经证明符合 SOC 2 网络安全框架对于技术组织来说是一项荣誉。
系统与组织控制 2 由国际注册专业会计师协会制定,用于衡量信托服务对特定标准的遵守情况,对于 Kinsta 等业务涉及在云端托管其他公司数据的公司来说,它是黄金标准。
Kinsta 承诺在 2022 年秋季证 垃圾邮件数据 明符合 SOC 2 标准,并于 2023 年 8 月成功通过安全服务核心标准审核。在此过程中,Kinsta 团队学到了一些有关准备 SOC 2 审核的知识。
我们还发现我们可以使我们的系统比现在更加安全。
今天,我们非常乐意与您分享我们所学到的知识,特别是如果您的公司正在考虑尝试实现 SOC 2 合规性。
SOC 2 是什么?合规性涉及什么?
SOC 2 是一套组织可以自愿选择遵守的网络安全标准。这是通过使公司运营方式与 SOC 2 标准保持一致来实现的。
“我们有几个客户在了解到我们无法证明符合 SOC 2 标准后,干脆拒绝考虑 Kinsta。”
– Jon Penland,Kinsta 首席运营官
领导 Kinsta SOC 2 工作的首席运营官乔恩·彭兰 (Jon Penland) 表示,AICPA 标准足够通用,适用于大多数组织。每个组织均应在获得美国注册会计师协会 (AICPA) 认可的独立会计师事务所的协助下,针对其活动设计和实施具体的控制措施。
SOC 2 框架包括五项服务标 SaaS 潜在客户开发并不 准:安全性、可用性、处理完整性、机密性和隐私性。 Penland 表示:“由于我们是第一次启动 SOC 2 计划,因此我们将第一次 SOC 2 审计的重点放在核心安全标准上。”
最终结果是
2审计报告。公司可以收到两种不同类型的报告:
类型 I:此报告提供证据证明公司已设计并实施了足够的控制措施以符合 SOC 2 标准。这是一份“快照”报告,它仅确认公司已设计并实施了足够的控制,但不能确认公司在任何时间段内都遵守这些控制。
第二类:该报告更进一步,验证公司在规定的观察期内是否遵守了控制规定。 I 类报告是特定时间点合规性的“快照”,而 II 类报告则验证特定时间段内的合规性。
彭兰表示,Kinsta 选择了 II 类报告,从 2023 年 4 月 1 日开始的三个月的公司业绩开始。
客户可以在 Kinsta 的信任报告页面上查看结果。
Kinsta 信任报告页面的屏幕截图。
Kinsta Trust 报告页面的关键要素。
启动 SOC 2 流程的决定
彭兰表示,早在 2022 年 9 月 SOC 2 项目启动之前,Kinsta 就已经关注合规性问题。
“我们有几个客户在得知我们
无法证明符合 SOC 2 标准后,干脆 阿拉伯联合酋长国电话号码 拒绝考虑 Kinsta,”Penland 说。 “对于许多公司以及越来越多的中小型企业来说,SOC 2 合规性是他们对供应商提出的一项要求。”
此外,由于缺乏 SOC 2,许多客户要求我们填写深入的安全问卷,这既耗时又耗资源。SOC 2 Type II 报告将大幅减少我们团队需要投入时间处理的安全问卷数量。
此外,Penland 表示:“我们相信 SOC 2 这样的框架可以帮助我们以切实有效的方式提高安全性。”
选择 SOC 2 测试的 GRC 平台和审核员
“我们意识到必须立即确定两家关键供应商,”彭兰说。 “这是我们用来尽可能实现合规性监控自动化的 GRC(治理、风险和合规)软件,也是我们用来执行首次 SOC 2 审计的会计师事务所。”
我们决定首先确定最适合我们需求的 GRC 软件。最终,我们研究了十几种竞争的 GRC 解决方案,与八家供应商进行了咨询电话会议,并测试了四五个平台。