Kaj je SOC2 in kako lahko zaščiti podatke na vašem seznamu e-pošte? V našem članku boste našli vse, kar morate vedeti o tem.

Razumevanje skladnosti SOC2 

Preden preidemo k temu, kako lahko ponudniki e-pošte, skladni s SOC2, zagotovijo varnost vaših e-poštni seznam, moramo vedeti, kaj je SOC2. 

Kaj je standard SOC2?

SOC 2 (Systems and Organization Controls 2) je sklop standardov kibernetske varnosti in zasebnosti za storitvene organizacije. Zahteve je leta 2010 razvil Ameriški inštitut certificiranih računovodij (AICPA), da bi določil, kako naj ponudniki storitev upravljajo, hranijo in varujejo podatke strank, da bi zmanjšali varnostna tveganja in incidente.

Čeprav je skladnost SOC2 še vedno "le" prostovoljni standard, se vse več ponudnikov storitev prijavlja za varnostno revizijo, da bi zaščitili svoje storitve in stranke pred kršitvami.

V študiji A-lign, na primer, 47% anketirancev je izjavilo, da je revizija SOC2 najpomembnejša revizija za njihovo podjetje.

Obstajata dve vrsti revizij SOC2:

• Med tipom 1, neodvisni revizor pregleda in analizira določene poslovne prakse in procese, da ugotovi, kako dobro ustrezajo zahtevam ustreznih načel zaupanja.
• Tip 2 preučuje iste postopke, vendar v daljšem časovnem obdobju, običajno od 6 do 12 mesecev.

Katerih je pet meril zaupanja za storitve (TSC) za okvir skladnosti SOC2?

Okvir SOC2 je sestavljen iz petih meril zaupanja vrednih storitev (TSC), in sicer:

• Varnost
• Razpoložljivost
• Zaupnost
• Celovitost obdelave
• Zasebnost

Varnost (imenovana tudi Skupna merila) je obvezna za vsa podjetja, ki želijo opraviti revizijo SOC2. Ostale so neobvezne, tako da se lahko podjetja prijavijo le za tiste revizijske kategorije, ki so zanje pomembne.

Pri podjetju Bouncer smo na primer v revizijo vključili razpoložljivost storitev in zaupnost podatkov.

 Zdaj si podrobneje oglejmo načela storitev zaupanja.

Varnost (skupna merila)

Varnostne revizije preverjajo raven varnosti in skladnosti v celotni organizaciji:

• Varnostni postopki in politike
• Zaščita pred nepooblaščenim dostopom ali zlorabo podatkov
• Nastavitve uporabniškega dostopa
• Izvedene varnostne funkcije (požarni zid, šifriranje, večfaktorsko preverjanje pristnosti itd.)
• postopki podjetja za varnostne incidente ali kršitve itd.

Vendar je dejanski seznam revizijskih zahtev veliko daljši. Med običajno varnostno revizijo revizor SOC2 oceni od 80 do 100 varnostnih kontrol, da bi zajel vsa mesta, kjer bi lahko prišlo do incidenta. 

Najdete lahko podroben seznam varnostnih zahtev. na spletnem mestu AICPA.

 Razpoložljivost

Druga kategorija v reviziji SOC2 je razpoložljivost, kar pomeni preverjanje časa delovanja in uspešnosti storitve. Revizor bo preveril tudi:

• Kakšne prakse za obnovitev po nesreči ima organizacija.
• Kako pogosto ustvarjajo varnostne kopije.
• Katere metode uporabljajo za spremljanje uspešnosti in kakovosti storitev
• ali imajo postopke za obravnavo varnostnih incidentov.

Zaupnost

Med revizijo zaupnosti bodo revizorji SOC2 preverili, kako storitvene organizacije hranijo podatke o strankah (zlasti občutljive in zaupne vrste podatkov) in kako dobro so zaščiteni.

Podjetja, ki hranijo podatke, zaščitene s sporazumi o nerazkritju (NDA), ali katerih stranke zahtevajo, da se njihovi podatki po izteku pogodbe izbrišejo, pogosto vključijo tudi to kategorijo v svojo revizijo.

