Що таке SOC2 і як він може захистити інформацію у вашому списку розсилки? У нашій статті ви знайдете все, що вам потрібно знати про це.

Розуміння відповідності SOC2 

Перш ніж перейти до того, як SOC2-сумісні поштові провайдери можуть гарантувати безпеку ваших список електронної поштинам потрібно знати, що таке SOC2. 

Що таке стандарт SOC2?

SOC 2 (Systems and Organization Controls 2) - це набір стандартів кібербезпеки та конфіденційності для сервісних організацій. Вимоги були розроблені Американським інститутом сертифікованих громадських бухгалтерів (AICPA) у 2010 році, щоб визначити, як постачальники послуг повинні керувати, зберігати та захищати дані клієнтів, щоб мінімізувати ризики та інциденти безпеки.

Хоча відповідність SOC2 все ще є "лише" добровільним стандартом, все більше постачальників послуг подають заявки на проведення аудиту безпеки - як для захисту своїх послуг, так і для захисту своїх клієнтів від порушень.

Наприклад, у дослідженні А-лінійки, 47% респондентів сказали, що аудит SOC2 був найважливішим аудитом для їхнього бізнесу.

Існує два типи аудитів SOC2:

• Під час першого типу, незалежний аудитор перевіряє та аналізує конкретні бізнес-практики та процеси, щоб зрозуміти, наскільки вони відповідають вимогам відповідних принципів довіри.
• Тип 2 досліджує ті самі процеси, але протягом певного періоду часу, зазвичай від 6 до 12 місяців.

Які п'ять Критеріїв довірчих послуг (TSC) для системи відповідності SOC2?

Структура SOC2 складається з п'яти критеріїв довірчих послуг (TSC), а саме

• Безпека
• Доступність
• Конфіденційність
• Цілісність обробки даних
• Конфіденційність

Безпека (також називається Загальні критерії) є обов'язковим для всіх компаній, які хочуть пройти аудит SOC2. Решта є необов'язковими, тому компанії можуть подавати заявки лише на ті категорії аудиту, які для них важливі.

Наприклад, у Bouncer ми включили в аудит доступність послуг і конфіденційність даних.

 Тепер давайте детальніше розглянемо принципи довірчих послуг.

Безпека (загальні критерії)

Аудит безпеки перевіряє рівень безпеки та дотримання нормативних вимог у всій організації:

• Процедури та політика безпеки
• Захист від несанкціонованого доступу або нецільового використання даних
• Налаштування доступу користувачів
• Реалізовані функції безпеки (брандмауер, шифрування, багатофакторна автентифікація тощо)
• Процедури компанії щодо інцидентів або порушень безпеки тощо.

Однак фактичний перелік вимог до аудиту набагато довший. Під час типового аудиту безпеки аудитор SOC2 оцінює 80-100 засобів контролю безпеки, щоб охопити всі місця, де може статися інцидент. 

Ви можете знайти детальний перелік вимог до безпеки на сайті AICPA.

 Доступність

Другою категорією аудиту SOC2 є доступність, тобто перевірка часу безперебійної роботи та продуктивності сервісу. Аудитор також перевірить:

• Які практики аварійного відновлення існують в організації
• Як часто вони створюють резервні копії
• Які методи вони використовують для моніторингу ефективності та якості послуг
• Чи є в них процеси реагування на інциденти, пов'язані з безпекою

Конфіденційність

Під час аудиту конфіденційності аудитори SOC2 перевіряють, як сервісні організації зберігають дані клієнтів (особливо чутливі та конфіденційні типи даних) і наскільки добре вони захищені.

Компанії, які зберігають інформацію, захищену угодами про нерозголошення (NDA), або чиї клієнти вимагають, щоб їхні дані були видалені після закінчення контракту, часто включають цю категорію в свій аудит.

Цілісність обробки даних

Аудит цілісності обробки даних перевіряє, чи є дані, додані та оброблені в системі організації, надійними та безпомилковими. Аудитор також перевіряє, як обробляється інформація всередині системи - наприклад, яка її частина втрачається або пошкоджується під час обробки. 

Вони також вимірюють, скільки часу потрібно для того, щоб оброблені дані були готові до використання, і як компанія вирішує будь-які проблеми, пов'язані з обробкою даних. 

Конфіденційність

Під час цієї частини аудитор SOC2 проаналізує, як PII (персональна інформація) збирається, зберігається та захищається від порушень чи зловживань. 

Критерії приватності можуть здатися ідентичними до критеріїв конфіденційності, але є одна суттєва відмінність. А саме, в той час як вимоги конфіденційності стосуються всіх типів конфіденційних матеріалів, які може зберігати компанія, приватність стосується лише інформації про особу (наприклад, дати народження або номери соціального страхування). 

