Навіщо компаніям отримувати сертифікат SOC? Досвід MacPaw
Переклад авторської колонки CISO MacPaw, Миколи Срібнюка, на The Entrepreneur.
Безпека даних завжди була важливою, а в часи стрімкого розвитку діджитал світу, стала життєво необхідною. Для підвищення кібербезпеки, скорочення циклу продажів і збільшення кількості користувачів, компаніям варто розглянути отримання SOC сертифікації.
У 2021 році середньостатистична компанія користується приблизно 110 SaaS (software as a service) застосунками для щоденних задач. З кожним роком ця цифра зростає, тому практики кібербезпеки вендорів-посередників стають пріоритетними. Для компаній-користувачів критично важливо розуміти у кого є доступ до їх даних та як вони захищені.
Проте оцінювати безпеку кожного окремого вендора непрактично. Тому аудиторська індустрія створила види акредитацій від SOC 2 до ISO 27001. Такі сертифікати можна називати шорткатами для замовників, адже їх наявність доводить, що вендор дотримується найкращих практик із гарантування безпеки даних.
Запитайте ваших sales-менеджерів скільки разів вони отримували відповіді: «Вибачте, ми працюємо лише з SOC-акредитованими вендорами».
MacPaw отримувала SOC-сертифікацію для продукту Setapp. Setapp – платформа за підпискою, яка дає доступ до додатків на macOS та iOS, і обслуговує B2C й B2B-напрямки. Ми витрачали години, щоб вручну верифікувати кожного розробника, який долучається до екосистеми Setapp і одночасно відповідали на запити від потенційних B2B-користувачів щодо безпеки продукту. На щастя, після того, як ми отримали сертифікат SOC-2 Type 1, процеси стали набагато простішими.
Що ж таке SOC,чому сертифікат важливий для безпеки даних і ваша компанія повинна отримати його просто зараз?
Що таке SOC?
SOC (system and organization controls) – це структура звітності, створена для оцінки рівня управління та захисту даних у сервісних продуктах.
Структура була створена American Institute of Certified Public Accountants (AICPA). Кожна SOC сертифікація має проводитись незалежним аудитором, який перевіряє усі можливі загрози безпеці.
Існує три категорії SOC, які можна отримати:
- SOC 1 – тестує дотримання вимог безпеки фінансових процесів;
- SOC 2 – верифікує системи управління даними SaaS-компаній;
- SOC 3 – спрощена версія SOC 2, яка доступна не лише для великих компаній, а й для більш широкої аудиторії.
SOC 2 поділяється на два типи:
- Type 1 – оцінює системи гарантування безпеки у конкретний момент часу;
- Type 2 – тестує всі системи безпеки на проміжку часу (зазвичай від 3 до 12 місяців).
На відміну від аудитів в інших індустріях, SOC добровільний і гнучкий за обсягом – компанії самостійно обирають категорії для аудиту. Усього передбачено 5 категорій:
SaaS-компанії зазвичай починають аудит із SOC 2 Type 1 в категорії Security і вже пізніше доповнюють сертифікацію рештою.
Які переваги має SOC 2 Type 1?
Незважаючи на те, що SOC 2 Type 1 вимагає нетривіальну кількість зусиль та часу, інвестиції окупаються багаторазово. Найважливіший результат – компанія може довести користувачам і партнерам, що має найкращі політики управління та безпеки даних.
А ось ще п’ять переваг проходження аудиту SOC 2 Type 1:
Як успішно пройти аудит SOC 2 Type 1?
Аудит SOC 2 Type 1 не має обмежень у часі для підготовки. У нашому випадку це зайняло більшу частину 2021 року, оскільки були вимоги які потребували формалізації та покращенню наявних процесів.
Для швидкого та простого проходження SOC 2, спираючись на досвід MacPaw ділимось п’ятьма корисними порадами:
Зрештою, ви отримаєте офіційний звіт, який свідчить, що ви пройшли SOC 2 Type 1 сертифікацію і є підтвердженням високого рівня безпеки процесів компанії, а це безперечно варте всіх зусиль.