Celovitost obdelave

Revizija celovitosti obdelave preverja, ali so podatki, dodani in obdelani v sistemu organizacije, zanesljivi in brez napak. Revizor bo preveril tudi, kako se podatki znotraj sistema obdelujejo - na primer, kateri del podatkov se med obdelavo izgubi ali poškoduje. 

Merili bodo tudi, koliko časa traja, da so obdelani podatki pripravljeni za uporabo, in kako določeno podjetje rešuje morebitne težave pri obdelavi. 

Zasebnost

V tem delu bo revizor SOC2 analiziral, kako se podatki PII (Personally Identifiable Information) se zbirajo, shranjujejo in varujejo pred kršitvami ali zlorabami. 

Merila zasebnosti se morda zdijo enaka merilom zaupnosti, vendar obstaja pomembna razlika. Medtem ko so zahteve glede zaupnosti povezane z vsemi vrstami občutljivega gradiva, ki ga podjetje lahko hrani, se zasebnost nanaša samo na podatke PII (kot so rojstni podatki ali številke socialnega zavarovanja). 

Prednosti skladnosti s SOC2

Izvedba tako temeljite varnostne revizije v organizaciji se morda zdi veliko dela in časa, porabljenega za to dejavnost. Poročilo SOC 2 tipa 1 običajno traja približno dva meseca, poročilo SOC 2 tipa 2 pa od 6 do 12 mesecev.

Vendar pa prednosti storitve s certifikatom SOC2 več kot odtehtajo potreben čas in trud.   

Tukaj so trije glavni razlogi, zakaj lahko izvedba revizije SOC 2 dolgoročno koristi podjetjem.

Izboljšana zaščita

Ena največjih prednosti revizije SOC2 je, da lahko podjetjem pomaga okrepiti njihove varnostne zaščitne ukrepe. Z varnostno revizijo lahko ugotovijo svoje močne in šibke točke na področju varnosti ter določijo mesta z največjim tveganjem za nastanek varnostnega incidenta. 

Nato lahko na podlagi znanja, pridobljenega z revizijo, načrtujejo in izvajajo varnostne prakse, ki jim bodo pomagale rešiti glavne težave s kibernetsko varnostjo v podjetju. 

Tako lahko organizacije pridobijo zaupanje, da imajo vzpostavljene zanesljive politike za zaščito podatkov in varnost, da lahko bolje obvladujejo kršitve varnosti.  

Izboljšana skladnost z lokalnimi in mednarodnimi zakoni

Dodatna prednost revizije SOC2 je, da se njene zahteve pogosto prekrivajo z drugimi pomembnimi varnostnimi standardi. 

Organizacije si lahko s prvo revizijo SOC2 olajšajo doseganje skladnosti s predpisi:  

• Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja (HIPAA) in Zakon o zdravstveni informacijski tehnologiji za ekonomsko in klinično zdravje (HITECH)
• Mednarodna organizacija za standardizacijo (ISO) 27001
• standardi varnosti podatkov (DSS) industrije plačilnih kartic (PCI) ali drugi predpisi PCI
• Mednarodni standardi zasebnosti, kot sta evropska uredba GDPR in kalifornijski zakon CCPA. 

Za podjetja, ki želijo postati skladna s SOC2 in na primer s HIPAA, je AICPA pripravila tudi nekaj vodnikov o tem, kako jih zahteve se prekrivajo. 

Večje zaupanje strank

Glede na to, koliko naslovov o vdorih v zbirke podatkov zasledimo, ni čudno, da so stranke vse bolj zaskrbljene glede varnosti svojih podatkov. 

Z oznako revizije SOC2 lahko podjetje svojim strankam zagotovi, da je že sprejelo ukrepe za okrepitev varnosti svojih storitev in zaščito podatkov v svojih sistemih. In če vidijo, da je ponudnik storitev opravil revizijo SOC2, se lahko stranke (zlasti tiste, ki ravnajo z občutljivimi materiali) počutijo bolj varne pri uporabi določene storitve.   

