SOC 2 a CodeCourier.
Trattiamo SOC 2 come fanno i nostri clienti: come una promessa vincolante su come costruiamo, operiamo e controlliamo. I controlli di tipo I sono mappati oggi; la finestra di osservazione di Tipo II è aperta con una società di revisione contabile indipendente.
I rapporti e le lettere ponte sono condivisi nell'ambito di un accordo di non divulgazione reciproco. Rispondiamo entro un giorno lavorativo.
Cosa significa effettivamente SOC 2
Una rapida introduzione per i team di sicurezza che già conoscono il problema e un breve tour per tutti gli altri.
SOC 2 è un quadro di attestazione definito dall'AICPA. Le società CPA indipendenti pubblicano report che descrivono come un'organizzazione di servizi progetta e gestisce controlli in linea con uno o più criteri di servizio fiduciario.
Una relazione di tipo I è un'istantanea puntuale: conferma che i controlli sono stati progettati correttamente in una determinata data. Un rapporto di Tipo II copre una finestra di osservazione continua (tipicamente da 6 a 12 mesi) e verifica se tali controlli hanno effettivamente funzionato come previsto.
L'ambito, i criteri e il rapporto stesso vengono negoziati in anticipo. I clienti ricevono il report sotto NDA. Una lettera ponte copre qualsiasi intervallo tra due finestre consecutive di Tipo II in modo che i team di procurement non perdano mai la continuità.
Punto nel tempo. Conferma la progettazione del controllo a partire da una data specifica. Utile come punto di prova iniziale prima che maturi la finestra di Tipo II.
Continuo. Testa l'efficacia operativa in un periodo compreso tra 6 e 12 mesi. L'artefatto richiesto dalla maggior parte degli acquirenti aziendali.
Tutti e cinque i TSC, mappati su controlli concreti.
La sicurezza è obbligatoria per ogni rapporto SOC 2. Includiamo i quattro criteri aggiuntivi perché i nostri clienti spediscono codici, archiviano dati e servono settori regolamentati.
Sicurezza
Proteggi i sistemi e i dati da accessi non autorizzati, divulgazione e danni.
- Zero-trust network with short-lived tokens
- SSO (SAML / OIDC) with MFA enforcement
- RBAC, immutable audit logs, exportable
- Continuous vulnerability scanning
Disponibilità
Rendere il servizio disponibile per il funzionamento e l'utilizzo come previsto.
- Multi-region failover, active standby
- 99.95% uptime SLA target
- Continuous health checks and synthetic probes
- Automated rollback on deploy regressions
Integrità dell'elaborazione
Elaborare i dati in modo completo, accurato, tempestivo e con autorizzazione.
- Idempotent job execution per agent run
- Signed payloads between internal services
- Versioned schemas with backward compatibility
- End-to-end reconciliation on critical paths
Riservatezza
Proteggi le informazioni designate come riservate per accordo.
- TLS 1.3 in transit, AES-256 at rest
- Customer-managed keys (BYOK) on enterprise
- Need-to-know access with quarterly review
- Data classification and labelling enforced
Privacy
Raccogliere, utilizzare, conservare, divulgare e smaltire i dati personali in base agli impegni.
- GDPR-aligned lawful basis per purpose
- DPA available; subprocessor list published
- Cryptographic erasure within 30 days
- Right-to-access and right-to-delete flows
Cosa copre l'audit e cosa no.
Le decisioni sull'ambito sono documentate nella lettera di incarico. Li manteniamo espliciti in modo che gli acquirenti possano confrontare il rapporto con la propria valutazione del rischio.
- Applicazione di produzione e APIs al servizio dei carichi di lavoro dei clienti
- Archivi dati dei clienti, backup e sistemi di gestione delle chiavi
- Sistemi di accesso dei dipendenti e integrazione del provider di identità
- Runtime sandbox, orchestratore e limite di isolamento per agente
- Stack di osservabilità, pipeline del registro di controllo e SIEM
- Sub-responsabili del trattamento che gestiscono i dati dei clienti per nostro conto
- Sito Web di marketing e pagine pubbliche non autenticate
- CRM delle vendite e strumenti interni di go-to-market
- Ambienti interni di ricerca e sviluppo che non elaborano i dati dei clienti
- Le integrazioni gestite dal cliente operavano al di fuori dei nostri confini
La nostra cadenza di audit.
