Bezpieczeństwo to nasze DNA – stale to powtarzamy i udowodniliśmy to już wielokrotnie. Jeśli prowadzisz firmę zajmującą się tworzeniem kopii zapasowych i ochroną danych, Twoim priorytetem jest utrzymywanie produktów, klientów, zespołu i procesów zgodnie z najwyższymi światowymi standardami bezpieczeństwa.
Z dumą ogłaszamy, że 17 maja 2024 r. po raz kolejny otrzymaliśmy raport SOC 2 Type II weryfikujący kryteria zarządzania danymi w następujących obszarach – Security (bezpieczeństwo), Availability (dostępność), Confidentiality (poufność) i Processing Integrity (integralność przetwarzania). Zostaliśmy również sprawdzeni w ogólnych kryteriach takich jak logiczna i fizyczna kontrola dostępu, operacje sytstemowe, ograniczanie ryzyka, zarządzanie zmianami i nie tylko.
Tym samym, wciąż pozostajemy jednym z nielicznych vendorów backupu, który może pochwalić się regularnymi certyfikacjami ISO 27001 oraz SOC 2 Type II.
Czym jest standard SOC 2?
Jak najszybciej powiedzieć, że dostawca usług traktuje bezpieczeństwo danych priorytetowo? Odpowiedzią jest właśnie SOC 2!
Mówiąc oficjalnie, Service and Organization Controls 2 (SOC 2) to ocena procesów i procedur kontrolnych w biznesie i międzynarodowy standard gromadzenia i wymiany informacji. Opracowany został przez Amerykański Instytut Biegłych Rewidentów (American Institute of Certified Public Accountants, AICPA).
Jednak kryteria są unikalne dla każdej firmy. To firma projektuje własne procesy i procedury, aby zachować zgodność z kryteriami tego standardu.
W praktyce SOC 2 to procedura audytowa, której efektem jest raport szczegółowo opisujący sposób, w jaki dostawca usług zarządza powierzonymi mu danymi.
W skład SOC 2 wchodzą dwa raporty:
- Type 1 – opisuje system zarządzania bezpieczeństwem informacji i ocenia jego adekwatność w kontekście punktów kontrolnych standardu SOC.
- Type 2 – weryfikuje czy deklarowany system zarządzania bezpieczeństwem informacji faktycznie działa i funkcjonuje (opisuje dowody na ralizację tych zabezpieczeń w konkretnym czasie – minimum 6 m-cy).
Nasza podróż do SOC 2 Type II
Raport SOC 2 jest wydawany przez zewnętrznych audytorów. Po naszej stronie było przygotowanie odpowiednio bezpiecznej technologii i infrastruktury IT. Zaprojektowaliśmy bardzo rygorystyczne procesy bezpieczeństwa i przeszkoliliśmy każdego członka zespołu w zakresie security i naszych głównych zasad. Co więcej, stworzyliśmy z tego stały proces – a pozytywne przejście audytu po roku, jest na to najlepszym dowodem!
Aby określić poziom bezpieczeństwa przetwarzania informacji w naszej firmie i zweryfikować procesy w ramach SOC 2 Type II, audytorzy wnikliwie przeanalizowali naszą dokumentację, przeprowadzili wywiady z członkami zespołu, przeanalizowali strony internetowe, a ponadto zeskanowali, sprawdzili i skontrolowali nasze procesy i infrastrukturę.
Checkpoint
W rzeczywistości oficjalny raport z audytu, z którego jesteśmy niezwykle dumni, to dopiero początek drogi. Jesteśmy na stałe zobowiązani do:
- Realizacji usług zgodnie z Systemem Zarządzania Identyfikacją Kontroli.
- Identyfikacji ryzyk.
- Projektowania wskaźników i działań w celu ich realizacji.
- i wiele, wiele więcej.
W tej podróży nie ma mety. Uzyskanie raportu do dopiero początek drogi, który gwarantuje, że stale weryfikujemy i ulepszamy nasze środki bezpieczeństwa.
Co SOC 2 oznacza dla naszych Klientów i Partnerów?
W skrócie, oznacza to, że dane naszych klientów i ich ochrona są dla nas priorytetem. I to nie tylko słowa – to oficjalna obietnica i zobowiązanie.
Nasze podejście do bezpieczeństwa potwierdzają światowej klasy standardy bezpieczeństwa, takie jak SOC 2 Type I, ISO 27001, a także ponownie – SOC 2 Type II. Zgodnie z nimi dobieramy nasze technologie, tworzymy procesy i nawiązujemy partnerstwa technologiczne.
Sięgając po rozwiazania IT lub przechodząc własną ścieżkę certyfikacji, podstawowym kryterium wyboru dostawców powinno być właśnie ich działanie zgodnie z tymi standardami. Podczas własnej certyfikacji SOC 2 wymogiem jest również wdrożenie najlepszych praktyk w zakresie tworzenia kopii zapasowych i ochrony danych. Pamiętaj – We have got your back(up)!