Bezpieczeństwo to nasze DNA – stale to powtarzamy i udowodniliśmy to już wielokrotnie. Jeśli prowadzisz firmę zajmującą się tworzeniem kopii zapasowych i ochroną danych, Twoim priorytetem jest utrzymywanie produktów, klientów, zespołu i procesów zgodnie z najwyższymi światowymi standardami bezpieczeństwa.
Po audytach SOC 2 Type I i ISO 27001 z radością i dumą informujemy, że w maju 2023 roku otrzymaliśmy raport SOC 2 Type II weryfikujący kryteria zarządzania danymi w następujących obszarach – Security (bezpieczeństwo), Availability (dostępność), Confidentiality (poufność) i Processing Integrity (integralność przetwarzania). Zostaliśmy równieiż sprawdzeni w ogólnych kryteriach takich jak logiczna i fizyczna kontrola dostępu, operacje sytstemowe, ograniczanie ryzyka, zarządzanie zmianami i nie tylko.
Proces uzyskania raportu SOC 2 był podróżą dla całego zespołu. Sprawdź, czego nauczyliśmy się po drodze.
Czym jest standard SOC 2?
Jak najszybciej powiedzieć, że dostawca usług traktuje bezpieczeństwo danych priorytetowo? Odpowiedzią jest właśnie SOC 2!
Mówiąc oficjalnie, Service and Organization Controls 2 (SOC 2) to ocena procesów i procedur kontrolnych w biznesie i międzynarodowy standard gromadzenia i wymiany informacji. Opracowany został przez Amerykański Instytut Biegłych Rewidentów (American Institute of Certified Public Accountants, AICPA).
Jednak kryteria są unikalne dla każdej firmy. To firma projektuje własne procesy i procedury, aby zachować zgodność z kryteriami tego standardu.
W praktyce SOC 2 to procedura audytowa, której efektem jest raport szczegółowo opisujący sposób, w jaki dostawca usług zarządza powierzonymi mu danymi.
W skład SOC 2 wchodzą dwa raporty:
- Type 1 – opisuje system zarządzania bezpieczeństwem informacji i ocenia jego adekwatność w kontekście punktów kontrolnych standardu SOC.
- Type 2 – weryfikuje czy deklarowany system zarządzania bezpieczeństwem informacji faktycznie działa i funkcjonuje (opisuje dowody na ralizację tych zabezpieczeń w konkretnym czasie – minimum 6 m-cy).
Nasza podróż do SOC 2 Type II
Raport SOC 2 jest wydawany przez zewnętrznych audytorów. Po naszej stronie było przygotowanie odpowiednio bezpiecznej technologii i infrastruktury IT. Zaprojektowaliśmy bardzo rygorystyczne procesy bezpieczeństwa i przeszkoliliśmy każdego członka zespołu w zakresie security i naszych głównych zasad (i stworzyliśmy z tego stały proces).
Aby określić poziom bezpieczeństwa przetwarzania informacji w naszej firmie i zweryfikować procesy w ramach SOC 2 Type II, audytorzy wnikliwie przeanalizowali naszą dokumentację, przeprowadzili wywiady z członkami zespołu, przeanalizowali strony internetowe, a ponadto zeskanowali, sprawdzili i skontrolowali nasze procesy i infrastrukturę.
Checkpoint
W rzeczywistości oficjalny raport z audytu, z którego jesteśmy niezwykle dumni, to dopiero początek drogi. Jesteśmy na stałe zobowiązani do:
- Realizacji usług zgodnie z Systemem Zarządzania Identyfikacją Kontroli.
- Identyfikację ryzyk.
- Projektowanie wskaźników i działań w celu ich ograniczenia.
- i wiele, wiele więcej.
W tej podróży nie ma żadnej mety. Uzyskanie raportu do dopiero początek drogi, który gwarntuje, że stale weryfikujemy i ulepszamy nasze środki bezpieczeństwa.
Co SOC 2 oznacza dla naszych Klientów i Partnerów?
W skrócie, oznacza to, że dane naszych klientów i ich ochrona są dla nas priorytetem. I to nie tylko słowa – to oficjalna obietnica i zobowiązanie.
Nasze podejście do bezpieczeństwa potwierdzają światowej klasy standardy bezpieczeństwa, takie jak SOC 2 Type I, ISO 27001, a teraz także SOC 2 Type II. Zgodnie z nimi dobieramy nasze technologie, tworzymy procesy i nawiązujemy partnerstwa technologiczne.
Sięgając po rozwiazania IT lub przechodząc własną ścieżkę certyfikacji, podstawowym kryterium wyboru dostawców powinno być właśnie ich działanie zgodnie z tymi standardami. Podczas własnej certyfikacji SOC 2 wymogiem jest również wdrożenie najlepszych praktyk w zakresie tworzenia kopii zapasowych i ochrony danych. Pamiętaj – We have got your back(up)!