Fiducia · SOC 2

SOC 2 a CodeCourier.

Trattiamo SOC 2 come fanno i nostri clienti: come una promessa vincolante su come costruiamo, operiamo e controlliamo. I controlli di tipo I sono mappati oggi; la finestra di osservazione di Tipo II è aperta con una società di revisione contabile indipendente.

I rapporti e le lettere ponte sono condivisi nell'ambito di un accordo di non divulgazione reciproco. Rispondiamo entro un giorno lavorativo.

certificate · soc 2In corso · Tipo II
CODECOURIER
Stato dell'impegno
Revisore dei contiCommercialista indipendente · divulgato ai sensi della NDA
Finestra di osservazione12 mesi consecutivi
Ultimo aggiornamentoQ2 - ciclo attuale
Sfondo

Cosa significa effettivamente SOC 2

Una rapida introduzione per i team di sicurezza che già conoscono il problema e un breve tour per tutti gli altri.

01

SOC 2 è un quadro di attestazione definito dall'AICPA. Le società CPA indipendenti pubblicano report che descrivono come un'organizzazione di servizi progetta e gestisce controlli in linea con uno o più criteri di servizio fiduciario.

02

Una relazione di tipo I è un'istantanea puntuale: conferma che i controlli sono stati progettati correttamente in una determinata data. Un rapporto di Tipo II copre una finestra di osservazione continua (tipicamente da 6 a 12 mesi) e verifica se tali controlli hanno effettivamente funzionato come previsto.

03

L'ambito, i criteri e il rapporto stesso vengono negoziati in anticipo. I clienti ricevono il report sotto NDA. Una lettera ponte copre qualsiasi intervallo tra due finestre consecutive di Tipo II in modo che i team di procurement non perdano mai la continuità.

type i · type ii
SOC 2 Tipo Ipoint-in-time

Punto nel tempo. Conferma la progettazione del controllo a partire da una data specifica. Utile come punto di prova iniziale prima che maturi la finestra di Tipo II.

SOC 2 Tipo II12-month

Continuo. Testa l'efficacia operativa in un periodo compreso tra 6 e 12 mesi. L'artefatto richiesto dalla maggior parte degli acquirenti aziendali.

Criteri del servizio fiduciario

Tutti e cinque i TSC, mappati su controlli concreti.

La sicurezza è obbligatoria per ogni rapporto SOC 2. Includiamo i quattro criteri aggiuntivi perché i nostri clienti spediscono codici, archiviano dati e servono settori regolamentati.

Implementato

Sicurezza

Proteggi i sistemi e i dati da accessi non autorizzati, divulgazione e danni.

  • Zero-trust network with short-lived tokens
  • SSO (SAML / OIDC) with MFA enforcement
  • RBAC, immutable audit logs, exportable
  • Continuous vulnerability scanning
Implementato

Disponibilità

Rendere il servizio disponibile per il funzionamento e l'utilizzo come previsto.

  • Multi-region failover, active standby
  • 99.95% uptime SLA target
  • Continuous health checks and synthetic probes
  • Automated rollback on deploy regressions
In corso

Integrità dell'elaborazione

Elaborare i dati in modo completo, accurato, tempestivo e con autorizzazione.

  • Idempotent job execution per agent run
  • Signed payloads between internal services
  • Versioned schemas with backward compatibility
  • End-to-end reconciliation on critical paths
Implementato

Riservatezza

Proteggi le informazioni designate come riservate per accordo.

  • TLS 1.3 in transit, AES-256 at rest
  • Customer-managed keys (BYOK) on enterprise
  • Need-to-know access with quarterly review
  • Data classification and labelling enforced
In corso

Privacy

Raccogliere, utilizzare, conservare, divulgare e smaltire i dati personali in base agli impegni.

  • GDPR-aligned lawful basis per purpose
  • DPA available; subprocessor list published
  • Cryptographic erasure within 30 days
  • Right-to-access and right-to-delete flows
Ambito

Cosa copre l'audit e cosa no.

Le decisioni sull'ambito sono documentate nella lettera di incarico. Li manteniamo espliciti in modo che gli acquirenti possano confrontare il rapporto con la propria valutazione del rischio.

Incluso nel fidanzamentoIn scope
  • Applicazione di produzione e APIs al servizio dei carichi di lavoro dei clienti
  • Archivi dati dei clienti, backup e sistemi di gestione delle chiavi
  • Sistemi di accesso dei dipendenti e integrazione del provider di identità
  • Runtime sandbox, orchestratore e limite di isolamento per agente
  • Stack di osservabilità, pipeline del registro di controllo e SIEM
  • Sub-responsabili del trattamento che gestiscono i dati dei clienti per nostro conto
Al di fuori del fidanzamentoOut of scope
  • Sito Web di marketing e pagine pubbliche non autenticate
  • CRM delle vendite e strumenti interni di go-to-market
  • Ambienti interni di ricerca e sviluppo che non elaborano i dati dei clienti
  • Le integrazioni gestite dal cliente operavano al di fuori dei nostri confini
Cadenza

La nostra cadenza di audit.

Dalla valutazione della preparazione al monitoraggio continuo. Ogni traguardo ha un proprietario, un criterio di uscita e un artefatto rivolto al cliente.

Q1
Valutazione della preparazione
Q2
Risanamento delle lacune
Q3
Tipo I rapporto
Q3
Si apre la finestra di tipo II
Q3 + 1 anno
Rapporto di tipo II
In corso
Monitoraggio continuo
Controlli

Istantanea dell'inventario.