Vloga skladnosti SOC2 pri preverjanju e-pošte

Če želite kar najbolje izkoristiti svoj e-poštni seznam, morate redno odstranjevati neveljavna in neaktivna e-poštna sporočila s seznama - zakaj bi pošiljali novice ali ponudbe nekomu, ki jih sploh ne bo odprl? 

Kot smo že omenili v uvodu, ročno čiščenje seznama e-pošte ni ravno najboljša možnost, če imate na seznamu več tisoč imen. Tukaj je orodja za preverjanje e-pošte kot je Bouncer, saj lahko opravijo večino težkih nalog, povezanih s preverjanjem naslovov na seznamu.

Kako najti zanesljivo storitev preverjanja e-pošte, ki ne bo naredila nereda na vašem seznamu? In kar je najpomembneje, da bo vaš seznam elektronske pošte popolnoma varen. 

Rešitev je uporaba storitve preverjanja, ki je skladna s SOC2. Zakaj? Tukaj je nekaj razlogov.

Zaščita občutljivih e-poštnih podatkov

Če sodelujete s ponudnikom storitev preverjanja, skladnim s SOC2, ste lahko prepričani, da zna dobro poskrbeti za občutljive informacije na vaših seznamih e-pošte in v samih e-poštnih sporočilih. 

Na primer, vsa e-poštna sporočila, ki gredo prek storitve Bouncer, so samodejno šifrirana, šifrirani pa so tudi podatki o strankah v naših zbirkah podatkov. 

Zmanjšanje tveganja kršitev varnosti podatkov

Revizija SOC2 preverja, ali imajo ponudniki storitev vzpostavljene industrijske varnostne prakse in ali znajo ravnati v nepričakovanih situacijah. Na ta način je tveganje kršitve (bodisi zaradi napake zaposlenega bodisi zaradi kibernetskega napada) čim manjše. Brez tega boste izpostavljeni tveganju pogostih groženj kibernetske varnosti, kot so kraja kreditne kartice, goljufanje in kraja identitete. 

 ohranjanje celovitosti podatkov med postopkom preverjanja

Če uporabljate orodje za preverjanje seznama, želite pridobiti očiščen seznam s preverjenimi e-poštnimi sporočili, na katerega lahko takoj pošljete e-poštna sporočila. Vsekakor pa ne seznama s poškodovanimi ali manjkajočimi naslovi, ki ga morate očistiti tudi sami.

Ponudniki storitev, skladni s SOC2, lahko zagotovijo, da se kaj takega ne bo zgodilo, saj so bile njihove storitve že pregledane glede podobnih težav. Zato ste lahko prepričani, da vam bo orodje prihranilo čas (in tudi živce), ne pa ga zapravilo.

Pridobivanje natančnih in doslednih rezultatov preverjanja

Druga stvar, ki jo preverja revizija SOC2, je, kako zanesljiva je storitev in kako dobro lahko deluje pod obremenitvijo. Pri uporabi storitve, ki je skladna s SOC2, ste lahko prepričani, da boste dobili točne rezultate, ne glede na to, kako velik je vaš seznam ali koliko ljudi trenutno uporablja storitev.

Dokazovanje zavezanosti varnosti podatkov

Kako lahko stranki dokažete, da ponudnik storitev resno obravnava kibernetsko varnost, kot tako, da na svoji spletni strani prikaže oznako skladnosti SOC2? 

Z uspešno opravljeno revizijo lahko ponudniki storitev dokažejo, da vedo, kako zaščititi podatke v svojih sistemih pred poškodbami, ter da imajo vsa prava orodja in postopke za zaščito svoje infrastrukture pred kibernetskimi napadi.

Krepitev zaupanja in verodostojnosti strank

Če je revizijsko poročilo SOC2 na voljo za branje vsem obiskovalcem, je to odličen način, da odgovorite na nekatera vprašanja, povezana z razpoložljivostjo ali varnostjo, ki bi jih lahko imeli obiskovalci. 

