Confiance · SOC 2

SOC 2 à CodeCourier.

Nous traitons SOC 2 comme le font nos clients : comme une promesse contraignante sur la manière dont nous construisons, exploitons et auditons. Les contrôles de type I sont cartographiés aujourd'hui ; la fenêtre d’observation de type II est ouverte auprès d’un cabinet CPA indépendant.

Les rapports et les lettres de transition sont partagés dans le cadre d’une NDA mutuelle. Nous répondons dans un délai d'un jour ouvrable.

certificate · soc 2En cours · Type II
CODECOURIER
Statut d'engagement
AuditeurCPA indépendant · divulgué en vertu de la NDA
Fenêtre d'observation12 mois glissants
Dernière mise à jourT2 - cycle en cours
Contexte

Ce que SOC 2 signifie réellement.

Une introduction rapide pour les équipes de sécurité qui connaissent déjà le score – et une brève présentation pour tous les autres.

01

SOC 2 est un cadre d'attestation défini par l'AICPA. Les cabinets CPA indépendants publient des rapports décrivant comment une organisation de services conçoit et gère des contrôles alignés sur un ou plusieurs critères de service de confiance.

02

Un rapport de type I est un instantané ponctuel : il confirme que les contrôles ont été correctement conçus à une date donnée. Un rapport de type II couvre une fenêtre d'observation continue (généralement de 6 à 12 mois) et vérifie si ces contrôles ont réellement fonctionné comme prévu.

03

La portée, les critères et le rapport lui-même sont négociés dès le départ. Les clients reçoivent le rapport sous NDA. Une lettre relais couvre tout écart entre deux fenêtres consécutives de type II afin que les équipes d'approvisionnement ne perdent jamais la continuité.

type i · type ii
SOC 2 Type Ipoint-in-time

Point dans le temps. Confirme la conception du contrôle à une date précise. Utile comme point de preuve précoce avant que la fenêtre de type II n'arrive à maturité.

SOC 2 Type II12-month

Continu. Teste l’efficacité opérationnelle sur une fenêtre de 6 à 12 mois. L’artefact dont la plupart des acheteurs d’entreprise ont besoin.

Critères du service de confiance

Les cinq TSC, mappés à des contrôles concrets.

La sécurité est obligatoire pour chaque rapport SOC 2. Nous incluons les quatre critères supplémentaires car nos clients expédient du code, stockent des données et servent des secteurs réglementés.

Mis en œuvre

Sécurité

Protégez les systèmes et les données contre tout accès, divulgation et dommage non autorisés.

  • Zero-trust network with short-lived tokens
  • SSO (SAML / OIDC) with MFA enforcement
  • RBAC, immutable audit logs, exportable
  • Continuous vulnerability scanning
Mis en œuvre

Disponibilité

Rendre le service disponible pour l’exploitation et l’utilisation comme prévu.

  • Multi-region failover, active standby
  • 99.95% uptime SLA target
  • Continuous health checks and synthetic probes
  • Automated rollback on deploy regressions
En cours

Intégrité du traitement

Traiter les données de manière complète, précise, en temps opportun et avec autorisation.

  • Idempotent job execution per agent run
  • Signed payloads between internal services
  • Versioned schemas with backward compatibility
  • End-to-end reconciliation on critical paths
Mis en œuvre

Confidentialité

Protéger les informations désignées comme confidentielles par accord.

  • TLS 1.3 in transit, AES-256 at rest
  • Customer-managed keys (BYOK) on enterprise
  • Need-to-know access with quarterly review
  • Data classification and labelling enforced
En cours

Confidentialité

Collecter, utiliser, conserver, divulguer et éliminer les données personnelles conformément aux engagements.

  • GDPR-aligned lawful basis per purpose
  • DPA available; subprocessor list published
  • Cryptographic erasure within 30 days
  • Right-to-access and right-to-delete flows
Portée

Ce que couvre l’audit – et ce qu’il ne couvre pas.

Les décisions relatives à la portée sont documentées dans la lettre de mission. Nous les maintenons explicites afin que les acheteurs puissent comparer le rapport à leur propre évaluation des risques.

Inclus dans les fiançaillesIn scope
  • Application de production et APIs au service des charges de travail des clients
  • Magasins de données clients, sauvegardes et systèmes de gestion de clés
  • Systèmes d’accès des employés et intégration du fournisseur d’identité
  • Runtime Sandbox, orchestrateur et limite d'isolation par agent
  • Pile d'observabilité, pipeline de journaux d'audit et SIEM
  • Sous-traitants gérant les données clients en notre nom
En dehors des fiançaillesOut of scope
  • Site Web marketing et pages publiques non authentifiées
  • CRM de vente et outils internes de mise sur le marché
  • Environnements R&D internes qui ne traitent pas les données clients
  • Intégrations gérées par le client et opérées en dehors de nos frontières
Cadence

Notre cadence d’audit.

De l’évaluation de l’état de préparation au contrôle continu. Chaque jalon a un propriétaire, un critère de sortie et un artefact destiné au client.

Q1
Évaluation de l'état de préparation
Q2
Correction des écarts
Q3
Rapport de type I
Q3
La fenêtre de type II s'ouvre
T3 + 1 an
Rapport de type II
En cours
Surveillance continue
Contrôles

Instantané d'inventaire.