Una visualizzazione delle categorie di controllo esaminate da un revisore. La matrice dei controlli completi viene fornita con il rapporto.

Gestione degli accessi

Chi può fare cosa, su quale sistema, per quanto tempo. Provisioning e deprovisioning tramite il provider di identità.

  • SSO + MFA
  • Quarterly access review
  • JIT elevation
  • Session timeouts

Gestione del cambiamento

Ogni modifica al codice di produzione, all'infrastruttura o alla configurazione viene rivista, approvata e riconducibile al suo autore.

  • Mandatory code review
  • Signed artefacts
  • Staged rollouts
  • Automated rollback

Gestione del rischio

Manteniamo un registro dei rischi vivente legato ai controlli. I rischi materiali hanno proprietari, mitigazioni e date di revisione.

  • Annual risk assessment
  • Risk register reviewed monthly
  • Threat modelling per feature
  • Board-level reporting

Gestione dei fornitori

Ogni sub-responsabile viene rivisto prima dell'onboarding e rivisto ogni anno. I risultati materiali guidano i controlli contrattuali.

  • Pre-onboarding review
  • Annual re-review
  • DPA in place
  • Termination playbook

Risposta all'incidente

Gravità documentate, matrice di paginazione e tempistiche delle notifiche al cliente. Le autopsie sono irreprensibili e condivise.

  • Severity definitions
  • On-call rotation
  • Customer notification SLA
  • Annual tabletop

Ciclo di vita dei dati

I dati vengono classificati, crittografati, conservati secondo policy e cancellati crittograficamente al termine del loro scopo.

  • Data classification
  • Retention schedules
  • Crypto-erasure
  • Deletion certificate
Subresponsabili del trattamento

Aggiorniamo l'elenco ogni volta che lo stack cambia.

Il nostro elenco di subresponsabili fa parte del pacchetto fiducia. Lo aggiorniamo ogni volta che un fornitore che elabora i dati dei clienti viene aggiunto o rimosso. Richiedi l'elenco più recente con il rapporto SOC 2 o in modo indipendente.

Richiesta

Pronti a rivedere il rapporto?

I rapporti, le lettere ponte e la mappatura dei controlli vengono spediti come un unico pacchetto fiduciario. Rispondiamo entro un giorno lavorativo.

Rapporto di tipo II

Rapporto completo una volta chiusa la finestra di osservazione; nel frattempo l'attuale relazione di tipo I e la lettera ponte.

Lettera ponte

Copre le lacune tra finestre consecutive di Tipo II in modo che gli appalti non perdano mai la continuità.

Questionario SIG

Risposta standardizzata alla raccolta di informazioni, completata e firmata dal team di sicurezza.

Mappatura dei controlli personalizzati

Mappatura dei nostri controlli a ISO 27001, GDPR, HIPAA o al vostro quadro interno su richiesta.

Richiedi pacchetto

È necessaria una NDA prima di condividere gli artefatti. Accettiamo il tuo o inviamo il nostro NDA reciproco standard su richiesta.

SOC 2 Domande frequenti

Domande comuni da parte degli appalti.

Quando sarà disponibile il Tipo II?
La finestra di osservazione di Tipo II è aperta con la nostra società di commercialisti indipendente. Ci aspettiamo il primo rapporto di Tipo II alla fine dell’attuale periodo di 12 mesi. Il tipo I e l'attuale lettera ponte sono ora disponibili sotto NDA.
Con quale revisore lavori?
Stiamo lavorando con una società di commercialisti indipendente con una forte pratica SaaS. L'azienda viene divulgata ai sensi della NDA come parte del pacchetto fiduciario: rivelare pubblicamente il revisore prima che venga emessa una relazione non è standard e seguiamo tale convenzione.
I controlli vengono mappati su ISO 27001, GDPR o HIPAA?
Sì. Manteniamo le mappature dei nostri controlli ai principi di elaborazione ISO 27001 Allegato A, GDPR e alle garanzie tecniche HIPAA. Sui piani aziendali produrremo anche una mappatura rispetto al vostro quadro di controllo interno.
Posso ricevere una lettera ponte?
Sì. Una lettera ponte copre il divario tra due finestre di osservazione consecutive di Tipo II e conferma che i controlli sono rimasti in vigore. Ne emettiamo uno ogni anno e su richiesta tra un ciclo e l'altro.
I subresponsabili del trattamento sono coperti nel tuo SOC 2?
I subresponsabili del trattamento che gestiscono i dati dei clienti fanno parte dell'incarico. Il nostro revisore esamina le prove di due diligence dei fornitori e i controlli contrattuali. L'elenco completo dei subresponsabili, inclusa la persona giuridica e la regione, è condiviso con la segnalazione.
Con quale frequenza viene aggiornato il rapporto?
Il rapporto di tipo II viene aggiornato annualmente. La lettera ponte viene aggiornata per ogni trimestre solare tra i report. La matrice dei controlli e l'elenco dei subresponsabili vengono mantenuti aggiornati e rinviati in caso di modifiche materiali.
Sicurezza presso CodeCourier

Visualizza l'intero livello di sicurezza nel contesto.

Gratuito per 14 giorni · nessuna carta di credito

Assumi il tuo primo ingegnere AI.
Spedizione entro l'ora di pranzo.

5 minuti per l'imbarco. Il primo PR entro un'ora. Annulla in qualsiasi momento.