie presných a konzistentných výsledkov overovania

Ďalšou vecou, ktorú audit SOC2 overuje, je spoľahlivosť služby a jej schopnosť pracovať pri záťaži. Pri používaní služby spĺňajúcej požiadavky SOC2 si teda môžete byť istí, že dostanete presné výsledky bez ohľadu na to, aký veľký je váš zoznam alebo koľko ľudí službu práve používa.

Preukázanie záväzku k bezpečnosti údajov

Ako lepšie dokázať zákazníkovi, že poskytovateľ služieb berie kybernetickú bezpečnosť vážne, ako zobrazením odznaku zhody SOC2 na svojej webovej stránke? 

Absolvovaním auditu môžu poskytovatelia služieb preukázať, že vedia, ako chrániť údaje vo svojich systémoch pred poškodením, a tiež že majú všetky správne nástroje a postupy na ochranu svojej infraštruktúry pred kybernetickými útokmi.

Zvyšovanie dôvery zákazníkov a dôveryhodnosti

Správa o audite SOC2, ktorú si môžu prečítať všetci návštevníci, je skvelým spôsobom, ako odpovedať na niektoré otázky týkajúce sa dostupnosti alebo bezpečnosti, ktoré môžu návštevníci mať. 

Ak sa napríklad obávajú možného výpadku služby alebo požadujú konkrétny služba šifrovania e-mailov, informácie v audítorskej správe by ich mali upokojiť. A keď uvidia, že sa môžu spoľahnúť na poskytovateľa služieb, že ich údaje sú v bezpečí, je pravdepodobnejšie, že mu budú dôverovať aj v prípade svojich vlastných e-mailových zoznamov. 

Splnenie očakávaní zákazníkov

Vzhľadom na to, koľko kybernetických útokov sa denne odohráva a aké závažné môžu byť ich dôsledky, zákazníci teraz očakávajú, že podniky budú považovať kybernetickú bezpečnosť a ochranu údajov za svoju najvyššiu prioritu. 

Preto sa čoraz viac spoločností, ktoré hľadajú služby pre podniky, pred rozhodnutím o kúpe služby najprv pýta, či je poskytovateľ služieb v súlade s normou SOC2 - aby sa uistili, že ich podnikové údaje sú úplne bezpečné. 

V jednej správe sa napríklad zistilo, že 33% spoločností uviedol, že zákazníci sa pýtajú na certifikáty SOC 2, keď zisťujú, ako daná spoločnosť zabezpečuje svoje údaje. 

Odznak SOC2 a správa o audite na vašej webovej stránke vám tak môžu poskytnúť výhodu pred vašou konkurenciou. 

Vyhadzovač: Nástroj na overovanie e-mailov v súlade so SOC2

Pre nás v spoločnosti Bouncer je prioritou zabezpečiť, aby boli údaje prenášané cez našu službu čo najbezpečnejšie. Preto sme radi, že môžeme povedať, že od februára 2023 sme teraz v súlade s normou SOC2 typu 1 (na type 2 sa pracuje!).

e-mailová čierna listina

Naše služby boli testované audítormi SOC2 na:

  • Bezpečnosť údajov a infraštruktúry,
  • Dostupnosť služby
  • Dôvernosť.

Na základe výsledkov auditu sme následne načrtli a implementovali niekoľko bezpečnostných opatrení, vďaka ktorým sme v našej platforme vybudovali zabezpečenie na úrovni pevnosti.   

Ako spoločnosť Bouncer spĺňa požiadavky na zhodu so SOC2

Čo presne sme urobili, aby bola naša služba overovania e-mailov spoľahlivejšia, odolnejšia a bezpečnejšia? 

Pravidelné bezpečnostné audity a hodnotenia

Najmenej raz ročne vystupujeme:

  • Audit hodnotenia rizík
  • penetračný test (vykonaný spoločnosťou tretej strany)
  • Preskúmanie našich zásad kontroly prístupu a Organizačná schéma.

Raz za štvrťrok zatiaľ vykonávame kontrolu zraniteľností nášho produkčného prostredia.

Bezpečnostné opatrenia zavedené spoločnosťou Bouncer

Zlepšili sme aj spôsob používania a ukladania údajov v našej spoločnosti:

  • Používanie systému správy verzií na správu zdrojového kódu, dokumentácie a ďalších dôležitých materiálov. 
  • zavedenie postupu pre zamestnancov aj zákazníkov na nahlasovanie incidentov a obáv týkajúcich sa bezpečnosti, dôvernosti, integrity a dostupnosti vedeniu. 
  • Vytvorenie plánu reakcie na incident a pridelenie špecializovaných zamestnancov do tímu pre reakciu.  

Používame tiež Platforma Drata monitorovať zásady, postupy a IT infraštruktúru spoločnosti s cieľom zabezpečiť, aby naši zamestnanci dodržiavali priemyselné normy.

Šifrovanie

Všetky údaje v našej platforme (uložené vo fyzických zariadeniach aj v cloude) sú šifrované pomocou šifrovania SSL/TLS. Okrem toho sú informácie vo vnútri všetkých notebookov vydaných spoločnosťou tiež automaticky šifrované prostredníctvom šifrovania celého disku.