Če jih na primer skrbi morebitni izpad storitve ali zahtevajo določeno storitev šifriranja e-pošte, bi jih morale informacije v revizijskem poročilu pomiriti. Ko vidijo, da se lahko zanesejo na ponudnika storitev, da bo poskrbel za varnost njihovih podatkov, mu bodo verjetno zaupali tudi svoje sezname elektronske pošte. 

Izpolnjevanje pričakovanj strank

Glede na to, koliko kibernetskih napadov se zgodi vsak dan in kako hude so lahko njihove posledice, stranke zdaj pričakujejo, da bodo podjetja kibernetsko varnost in zaščito podatkov obravnavala kot svojo prednostno nalogo. 

Zato vse več podjetij, ki iščejo poslovne storitve, najprej vpraša, ali je ponudnik storitev skladen s SOC2, preden se odločijo za nakup storitve, da bi se prepričali, da so njihovi poslovni podatki popolnoma varni. 

V enem od poročil je bilo na primer ugotovljeno, da 33% podjetij je dejal, da stranke sprašujejo o certifikatih SOC 2, ko raziskujejo, kako določeno podjetje varuje svoje podatke. 

Tako lahko z oznako SOC2 in revizijskim poročilom na svoji spletni strani pridobite prednost pred konkurenti. 

Izbijač: Orodje za preverjanje e-pošte v skladu s SOC2

V družbi Bouncer je zagotavljanje čim večje varnosti podatkov, ki jih posredujemo prek naše storitve, naša prednostna naloga. Zato z veseljem sporočamo, da smo od februarja 2023 skladni s standardom SOC2 tipa 1 (tip 2 je v teku!).

Revizorji SOC2 so našo storitev preizkusili za:

• Varnost podatkov in infrastrukture,
• Razpoložljivost storitev
• Zaupnost.

Na podlagi rezultatov revizije smo nato začrtali in izvedli več varnostnih ukrepov, s katerimi smo v naši platformi vzpostavili varnost na ravni trdnjave.   

Kako Bouncer izpolnjuje zahteve skladnosti SOC2

Kaj točno smo storili, da je naša storitev preverjanja e-pošte bolj zanesljiva, odporna in varna? 

Redne revizije in ocene varnosti

Vsaj enkrat na leto izvedemo:

• Revizija ocene tveganja
• test penetracije (ki ga opravi podjetje tretje osebe).
• Pregled naše politike nadzora dostopa in Organizacijska shema.

Enkrat na četrtletje opravimo pregled ranljivosti v našem produkcijskem okolju.

Varnostni ukrepi, ki jih izvaja Bouncer

Izboljšali smo tudi način uporabe in shranjevanja podatkov v našem podjetju, in sicer tako, da:

• Uporaba sistema za nadzor različic za upravljanje izvorne kode, dokumentacije in drugega pomembnega gradiva. 
• opisan postopek za zaposlene in stranke za poročanje vodstvu o incidentih in težavah na področju varnosti, zaupnosti, celovitosti in razpoložljivosti. 
• oblikovanje načrta za odzivanje na incidente in dodelitev namenskih zaposlenih v skupino za odzivanje.  

Uporabljamo tudi Platforma Drata spremljanje politik, postopkov in infrastrukture IT v podjetju, da bi zagotovili, da naši zaposleni spoštujejo industrijske standarde.

Šifriranje

Vsi podatki v naši platformi (shranjeni v fizičnih napravah in v oblaku) so šifrirani s šifriranjem SSL/TLS. Poleg tega so podatki v vseh prenosnih računalnikih, ki jih izda podjetje, samodejno šifrirani s šifriranjem celotnega diska.

Nadzor dostopa in spremljanje

• Za podatke o strankah uporabljamo "politiko najmanjših privilegijev", kar pomeni, da lahko zaposleni dostopajo le do podatkov o strankah, ki jih potrebujejo za svoje delovne naloge.
• Za dostop do sistema za nadzor različic ali dodajanje sprememb vanj morajo imeti zaposleni dovoljenje upravitelja.
• Za dostop do občutljivih podatkov in aplikacij zahtevamo dvofaktorsko preverjanje pristnosti v obliki uporabniškega imena, gesla, OTP in/ali potrdila.

