Oma e-posti nimekirja käsitsi puhastamine, kui teil on selles “ainult” umbes 100 e-posti aadressi, võib olla üsna aeganõudev.
Aga mis siis, kui teil on tuhandeid aadresse, mida läbida? Siis on peaaegu võimatu kontrollida kõiki nimekirjas olevaid mitteaktiivseid või ebaõigeid aadresse – välja arvatud juhul, kui kasutate e-posti nimekirja kontrollimise vahendit.
Kuid te ei taha kasutada ükskõik millist tööriista – te soovite kasutada SOC2 nõuetele vastavat e-posti valideerimise tööriista.
Mis on SOC2 ja kuidas saab see kaitsta teie e-posti nimekirjas olevat teavet? Meie artiklist leiate kõik, mida selle kohta vaja teada.
SOC2 vastavuse mõistmine
Enne kui me jõuame sOC2-konformsete e-posti teenusepakkujate juurde, kes saavad tagada teie e-posti nimekirja turvalisuse, peame teadma, mis on SOC2.
Mis on SOC2 standard?
SOC 2 (Systems and Organization Controls 2) on küberturvalisuse ja privaatsuse standardite kogum teenusepakkujatele. Nõuded töötas 2010. aastal välja Ameerika Audiitorite Instituut (AICPA), et täpsustada, kuidas teenusepakkujad peaksid haldama, säilitama ja kaitsma kliendiandmeid, et vähendada turvariske ja intsidente.
Kuigi SOC2 vastavus on endiselt “ainult” vabatahtlik standard, taotleb üha rohkem teenusepakkujaid turvaauditit – nii oma teenuse kui ka klientide kaitsmiseks rikkumiste eest.
A-lign’i uuringus ütles näiteks 47% vastanutest , et SOC2 audit on nende ettevõtte jaoks kõige olulisem audit.
SOC2 auditid on kahte tüüpi:
- Tüübi 1 käigus kontrollib ja analüüsib sõltumatu audiitor konkreetseid äritavasid ja protsesse, et näha, kui hästi need vastavad asjaomaste usaldusprintsiipide nõuetele.
- 2. tüübi puhul uuritakse samu protsesse, kuid ajavahemiku jooksul, tavaliselt 6-12 kuud.
Millised on viis usaldusteenuse kriteeriumi (TSC) SOC2 vastavusraamistiku jaoks?
SOC2 raamistik koosneb viiest usaldusteenuste kriteeriumist (TSC), nimelt:
- Turvalisus
- Kättesaadavus
- Konfidentsiaalsus
- Töötlemise terviklikkus
- Privaatsus
Turvalisus (mida nimetatakse ka ühiseks kriteeriumiks) on kohustuslik kõigile ettevõtetele, kes soovivad läbida SOC2-auditi. Ülejäänud on vabatahtlikud, nii et ettevõtted saavad taotleda ainult neid auditikategooriaid, mis on nende jaoks olulised.
Näiteks Bouncer puhul hõlmasime oma auditi käigus ka teenuste kättesaadavust ja andmete konfidentsiaalsust.
Vaatleme nüüd lähemalt usaldusteenuse põhimõtteid.
Turvalisus (ühised kriteeriumid)
Turvaaudititega uuritakse turvalisuse ja vastavuse taset kogu organisatsioonis:
- Turvalisusmenetlused ja -põhimõtted
- Kaitse volitamata juurdepääsu või andmete väärkasutuse eest
- Kasutaja juurdepääsu seaded
- Rakendatud turvaelemendid (tulemüür, krüpteerimine, mitmefaktoriline autentimine jne).
- Ettevõtte menetlused turvaintsidentide või -rikkumiste korral jne.
Tegelik auditi nõuete loetelu on aga palju pikem. Tavalise turvaauditi käigus hindab SOC2 audiitor 80-100 turvakontrolli, et katta kõik kohad, kus võib juhtuda intsident.
Turvanõuete üksikasjaliku loetelu leiate AICPA veebisaidilt.
Kättesaadavus
SOC2 auditi teine kategooria on kättesaadavus, mis tähendab teenuse kasutusaegade ja jõudluse uurimist. Audiitor kontrollib ka järgmist:
- Millised on organisatsiooni katastroofide taastamise tavad
- Kui sageli nad loovad varukoopiaid
- Milliseid meetodeid nad kasutavad teenuse tulemuslikkuse ja kvaliteedi jälgimiseks?