Переваги відповідності стандарту SOC2

Проведення такого ретельного аудиту безпеки в організації може здатися, що на цю діяльність витрачається багато часу і зусиль. Звіт SOC 2 Тип 1 зазвичай займає близько двох місяців, тоді як звіт SOC 2 Тип 2 може зайняти від 6 до 12 місяців.

Однак переваги сервісу, сертифікованого за SOC2, більш ніж компенсують витрачений час і зусилля.   

Ось три основні причини, чому проведення аудиту SOC 2 може принести користь компаніям у довгостроковій перспективі.

Посилений захист

Однією з найбільших переваг аудиту SOC2 є те, що він може допомогти компаніям посилити свої заходи безпеки. За допомогою аудиту безпеки вони можуть виявити свої сильні та слабкі сторони в питаннях безпеки, а також визначити місця з найвищим ризиком виникнення інцидентів. 

Потім, використовуючи знання, отримані під час аудиту, вони можуть планувати та впроваджувати практики безпеки, які допоможуть їм вирішити основні проблеми кібербезпеки в компанії. 

Таким чином, організації можуть отримати впевненість у тому, що вони мають надійні політики захисту даних і безпеки, щоб краще справлятися з порушеннями безпеки.  

Покращена регуляторна відповідність місцевому та міжнародному законодавству

Додатковою перевагою проходження аудиту SOC2 є те, що його вимоги часто збігаються з іншими важливими стандартами безпеки. 

Тому, провівши спочатку аудит SOC2, організації можуть полегшити для себе процес забезпечення відповідності вимогам стандарту:  

• Закон про переносимість та підзвітність медичного страхування (HIPAA) та Закон про інформаційні технології в економічній та клінічній охороні здоров'я (HITECH)
• Міжнародна організація зі стандартизації (ISO) 27001
• Стандарти безпеки даних індустрії платіжних карток (PCI) (DSS) або інші нормативні акти PCI
• Міжнародні стандарти конфіденційності, такі як європейський GDPR або каліфорнійський CCPA. 

Для компаній, які прагнуть відповідати вимогам як SOC2, так і, наприклад, HIPAA, AICPA також створила кілька посібників про те, як це зробити вимоги збігаються. 

Підвищення довіри клієнтів

Зважаючи на те, скільки заголовків вони бачать про зломи баз даних, не дивно, що клієнти все більше турбуються про безпеку своїх даних. 

Показуючи значок аудиту SOC2, компанія може запевнити своїх клієнтів, що вона вже вжила заходів для посилення безпеки своїх послуг і захисту даних у своїх системах. А бачачи, що постачальник послуг пройшов аудит SOC2, клієнти (особливо ті, хто працює з конфіденційними матеріалами) можуть почуватися спокійніше, користуючись певним сервісом.   

Роль відповідності SOC2 у перевірці електронної пошти

Щоб отримати максимальну віддачу від вашого списку розсилки, важливо регулярно видаляти з нього недійсні та неактивні адреси електронної пошти зі списку - навіщо надсилати вашу розсилку або пропозиції тому, хто навіть не відкриває пошту? 

Однак, як ми вже згадували у вступі, очищення списку вручну - не найкращий варіант, коли у списку кілька тисяч імен. Ось де інструменти перевірки електронної пошти Такі сервіси, як Bouncer, стають у нагоді, оскільки вони можуть впоратися з більшістю важкої роботи, пов'язаної з перевіркою адрес у списку.

Однак, як знайти надійний сервіс для перевірки email-адрес, який не вноситиме безлад у ваш список? І що найважливіше, він також забезпечить повну безпеку вашого списку електронної пошти. 

Використання сервісу верифікації, сумісного з SOC2, є правильним рішенням. Чому? Ось кілька причин.

Захист конфіденційних даних електронної пошти

Співпрацюючи з постачальником послуг перевірки, що відповідає вимогам SOC2, ви можете бути впевнені, що він знає, як дбайливо ставитися до конфіденційної інформації у ваших списках розсилки та самих електронних листах. 

Наприклад, всі листи, які проходять через Bouncer, автоматично хешуються, а дані клієнтів у наших базах даних також шифруються. 

Зменшення ризику витоку даних

Аудит SOC2 перевіряє, чи дотримуються постачальники послуг галузевих практик безпеки і чи знають вони, як діяти в непередбачуваних ситуаціях. Таким чином, ризик порушення (чи то через помилку працівника, чи то через кібератаку) зводиться до мінімуму. Без цього ви будете піддаватися ризику таких поширених загроз кібербезпеки, як крадіжка кредитних картокфішингу та крадіжки персональних даних. 

