SOC 2 à CodeCourier.
Nous traitons SOC 2 comme le font nos clients : comme une promesse contraignante sur la manière dont nous construisons, exploitons et auditons. Les contrôles de type I sont cartographiés aujourd'hui ; la fenêtre d’observation de type II est ouverte auprès d’un cabinet CPA indépendant.
Les rapports et les lettres de transition sont partagés dans le cadre d’une NDA mutuelle. Nous répondons dans un délai d'un jour ouvrable.
Ce que SOC 2 signifie réellement.
Une introduction rapide pour les équipes de sécurité qui connaissent déjà le score – et une brève présentation pour tous les autres.
SOC 2 est un cadre d'attestation défini par l'AICPA. Les cabinets CPA indépendants publient des rapports décrivant comment une organisation de services conçoit et gère des contrôles alignés sur un ou plusieurs critères de service de confiance.
Un rapport de type I est un instantané ponctuel : il confirme que les contrôles ont été correctement conçus à une date donnée. Un rapport de type II couvre une fenêtre d'observation continue (généralement de 6 à 12 mois) et vérifie si ces contrôles ont réellement fonctionné comme prévu.
La portée, les critères et le rapport lui-même sont négociés dès le départ. Les clients reçoivent le rapport sous NDA. Une lettre relais couvre tout écart entre deux fenêtres consécutives de type II afin que les équipes d'approvisionnement ne perdent jamais la continuité.
Point dans le temps. Confirme la conception du contrôle à une date précise. Utile comme point de preuve précoce avant que la fenêtre de type II n'arrive à maturité.
Continu. Teste l’efficacité opérationnelle sur une fenêtre de 6 à 12 mois. L’artefact dont la plupart des acheteurs d’entreprise ont besoin.
Les cinq TSC, mappés à des contrôles concrets.
La sécurité est obligatoire pour chaque rapport SOC 2. Nous incluons les quatre critères supplémentaires car nos clients expédient du code, stockent des données et servent des secteurs réglementés.
Sécurité
Protégez les systèmes et les données contre tout accès, divulgation et dommage non autorisés.
- Zero-trust network with short-lived tokens
- SSO (SAML / OIDC) with MFA enforcement
- RBAC, immutable audit logs, exportable
- Continuous vulnerability scanning
Disponibilité
Rendre le service disponible pour l’exploitation et l’utilisation comme prévu.
- Multi-region failover, active standby
- 99.95% uptime SLA target
- Continuous health checks and synthetic probes
- Automated rollback on deploy regressions
Intégrité du traitement
Traiter les données de manière complète, précise, en temps opportun et avec autorisation.
- Idempotent job execution per agent run
- Signed payloads between internal services
- Versioned schemas with backward compatibility
- End-to-end reconciliation on critical paths
Confidentialité
Protéger les informations désignées comme confidentielles par accord.
- TLS 1.3 in transit, AES-256 at rest
- Customer-managed keys (BYOK) on enterprise
- Need-to-know access with quarterly review
- Data classification and labelling enforced
Confidentialité
Collecter, utiliser, conserver, divulguer et éliminer les données personnelles conformément aux engagements.
- GDPR-aligned lawful basis per purpose
- DPA available; subprocessor list published
- Cryptographic erasure within 30 days
- Right-to-access and right-to-delete flows
Ce que couvre l’audit – et ce qu’il ne couvre pas.
Les décisions relatives à la portée sont documentées dans la lettre de mission. Nous les maintenons explicites afin que les acheteurs puissent comparer le rapport à leur propre évaluation des risques.
- Application de production et APIs au service des charges de travail des clients
- Magasins de données clients, sauvegardes et systèmes de gestion de clés
- Systèmes d’accès des employés et intégration du fournisseur d’identité
- Runtime Sandbox, orchestrateur et limite d'isolation par agent
- Pile d'observabilité, pipeline de journaux d'audit et SIEM
- Sous-traitants gérant les données clients en notre nom
- Site Web marketing et pages publiques non authentifiées
- CRM de vente et outils internes de mise sur le marché
- Environnements R&D internes qui ne traitent pas les données clients
- Intégrations gérées par le client et opérées en dehors de nos frontières
Notre cadence d’audit.
De l’évaluation de l’état de préparation au contrôle continu. Chaque jalon a un propriétaire, un critère de sortie et un artefact destiné au client.
Instantané d'inventaire.
Une vue des catégories de contrôle parcourues par un auditeur. La matrice complète des contrôles est livrée avec le rapport.
Gestion des accès
Qui peut faire quoi, sur quel système, pendant combien de temps. Provisionné et déprovisionné via le fournisseur d’identité.
- SSO + MFA
- Quarterly access review
- JIT elevation
- Session timeouts
Gestion du changement
Chaque modification apportée au code de production, à l'infrastructure ou à la configuration est examinée, approuvée et traçable jusqu'à son auteur.
- Mandatory code review
- Signed artefacts
- Staged rollouts
- Automated rollback
Gestion des risques
Nous tenons un registre vivant des risques lié aux contrôles. Les risques importants ont des propriétaires, des mesures d’atténuation et des dates d’examen.
- Annual risk assessment
- Risk register reviewed monthly
- Threat modelling per feature
- Board-level reporting
Gestion des fournisseurs
Chaque sous-traitant est examiné avant son intégration et réexaminé chaque année. Les découvertes matérielles déterminent les contrôles contractuels.
- Pre-onboarding review
- Annual re-review
- DPA in place
- Termination playbook
Réponse aux incidents
Gravités documentées, matrice de pagination et délais de notification aux clients. Les autopsies sont irréprochables et partagées.
- Severity definitions
- On-call rotation
- Customer notification SLA
- Annual tabletop
Cycle de vie des données
Les données sont classifiées, cryptées, conservées conformément à la politique et effacées cryptographiquement une fois leur finalité terminée.
- Data classification
- Retention schedules
- Crypto-erasure
- Deletion certificate
Nous mettons à jour la liste chaque fois que la pile change.
Notre liste de sous-traitants ultérieurs fait partie du package de confiance. Nous le mettons à jour chaque fois qu'un fournisseur qui traite les données client est ajouté ou supprimé. Demandez la dernière liste avec le rapport SOC 2, ou indépendamment.
Prêt à consulter le rapport ?
Les rapports, les lettres de transition et le mappage des contrôles sont livrés dans un seul package de confiance. Nous répondons dans un délai d'un jour ouvrable.
Rapport complet une fois la fenêtre d'observation fermée ; Entre-temps, le rapport actuel de type I et la lettre de transition.
Couvre les écarts entre les fenêtres consécutives de type II afin que les achats ne perdent jamais la continuité.
Réponse de collecte d’informations standardisée, complétée et signée par l’équipe de sécurité.
Mappage de nos contrôles vers ISO 27001, GDPR, HIPAA ou votre cadre interne sur demande.
Une NDA est requise avant de partager des artefacts. Nous acceptons le vôtre ou envoyons notre NDA mutuel standard sur demande.
Questions courantes liées aux achats.
Quand le Type II sera-t-il disponible ?
Avec quel auditeur travaillez-vous ?
Mappez-vous les contrôles sur ISO 27001, GDPR ou HIPAA ?
Puis-je obtenir une lettre de transition ?
Les sous-traitants ultérieurs sont-ils couverts par votre SOC 2 ?
À quelle fréquence le rapport est-il mis à jour ?
Consultez la posture de sécurité complète en contexte.
Embauchez votre premier ingénieur IA.
Expédier avant l'heure du déjeuner.
5 minutes pour embarquer. Premier PR dans l'heure. Annulez à tout moment.