- kas neil on turvaintsidentide käsitlemise protsessid
Konfidentsiaalsus
Konfidentsiaalsusauditi käigus kontrollivad SOC2 audiitorid, kuidas teenindusorganisatsioonid säilitavad kliendiandmeid (eriti tundlikke ja konfidentsiaalseid andmeid) ja kui hästi need on kaitstud.
Ettevõtted, kes hoiavad teavet, mis on kaitstud konfidentsiaalsuslepingutega (NDA) või kelle kliendid nõuavad, et nende andmed kustutatakse pärast lepingu lõppemist, hõlmavad sageli ka seda kategooriat oma auditi käigus.
Töötlemise terviklikkus
Töötlemise terviklikkuse auditiga kontrollitakse, kas organisatsiooni süsteemis lisatud ja töödeldud andmed on usaldusväärsed ja vigadeta. Audiitor vaatab ka seda, kuidas süsteemis olevat teavet töödeldakse – näiteks, milline osa sellest on töötlemise käigus kadunud või rikutud.
Samuti mõõdavad nad, kui kaua kulub aega, et töödeldud andmed oleksid kasutamiseks valmis, ja kuidas konkreetne ettevõte lahendab töötlemisprobleemid.
Privaatsus
Selle osa käigus analüüsib SOC2 audiitor, kuidas PII (isiklikke andmeid) kogutakse, säilitatakse ja kaitstakse rikkumiste või väärkasutuse eest.
Privaatsuskriteeriumid võivad tunduda identsed konfidentsiaalsuskriteeriumidega, kuid on siiski üks oluline erinevus. Nimelt, kui konfidentsiaalsusnõuded on seotud igasuguste tundlike materjalidega, mida ettevõte võib säilitada, siis privaatsus kehtib ainult PII-teabe (näiteks sünniaeg või sotsiaalkindlustusnumber) kohta.
SOC2 nõuetele vastavuse eelised
Nii põhjaliku turvaauditi läbiviimine organisatsioonis võib tunduda palju tööd ja aega nõudva tegevusena. SOC 2 Type 1 aruanne võtab tavaliselt aega umbes kaks kuud, samas kui SOC 2 Type 2 aruanne võib võtta 6-12 kuud.
SOC2-sertifitseeritud teenuse eelised kompenseerivad siiski rohkem kui vajalikku aega ja vaeva.
Siin on kolm peamist põhjust, miks SOC 2 auditi läbiviimine võib ettevõtetele pikemas perspektiivis kasu tuua.
Tõhustatud kaitse
SOC2 auditi üks suurimaid eeliseid on see, et see aitab ettevõtetel tugevdada oma turvameetmeid. Turvaauditi läbiviimisega saavad nad leida oma tugevad ja nõrgad kohad turvalisuse osas ning määrata kindlaks kohad, kus on suurim risk turvaintsidentide toimumiseks.
Seejärel saavad nad auditi käigus saadud teadmisi kasutades kavandada ja rakendada turvameetmeid, mis aitavad neil lahendada ettevõtte peamisi küberturvalisuse probleeme.
Nii saavad organisatsioonid kindlustunde, et neil on olemas usaldusväärsed andmekaitse- ja turvapõhimõtted, et nad saaksid paremini toime tulla turvarikkumistega.
Kohalike ja rahvusvaheliste õigusaktide parem järgimine
SOC2-auditi läbimise ja läbimise lisakasu seisneb selles, et nende nõuded kattuvad sageli teiste oluliste turvastandarditega.
Seega, kui organisatsioonid viivad esmalt läbi SOC2-auditi, saavad nad ise lihtsamalt nõuetele vastavaks muutuda:
- Ravikindlustuse ülekantavuse ja vastutuse seadus (HIPAA) ja majanduslike ja kliiniliste tervishoiuteenuste tervishoiu infotehnoloogia (HITECH).
- Rahvusvaheline Standardiorganisatsioon (ISO) 27001
- maksekaarditööstuse (PCI) andmeturbe standardid (DSS) või muud PCI eeskirjad
- rahvusvahelised privaatsusstandardid, nagu Euroopa GDPR või California CCPA.
Ettevõtete jaoks, kelle eesmärk on saada nii SOC2- kui ka näiteks HIPAA nõuetele vastavaks, on AICPA loonud ka mõned juhendid selle kohta, kuidas need nõuded kattuvad.