 Збереження цілісності даних під час процесу верифікації

Використовуючи інструмент верифікації списків, ви хочете отримати очищений список з перевіреними адресами, на які ви можете одразу ж надсилати свої імейли. Але точно не список з пошкодженими або відсутніми адресами, який вам потрібно очистити самостійно.

SOC2-сумісні провайдери можуть гарантувати, що такого не станеться, оскільки їхні сервіси вже були перевірені на наявність подібних проблем. Тож ви можете бути впевнені, що інструмент заощадить ваш час (і нерви також), а не витратить його даремно.

Отримання точних і послідовних результатів перевірки

Ще одна річ, яку перевіряє аудит SOC2, - наскільки надійним є сервіс і наскільки добре він може працювати під навантаженням. Тому, використовуючи SOC2-сумісний сервіс, ви можете бути впевнені, що отримаєте точні результати, незалежно від того, наскільки великий ваш список або скільки людей користується сервісом в даний момент.

Демонстрація прихильності до безпеки даних

Що може бути кращим способом довести клієнту, що постачальник послуг серйозно ставиться до кібербезпеки, ніж демонстрація значка відповідності SOC2 на своєму веб-сайті? 

Пройшовши аудит, постачальники послуг можуть довести, що вони знають, як захистити дані в своїх системах від шкоди, а також що вони мають усі необхідні інструменти та процедури для захисту своєї інфраструктури від кібератак.

Підвищення довіри та авторитету серед клієнтів

Доступність звіту про аудит SOC2 для всіх відвідувачів - це чудовий спосіб відповісти на деякі питання, пов'язані з доступністю або безпекою, які можуть виникнути у відвідувачів. 

Наприклад, якщо вони стурбовані потенційним простоєм сервісу або потребують конкретного послуга шифрування електронної поштиінформація, що міститься в аудиторському звіті, має їх заспокоїти. А коли вони бачать, що можуть покластися на постачальника послуг у збереженні своїх даних, вони також з більшою ймовірністю довірятимуть йому свої власні списки електронної пошти. 

Відповідність очікуванням клієнтів

Зважаючи на те, скільки кібератак відбувається щодня і наскільки серйозними можуть бути їхні наслідки, клієнти очікують, що бізнес буде ставитися до кібербезпеки та захисту даних як до головного пріоритету. 

Ось чому все більше компаній, які шукають бізнес-послуги, спочатку запитують, чи відповідає постачальник послуг стандарту SOC2, перш ніж вирішити придбати послугу - щоб бути впевненими, що їхні бізнес-дані знаходяться в цілковитій безпеці. 

В одному звіті, наприклад, йдеться про те, що 33% компаній опитаних зазначили, що клієнти запитують про сертифікати SOC 2, досліджуючи, як та чи інша компанія захищає свої дані. 

Таким чином, наявність значка SOC2 та аудиторського звіту на вашому сайті може дати вам перевагу над конкурентами. 

Вишибала: Інструмент перевірки електронної пошти, сумісний з SOC2

Для нас в Bouncer забезпечення максимальної безпеки даних, що проходять через наш сервіс, є пріоритетом. Тому ми раді повідомити, що з лютого 2023 року ми відповідаємо вимогам SOC2 Тип 1 (Тип 2 в процесі розробки!).

Наш сервіс був протестований аудиторами SOC2 на:

• Безпека даних та інфраструктури,
• Доступність послуг
• Конфіденційність.

На основі результатів аудиту ми розробили та впровадили низку заходів безпеки, завдяки яким ми створили безпеку на рівні фортеці всередині нашої платформи.   

Як Bouncer відповідає вимогам стандарту SOC2

Тож що саме ми зробили, щоб зробити наш сервіс перевірки електронної пошти більш надійним, стійким і безпечним? 

Регулярні аудити та оцінки безпеки

Щонайменше раз на рік ми виступаємо:

• Аудит оцінки ризиків
• Тест на проникнення (виконується сторонньою компанією)
• Огляд нашої політики контролю доступу та Організаційна структура.

Раз на квартал ми проводимо сканування вразливостей нашого виробничого середовища.

Заходи безпеки, впроваджені Bouncer

Ми також вдосконалили спосіб використання та зберігання даних у нашій компанії:

• Використання системи контролю версій для управління вихідним кодом, документацією та іншими важливими матеріалами. 
• Наявність окресленого процесу для співробітників та клієнтів щодо повідомлення керівництву про інциденти та проблеми, пов'язані з безпекою, конфіденційністю, цілісністю та доступністю, а також про проблеми, що виникають. 
• Створення плану реагування на інциденти та призначення спеціальних співробітників у групу реагування.  

Ми також використовуємо Платформа Drata стежити за політиками, процедурами та ІТ-інфраструктурою компанії, щоб гарантувати, що наші співробітники дотримуються галузевих стандартів.