Dalla valutazione della preparazione al monitoraggio continuo. Ogni traguardo ha un proprietario, un criterio di uscita e un artefatto rivolto al cliente.
Istantanea dell'inventario.
Una visualizzazione delle categorie di controllo esaminate da un revisore. La matrice dei controlli completi viene fornita con il rapporto.
Gestione degli accessi
Chi può fare cosa, su quale sistema, per quanto tempo. Provisioning e deprovisioning tramite il provider di identità.
- SSO + MFA
- Quarterly access review
- JIT elevation
- Session timeouts
Gestione del cambiamento
Ogni modifica al codice di produzione, all'infrastruttura o alla configurazione viene rivista, approvata e riconducibile al suo autore.
- Mandatory code review
- Signed artefacts
- Staged rollouts
- Automated rollback
Gestione del rischio
Manteniamo un registro dei rischi vivente legato ai controlli. I rischi materiali hanno proprietari, mitigazioni e date di revisione.
- Annual risk assessment
- Risk register reviewed monthly
- Threat modelling per feature
- Board-level reporting
Gestione dei fornitori
Ogni sub-responsabile viene rivisto prima dell'onboarding e rivisto ogni anno. I risultati materiali guidano i controlli contrattuali.
- Pre-onboarding review
- Annual re-review
- DPA in place
- Termination playbook
Risposta all'incidente
Gravità documentate, matrice di paginazione e tempistiche delle notifiche al cliente. Le autopsie sono irreprensibili e condivise.
- Severity definitions
- On-call rotation
- Customer notification SLA
- Annual tabletop
Ciclo di vita dei dati
I dati vengono classificati, crittografati, conservati secondo policy e cancellati crittograficamente al termine del loro scopo.
- Data classification
- Retention schedules
- Crypto-erasure
- Deletion certificate
Aggiorniamo l'elenco ogni volta che lo stack cambia.
Il nostro elenco di subresponsabili fa parte del pacchetto fiducia. Lo aggiorniamo ogni volta che un fornitore che elabora i dati dei clienti viene aggiunto o rimosso. Richiedi l'elenco più recente con il rapporto SOC 2 o in modo indipendente.
Pronti a rivedere il rapporto?
I rapporti, le lettere ponte e la mappatura dei controlli vengono spediti come un unico pacchetto fiduciario. Rispondiamo entro un giorno lavorativo.
Rapporto completo una volta chiusa la finestra di osservazione; nel frattempo l'attuale relazione di tipo I e la lettera ponte.
Copre le lacune tra finestre consecutive di Tipo II in modo che gli appalti non perdano mai la continuità.
Risposta standardizzata alla raccolta di informazioni, completata e firmata dal team di sicurezza.
Mappatura dei nostri controlli a ISO 27001, GDPR, HIPAA o al vostro quadro interno su richiesta.
È necessaria una NDA prima di condividere gli artefatti. Accettiamo il tuo o inviamo il nostro NDA reciproco standard su richiesta.
Domande comuni da parte degli appalti.
Quando sarà disponibile il Tipo II?
Con quale revisore lavori?
I controlli vengono mappati su ISO 27001, GDPR o HIPAA?
Posso ricevere una lettera ponte?
I subresponsabili del trattamento sono coperti nel tuo SOC 2?
Con quale frequenza viene aggiornato il rapporto?
Visualizza l'intero livello di sicurezza nel contesto.
Assumi il tuo primo ingegnere AI.
Spedizione entro l'ora di pranzo.
5 minuti per l'imbarco. Il primo PR entro un'ora. Annulla in qualsiasi momento.