Klientide usalduse suurendamine
Arvestades, kui palju pealkirju nad näevad andmebaaside rikkumistest, ei ole ime, et kliendid on üha enam mures oma andmete turvalisuse pärast.
SOC2 auditimärgiga saab ettevõte oma klientidele kinnitada, et ta on juba astunud samme oma teenuste turvalisuse tugevdamiseks ja süsteemides olevate andmete kaitsmiseks. Ja nähes, et teenusepakkuja on läbinud SOC2-auditi, võivad kliendid (eriti need, kes käitlevad tundlikke materjale) tunda end antud teenust kasutades rahulikumalt.
SOC2 vastavuse roll e-posti kontrollimisel
Selleks, et saada oma meililistist maksimumi, on oluline, et eemaldate regulaarselt kehtetuid ja mitteaktiivseid kirju – miks saata oma uudiskirja või pakkumisi kellelegi, kes isegi ei ava posti?
Nagu me juba sissejuhatuses mainisime, ei ole meililisti käsitsi puhastamine siiski päris lihtne, kui nimekirjas on mitu tuhat nime. Siinkohal tulevadki appi sellised e-posti kontrollimise tööriistad nagu Bouncer, sest need saavad hakkama enamiku rasketest töödest, mis on seotud nimekirjas olevate aadresside kontrollimisega.
Kuidas aga leida usaldusväärne e-posti kinnitamise teenus, mis ei tee teie nimekirjast jama? Ja mis kõige tähtsam, mis hoiab ka teie e-posti nimekirja täiesti turvalisena.
Vastus on SOC2 nõuetele vastava verifitseerimisteenuse kasutamine. Miks? Siin on paar põhjust.
Tundlike e-posti andmete kaitsmine
Töötades SOC2-konformse kontrolliteenuse pakkujaga, võite olla kindel, et nad teavad, kuidas hoolitseda tundliku teabe eest teie e-posti nimekirjades ja e-kirjades endis.
Näiteks kõik e-kirjad, mis lähevad läbi Bouncer, on automaatselt krüpteeritud ja meie andmebaasides olevad kliendiandmed on samuti krüpteeritud.
Andmekaitseriskide vähendamine
SOC2 auditi käigus kontrollitakse, kas teenusepakkujatel on olemas tööstusharu turvatavad ja kas nad oskavad ootamatuid olukordi lahendada. Nii minimeeritakse rikkumisriski (kas töötaja vea või küberrünnaku tõttu). Ilma selleta ohustavad teid tavalised küberturvalisuse ohud, nagu krediitkaardivargused, andmepüük ja identiteedivargused.
Andmete terviklikkuse säilitamine kontrollimise käigus
Kui kasutate nimekirja kontrollimise tööriista, soovite saada puhastatud nimekirja koos kontrollitud e-kirjadega, millele saate kohe oma e-kirju saata. Kuid kindlasti mitte nimekirja, kus on vigastatud või puuduvad aadressid, mida peate samuti ise puhastama.
SOC2 nõuetele vastavad teenusepakkujad saavad tagada, et selliseid asju ei juhtu, sest nende teenus on juba skaneeritud sarnaste probleemide suhtes. Seega võite olla kindel, et tööriist säästab teie aega (ja ka närve), mitte ei raiska seda.
Täpsete ja järjepidevate kontrollitulemuste saamine
Teine asi, mida SOC2 auditiga kontrollitakse, on see, kui usaldusväärne on teenus ja kui hästi see suudab töötada koormuse all. Seega võite SOC2 nõuetele vastavat teenust kasutades olla kindel, et saate täpseid tulemusi, olenemata sellest, kui suur on teie nimekiri või kui palju inimesi teenust hetkel kasutab.
Andmete turvalisuse tagamise kohustuse näitamine
Mis oleks parem viis tõestada kliendile, et teenusepakkuja suhtub küberturvalisusse tõsiselt, kui näidata oma veebilehel SOC2 vastavusmärki?
Auditi läbimisega saavad teenusepakkujad tõestada, et nad teavad, kuidas kaitsta oma süsteemides olevaid andmeid kahjustuste eest, ning et neil on olemas kõik õiged vahendid ja menetlused, et kaitsta oma infrastruktuuri küberrünnakute eest.