Une vue des catégories de contrôle parcourues par un auditeur. La matrice complète des contrôles est livrée avec le rapport.

Gestion des accès

Qui peut faire quoi, sur quel système, pendant combien de temps. Provisionné et déprovisionné via le fournisseur d’identité.

  • SSO + MFA
  • Quarterly access review
  • JIT elevation
  • Session timeouts

Gestion du changement

Chaque modification apportée au code de production, à l'infrastructure ou à la configuration est examinée, approuvée et traçable jusqu'à son auteur.

  • Mandatory code review
  • Signed artefacts
  • Staged rollouts
  • Automated rollback

Gestion des risques

Nous tenons un registre vivant des risques lié aux contrôles. Les risques importants ont des propriétaires, des mesures d’atténuation et des dates d’examen.

  • Annual risk assessment
  • Risk register reviewed monthly
  • Threat modelling per feature
  • Board-level reporting

Gestion des fournisseurs

Chaque sous-traitant est examiné avant son intégration et réexaminé chaque année. Les découvertes matérielles déterminent les contrôles contractuels.

  • Pre-onboarding review
  • Annual re-review
  • DPA in place
  • Termination playbook

Réponse aux incidents

Gravités documentées, matrice de pagination et délais de notification aux clients. Les autopsies sont irréprochables et partagées.

  • Severity definitions
  • On-call rotation
  • Customer notification SLA
  • Annual tabletop

Cycle de vie des données

Les données sont classifiées, cryptées, conservées conformément à la politique et effacées cryptographiquement une fois leur finalité terminée.

  • Data classification
  • Retention schedules
  • Crypto-erasure
  • Deletion certificate
Sous-traitants

Nous mettons à jour la liste chaque fois que la pile change.

Notre liste de sous-traitants ultérieurs fait partie du package de confiance. Nous le mettons à jour chaque fois qu'un fournisseur qui traite les données client est ajouté ou supprimé. Demandez la dernière liste avec le rapport SOC 2, ou indépendamment.

Demande

Prêt à consulter le rapport ?

Les rapports, les lettres de transition et le mappage des contrôles sont livrés dans un seul package de confiance. Nous répondons dans un délai d'un jour ouvrable.

Rapport de type II

Rapport complet une fois la fenêtre d'observation fermée ; Entre-temps, le rapport actuel de type I et la lettre de transition.

Lettre de pont

Couvre les écarts entre les fenêtres consécutives de type II afin que les achats ne perdent jamais la continuité.

Questionnaire SIG

Réponse de collecte d’informations standardisée, complétée et signée par l’équipe de sécurité.

Mappage des contrôles personnalisés

Mappage de nos contrôles vers ISO 27001, GDPR, HIPAA ou votre cadre interne sur demande.

Demander un forfait

Une NDA est requise avant de partager des artefacts. Nous acceptons le vôtre ou envoyons notre NDA mutuel standard sur demande.

SOC 2 FAQ

Questions courantes liées aux achats.

Quand le Type II sera-t-il disponible ?
La fenêtre d’observation de type II est ouverte avec notre cabinet CPA indépendant. Nous attendons le premier rapport de type II à la fin de la fenêtre actuelle de 12 mois. Le type I et la lettre de pont actuelle sont désormais disponibles sous NDA.
Avec quel auditeur travaillez-vous ?
Nous travaillons avec un cabinet CPA indépendant avec une solide pratique SaaS. Le cabinet est divulgué en vertu de la NDA dans le cadre du package de fiducie - divulguer publiquement l'auditeur avant la publication d'un rapport n'est pas standard et nous suivons cette convention.
Mappez-vous les contrôles sur ISO 27001, GDPR ou HIPAA ?
Oui. Nous maintenons des mappages de nos contrôles avec la norme ISO 27001 Annexe A, les principes de traitement GDPR et les garanties techniques HIPAA. Sur les plans d'entreprise, nous produirons également une cartographie par rapport à votre cadre de contrôle interne.
Puis-je obtenir une lettre de transition ?
Oui. Une lettre pont comble l'écart entre deux fenêtres d'observation consécutives de type II et confirme que les contrôles sont restés en fonctionnement. Nous en publions un chaque année et sur demande entre les cycles.
Les sous-traitants ultérieurs sont-ils couverts par votre SOC 2 ?
Les sous-traitants qui gèrent les données clients font partie de l'engagement. Notre auditeur examine les preuves de diligence raisonnable des fournisseurs et les contrôles contractuels. La liste complète des sous-traitants ultérieurs, y compris l'entité juridique et la région, est partagée avec le rapport.
À quelle fréquence le rapport est-il mis à jour ?
Le rapport de type II est mis à jour chaque année. La lettre de transition est actualisée pour chaque trimestre civil entre les rapports. La matrice de contrôle et la liste des sous-traitants sont tenues à jour et renvoyées en cas de changement important.
Sécurité à CodeCourier

Consultez la posture de sécurité complète en contexte.

Gratuit pendant 14 jours · pas de carte de crédit

Embauchez votre premier ingénieur IA.
Expédier avant l'heure du déjeuner.

5 minutes pour embarquer. Premier PR dans l'heure. Annulez à tout moment.