Шифрування

Усі дані на нашій платформі (як на фізичних пристроях, так і в хмарі) зашифровані за допомогою SSL/TLS-шифрування. Крім того, інформація на всіх ноутбуках, що видаються компанією, також автоматично шифрується за допомогою повного шифрування диска.

Контроль доступу та моніторинг

• Ми використовуємо "політику найменших привілеїв" для даних клієнтів, що означає, що співробітники мають доступ лише до тієї інформації про клієнтів, яка необхідна їм для виконання своїх робочих завдань
• Щоб отримати доступ до системи контролю версій або додати зміни, співробітники повинні мати права адміністратора
• Для доступу до конфіденційних даних і додатків ми вимагаємо двофакторну автентифікацію у вигляді ідентифікатора користувача, пароля, OTP та/або сертифіката.

Це лише частина роботи, яку ми виконали, щоб забезпечити повну безпеку нашої платформи. 

Щоб дізнатися більше про те, які практики безпеки ми впровадили після аудиту (і що ми робимо, щоб гарантувати безпеку на рівні фортеці), ви можете прочитати повний звіт про безпеку створений компанією Drata, який доступний на нашому сайті.

Вплив відповідності стандарту SOC2 на продуктивність і надійність Bouncer 

Однак важка робота була більш ніж варта того. Завдяки аудиту SOC2 ми змогли дізнатися набагато більше про безпеку нашого сервісу та інфраструктури, а також знайти місця, де ми можемо зробити наш сервіс перевірки електронної пошти ще кращим. 

Таким чином, аудит допоміг нам у цьому:

• Кращий захист нашого сервісу перевірки електронної пошти від кіберзагроз
• Забезпечити якісний та надійний сервіс для всіх наших клієнтів
• Запевнити наших бізнес-партнерів, що їхні дані в безпеці в наших руках     

Ви шукали інструмент для перевірки списків, який має не лише високу точність, але й надійні заходи захисту даних? Bouncer готовий допомогти - незалежно від того, чи маєте ви тисячі або мільйони адрес, ви можете отримати свіжий та активний список адрес в найкоротші терміни.   

А якщо ви хочете спершу перевірити, як працює Bouncer, ви можете підтвердити свої перші адреси електронної пошти абсолютно безкоштовно 🙂 

Тож як щодо того, щоб перевірити, наскільки чистим може бути ваш список з нашою допомогою?  

Переконайтеся, що ви вибрали інструмент, який відповідає вимогам SOC2

Інструменти для перевірки електронної пошти можуть стати фантастичною підмогою для вашого бізнесу. Просто надайте їм список ваших електронних адрес, і вони висвітлять усі адреси, які, можливо, ніколи не відкриють ваші листи. Тож навіщо вам витрачати на них свій час і гроші? 

Щоб бути впевненими, що ви (і ваші співробітники) будете єдиними, хто користується списком, вам слід шукати сервіси перевірки електронної пошти з першокласним рівнем безпеки. А значок відповідності SOC2, як той, що ви бачите на нашій сторінці Bouncer, є саме ознакою такої безпеки. 

З додатком на вашому боці, вся важка робота з очищення списку може бути зроблена за вас - і як тільки новий список буде готовий, ви одразу ж надсилатимете свої розсилки або пропозиції.

Відповідність SOC2 Поширені запитання

Що таке відповідність SOC2 і чому це важливо для постачальників послуг?

SOC2 - це стандарт безпеки, встановлений Американським інститутом сертифікованих публічних бухгалтерів (AICPA), який вимірює здатність сервісної компанії захищати приватність, безпеку та конфіденційність даних клієнтів.

Пройшовши аудит SOC2, постачальники послуг можуть дізнатися більше про те, як вони можуть захистити конфіденційну інформацію від витоку або несанкціонованого доступу, а також про те, як вони можуть посилити свою внутрішню безпеку. 

Яким чином відповідність SOC2 приносить користь постачальникам послуг та їхнім клієнтам?

Пройшовши аудит SOC2, сервісні організації демонструють, що вони знають, як захистити бізнес-дані та свої послуги від порушень, зловживань і кібератак. Це може заспокоїти їхніх клієнтів, особливо тих, які вимагають високого рівня безпеки від хмарних сервісів, якими вони користуються. 

Як аудит SOC2 може допомогти службам перевірки електронної пошти?

Провайдери верифікації електронної пошти працюють з великою кількістю конфіденційної інформації, як-от адреси електронної пошти та персональні дані клієнтів. Пройшовши аудит SOC2, вони можуть з'ясувати, наскільки добре захищені дані в їхній мережі, і що вони можуть покращити, щоб зробити свої послуги більш стійкими.