Kontrola prístupu a monitorovanie

  • Pre údaje o zákazníkoch používame "politiku najmenších privilégií", čo znamená, že zamestnanci majú prístup len k tým údajom o zákazníkoch, ktoré potrebujú pre svoje pracovné úlohy.
  • Na prístup k systému správy verzií alebo pridávanie zmien do neho musia mať zamestnanci oprávnenie administrátora.
  • Na prístup k citlivým údajom a aplikáciám vyžadujeme dvojfaktorovú autentifikáciu vo forme ID používateľa, hesla, OTP a/alebo certifikátu.

To je však len zlomok práce, ktorú sme vykonali na zaistenie úplného zabezpečenia našej platformy. 

Ak sa chcete dozvedieť viac o tom, aké bezpečnostné postupy sme zaviedli po audite (a čo robíme, aby sme si udržali bezpečnosť na úrovni pevnosti), môžete si prečítať Úplná správa o bezpečnosti vytvorený spoločnosťou Drata, ktorý je k dispozícii na našej webovej stránke.

Vplyv súladu so SOC2 na výkonnosť a spoľahlivosť spoločnosti Bouncer 

Tá tvrdá práca však stála za to. Vďaka auditu SOC2 sme sa mohli dozvedieť oveľa viac o bezpečnosti našich služieb a infraštruktúry a nájsť miesta, kde by sme mohli našu službu overovania e-mailov ešte zlepšiť. 

Audit nám tak pomohol:

Hľadali ste nástroj na overovanie zoznamov, ktorý má vynikajúcu presnosť, ale aj spoľahlivé opatrenia na ochranu údajov? Bouncer je pripravený vám pomôcť - či už máte tisíce alebo milióny adries, môžete získať čerstvý a aktívny e-mailový zoznam v krátkom čase.   

Ak si chcete najprv vyskúšať, ako funguje aplikácia Bouncer, môžete overenie prvých e-mailových adries úplne zadarmo 🙂 

Čo keby ste si sami overili, ako čistý môže byť váš zoznam s našou pomocou?  

Uistite sa, že ste si vybrali nástroj vhodný pre dodržiavanie súladu so SOC2

Nástroje na overovanie e-mailov môžu byť pre vašu firmu fantastickou pomocou. Stačí im poskytnúť zoznam e-mailových adries, ktoré máte, a oni zvýraznia všetky adresy, ktoré by nikdy nemuseli otvoriť vaše e-maily. Prečo by ste teda mali na ne vynakladať svoj čas a peniaze? 

Ak chcete mať istotu, že zoznam budete používať len vy (a vaši zamestnanci), mali by ste si vyhľadať služby overovania e-mailov so špičkovým zabezpečením. A odznak zhody so SOC2, ako je ten, ktorý môžete vidieť na našej stránke Bouncer, je práve znakom takéhoto zabezpečenia. 

S aplikáciou na vašej strane môžete celú ťažkú prácu s čistením zoznamu vykonať za vás - a keď je nový zoznam pripravený, môžete ihneď posielať svoje informačné bulletiny alebo ponuky.

Často kladené otázky týkajúce sa súladu so SOC2

Čo je to súlad so SOC2 a prečo je pre poskytovateľov služieb dôležitý?

SOC2 je bezpečnostný štandard stanovený Americkým inštitútom certifikovaných účtovníkov (AICPA), ktorý meria schopnosť spoločnosti poskytujúcej služby chrániť súkromie, bezpečnosť a dôvernosť údajov zákazníkov.

Prostredníctvom auditu SOC2 sa poskytovatelia služieb môžu dozvedieť viac o tom, ako môžu chrániť citlivé informácie pred únikom údajov alebo neoprávneným prístupom a ako môžu posilniť svoje interné zabezpečenie. 

Aké výhody prináša súlad so SOC2 poskytovateľom služieb a ich zákazníkom?

Absolvovaním auditu SOC2 organizácie poskytujúce služby preukazujú, že vedia, ako môžu chrániť obchodné údaje a svoje služby pred narušením, zneužitím a kybernetickými útokmi. To môže ich zákazníkov viac upokojiť, najmä tých, ktorí od cloudových služieb, ktoré využívajú, vyžadujú vysokú úroveň zabezpečenia. 

Ako môže audit SOC2 prospieť službám overovania e-mailov?

Poskytovatelia overovania e-mailov spracúvajú množstvo citlivých informácií, ako sú e-mailové adresy a osobné údaje zákazníkov. Absolvovaním auditu SOC2 môžu zistiť, ako dobre sú údaje v ich sieti chránené a čo môžu zlepšiť, aby boli ich služby odolnejšie.     

 

Čiary a bodky

Najobľúbenejšie na našom blogu

Príspevok na blogu Vyhadzovač

Ako overiť, či je e-mailová adresa pravá alebo falošná: Sprievodca

Izabela Harbarczyk
Prečítajte si viac
Príspevok na blogu Vyhadzovač

Ako skontrolovať, či je e-mailová adresa platná: Najdôležitejší návod, ako zistiť, či je e-mailová adresa správna.

Izabela Harbarczyk
Prečítajte si viac
Príspevok na blogu Vyhadzovač

E-mailové konto: Jediný sprievodca pre začiatočníkov, ktorý potrebujete

Izabela Harbarczyk
Prečítajte si viac
Príspevok na blogu Vyhadzovač

Čo sú limity odosielania v službe Gmail? Všetky otázky zodpovedané

Izabela Harbarczyk
Prečítajte si viac