Klientide usalduse ja usaldusväärsuse suurendamine
Kui SOC2 auditiaruanne on kõigile külastajatele lugemiseks kättesaadav, on see suurepärane võimalus vastata mõnele külastajate võimalikule kättesaadavuse või turvalisusega seotud küsimusele.
Näiteks kui nad muretsevad teenuse võimaliku seisaku pärast või vajavad konkreetset e-posti krüpteerimisteenust, peaks auditiaruandes sisalduv teave neid rahustama. Ja kui nad näevad, et nad võivad teenusepakkujale oma andmete turvalisuse tagamisel loota, usaldavad nad tõenäolisemalt teenusepakkujatele ka oma e-posti nimekirju.
Klientide ootuste täitmine
Arvestades, kui palju küberrünnakuid toimub iga päev ja kui tõsised võivad olla tagajärjed, ootavad kliendid nüüd, et ettevõtted käsitleksid küberturvalisust ja andmekaitset oma peamise prioriteedina.
Seepärast küsivad üha enam ettevõtteid, kes otsivad äriteenuseid, enne teenuse ostmist, kas teenusepakkuja vastab SOC2 nõuetele, et olla kindel, et nende äriandmed on täiesti turvalised.
Ühes aruandes leiti näiteks, et 33% küsitletud ettevõtetest ütles, et kliendid küsivad SOC 2 sertifikaatide kohta, kui nad uurivad, kuidas konkreetne ettevõte oma andmeid turvab.
Nii võib SOC2-märgi ja auditiaruande olemasolu teie veebisaidil anda teile konkurentide ees eelise.
Bouncer: SOC2 nõuetele vastav e-posti kontrollimise vahend
Meie jaoks on Bouncer prioriteediks tagada, et meie teenuse kaudu edastatavad andmed oleksid võimalikult turvalised. Nii et meil on hea meel öelda, et alates veebruarist 2023 oleme nüüd SOC2 Type 1 nõuetele vastav (Type 2 on käimas!).
Meie teenust testisid SOC2 audiitorid:
- Andmete ja infrastruktuuri turvalisus,
- Teenuse kättesaadavus
- Konfidentsiaalsus.
Audititulemuste põhjal kavandasime ja rakendasime seejärel mitmeid turvameetmeid, tänu millele oleme oma platvormi sisse ehitanud kindluse tasemel turvalisuse.
Kuidas Bouncer vastab SOC2 nõuetele vastavuse nõuetele?
Mida me siis täpselt tegime, et muuta meie e-posti kinnitamise teenus usaldusväärsemaks, vastupidavamaks ja turvalisemaks?
Regulaarsed turvaauditid ja -hindamised
Vähemalt kord aastas esineme:
- Riskihindamise audit
- Penetratsioonitest (kolmanda osapoole poolt läbi viidud)
- Juurdepääsukontrolli poliitika ja organisatsiooni skeemi läbivaatamine.
Vahepeal korraldame kord kvartalis meie tootmiskeskkonna haavatavuse skaneerimise.
Bouncer rakendatud turvameetmed
Samuti oleme täiustanud andmete kasutamist ja säilitamist meie ettevõttes:
- Versioonihaldussüsteemi kasutamine lähtekoodi, dokumentatsiooni ja muude oluliste materjalide haldamiseks.
- nii töötajate kui ka klientide jaoks on ette nähtud protsess, kuidas teatada juhtkonnale turvalisust, konfidentsiaalsust, terviklikkust ja kättesaadavust puudutavatest intsidentidest ja probleemidest.
- Intsidentidele reageerimise plaani koostamine ja vastumeeskonda pühendunud töötajate määramine.
Samuti kasutame Drata platvormi ettevõtte poliitikate, menetluste ja IT-infrastruktuuri jälgimiseks, et tagada meie töötajate vastavus tööstusstandarditele.
Krüpteerimine
Kõik meie platvormi andmed (nii füüsilistes seadmetes kui ka pilves salvestatud) on krüpteeritud SSL/TLS-krüpteerimise abil. Lisaks sellele krüpteeritakse ka kõigi ettevõtte poolt väljaantud sülearvutites olev teave automaatselt Full disk encryption’i abil.
Juurdepääsu kontroll ja järelevalve
- Me kasutame kliendiandmete puhul “vähimate privileegide poliitikat”, mis tähendab, et töötajad saavad juurdepääsu ainult nendele kliendiandmetele, mida nad vajavad oma tööülesannete täitmiseks.