To je le delček dela, ki smo ga opravili, da bi zagotovili popolno varnost naše platforme. 

Če želite izvedeti več o varnostnih praksah, ki smo jih uvedli po reviziji (in o tem, kaj počnemo, da ohranimo varnost na ravni trdnjave), si lahko preberete celotno varnostno poročilo ki ga je ustvarila družba Drata in je na voljo na našem spletnem mestu.

Vpliv skladnosti SOC2 na uspešnost in zanesljivost družbe Bouncer 

Težko delo je bilo več kot vredno. Zahvaljujoč reviziji SOC2 smo se lahko naučili veliko več o varnosti naših storitev in infrastrukture ter našli mesta, kjer lahko našo storitev preverjanja e-pošte še izboljšamo. 

Tako nam je revizija pomagala pri:

• boljša zaščita naše storitve preverjanja e-pošte pred kibernetskimi grožnjami
• Zagotavljanje visokokakovostnih in zanesljivih storitev za vse naše stranke.
• zagotovilo poslovnim partnerjem, da so njihovi podatki v naših rokah varni.     

Ste iskali orodje za preverjanje seznamov, ki ima izjemno visoko stopnjo natančnosti in tudi zanesljive ukrepe za zaščito podatkov? Bouncer je pripravljen pomagati - ne glede na to, ali imate na tisoče ali milijone naslovov, lahko v kratkem času dobite svež in aktiven seznam e-pošte.   

Če želite najprej preizkusiti delovanje storitve Bouncer, lahko preverite svoje prve e-poštne naslove. popolnoma brezplačno 🙂 

Kaj če bi sami preverili, kako čist je lahko vaš seznam z našo pomočjo?  

Prepričajte se, da ste izbrali orodje, ki je prijazno do skladnosti SOC2

Orodja za preverjanje e-pošte so lahko v veliko pomoč vašemu podjetju. Preprosto jim dajte seznam e-poštnih naslovov, ki jih imate, in izpostavili bodo vse naslove, ki morda nikoli ne bodo odprli vaših e-poštnih sporočil. Zakaj bi torej zanje porabili svoj čas in denar? 

Če želite zagotoviti, da boste seznam uporabljali le vi (in vaši zaposleni), poiščite storitve preverjanja e-pošte z vrhunsko varnostjo. Znak skladnosti SOC2, kot je ta, ki ga lahko vidite na naši strani Bouncer, je ravno znak takšne varnosti. 

Z aplikacijo na vaši strani lahko namesto vas opravite celotno čiščenje seznama - in ko je novi seznam pripravljen, lahko takoj pošljete glasila ali ponudbe.

Skladnost SOC2 Pogosta vprašanja

Kaj je skladnost SOC2 in zakaj je pomembna za ponudnike storitev?

SOC2 je varnostni standard, ki ga je določil Ameriški inštitut certificiranih javnih računovodij (AICPA) in ki meri sposobnost storitvenega podjetja, da zaščiti zasebnost, varnost in zaupnost podatkov strank.

Z revizijo SOC2 lahko ponudniki storitev izvedo več o tem, kako lahko zaščitijo občutljive informacije pred kršitvami varnosti podatkov ali nepooblaščenim dostopom in kako lahko okrepijo svojo notranjo varnost. 

Kako skladnost SOC2 koristi ponudnikom storitev in njihovim strankam?

Z uspešno opravljeno revizijo SOC2 storitvene organizacije dokažejo, da vedo, kako lahko zaščitijo poslovne podatke in svoje storitve pred vdori, zlorabo in kibernetskimi napadi. To lahko njihove stranke pomiri, zlasti tiste, ki od storitev v oblaku, ki jih uporabljajo, zahtevajo visoko raven varnosti. 

Kako lahko revizija SOC2 koristi storitvam preverjanja e-pošte?

Ponudniki preverjanja e-pošte obdelujejo veliko občutljivih informacij, kot so e-poštni naslovi in osebni podatki strank. Z revizijo SOC2 lahko ugotovijo, kako dobro so podatki zaščiteni v njihovem omrežju in kaj lahko izboljšajo, da bodo njihove storitve bolj odporne.