- Versioonihaldussüsteemile juurdepääsuks või muudatuste lisamiseks peavad töötajatel olema administraatori õigused.
- Tundlikele andmetele ja rakendustele juurdepääsuks nõuame kahefaktorilist autentimist kasutajatunnuse, parooli, OTP ja/või sertifikaadi kujul.
Kui soovite rohkem teada saada, milliseid turvameetmeid me pärast auditit rakendasime (ja mida me teeme, et tagada meie kindluse tasemel turvalisus), saate lugeda Drata koostatud täielikku turvaaruannet , mis on saadaval meie veebisaidil.
SOC2 nõuetele vastavuse mõju Bouncer tulemuslikkusele ja usaldusväärsusele
Raske töö oli aga seda enam kui väärt. Tänu SOC2 auditile saime palju rohkem teada oma teenuse ja infrastruktuuri turvalisuse kohta ning leidsime kohti, kus me saaksime oma e-posti kinnitamise teenust veelgi paremaks muuta.
Nii et sel viisil aitas audit meid:
- Paremini kaitsta meie e-posti kinnitusteenust küberohtude eest
- Tagada kvaliteetne ja usaldusväärne teenus kõigile meie klientidele.
- Kinnitada meie äripartneritele, et nende andmed on meie käes turvaliselt kaitstud.
Kas olete otsinud nimekirja kontrollimise vahendit, millel on silmapaistev täpsus, kuid ka tugevad andmekaitsemeetmed? Bouncer on valmis aitama – olenemata sellest, kas teil on tuhandeid või miljoneid aadresse, saate värske ja aktiivse e-posti nimekirja hetkega.
Ja kui soovite kõigepealt katsetada, kuidas Bouncer töötab, saate oma esimesed e-posti aadressid täiesti tasuta kontrollida:)
Kuidas oleks siis, kui te vaataksite ise, kui puhas võib teie nimekiri meie abiga olla?
Veenduge, et valite SOC2 nõuetele vastavust tagava tööriista.
E-posti kontrollimise vahendid võivad olla teie ettevõttele fantastiline abi. Andke neile lihtsalt teie e-posti aadresside nimekiri ja nad tõstavad esile kõik aadressid, mis ei pruugi kunagi teie e-kirju avada. Miks peaksite siis nende peale aega ja raha kulutama?
Selleks, et tagada, et ainult teie (ja teie töötajad) kasutavad seda nimekirja, peaksite otsima tipptasemel turvateenuseid. Ja SOC2 nõuetele vastavuse märk, nagu see, mida näete meie Bouncer lehel, on just sellise turvalisuse märk.
Kui rakendus on teie kõrval, saab kogu raske töö oma nimekirja puhastamisega teie eest ära teha – ja kui uus nimekiri on valmis, saadate kohe oma uudiskirjad või pakkumised.
SOC2 vastavus Sagedased küsimused
Mis on SOC2 vastavus ja miks on see teenusepakkujatele oluline?
SOC2 on Ameerika Audiitorite Instituudi (AICPA) kehtestatud turvastandard, mis mõõdab teenindusettevõtte võimet kaitsta klientide andmete privaatsust, turvalisust ja konfidentsiaalsust.
SOC2-auditi läbimisel saavad teenusepakkujad rohkem teada, kuidas nad saavad kaitsta tundlikku teavet andmete rikkumise või volitamata juurdepääsu eest ning kuidas nad saavad tugevdada oma siseturvalisust.
Kuidas saavad teenusepakkujad ja nende kliendid kasu SOC2 nõuetele vastavusest?
SOC2-auditi läbimisega näitavad teenindusorganisatsioonid, et nad teavad, kuidas nad saavad kaitsta äriandmeid ja oma teenust rikkumiste, väärkasutuse ja küberrünnakute eest. See võib nende kliendid, eriti need, kes nõuavad kasutatavatelt pilveteenustelt kõrgetasemelist turvalisust, rahulikumalt meelestada.
Kuidas saab SOC2 auditist kasu e-kirjade kinnitamise teenustele?
E-posti kinnituse pakkujad käitlevad palju tundlikku teavet, nagu e-posti aadressid ja klientide isikuandmed. SOC2 auditiga saavad nad teada, kui hästi on andmed nende võrgus kaitstud ja mida nad saavad parandada, et muuta oma teenused vastupidavamaks.