ソフトウェア パートナーを探しているブランドや代理店は、次のことに気づいたかもしれません。 多くの SOC 2 準拠という新しい認証を取得しています。
SOC 2 は大手会計事務所の間で人気があり、最近ではPricewaterhouseCoopers、Ernest & Young などの大手企業が SOC 2 に準拠していることを発表しました。 しかし、この認証は電子商取引にもますます広がっています。
現時点では、Intentwise の CTO として、データの保存を検討している電子商取引ブランドや代理店は、SOC 2 Type 2 に準拠したソフトウェア プロバイダーを優先する必要があると感じています。
SOC 2 準拠とは何ですか?
「SOC」とは「System and Organization Controls」の略で、米国公認会計士協会によって概要が定められ、顧客データを扱う企業向けに考案された一連のルールです。 基本的に、SOC 2 準拠の企業は、顧客データに関するプライバシーとセキュリティの最高基準に従っています。
Intentwise では、2 年の初めに SOC 1 タイプ 2023 に準拠し、2 年の初めに SOC 1 タイプ 2024 に準拠しました。なぜなら、当社はブランドや代理店の顧客データを組織化して保存しているからです。 私たちの通常の仕事の一部、私たちのプロセスがいかに安全であるかを実証したいと考えました。
私たちは、特に広告の世界において、データプライバシーに対する警戒が高まる時代に生きています。 SOC 2 標準は、選択したソフトウェア プロバイダーがお客様と同様に顧客の保護に全力で取り組むことを保証するため、優れています。
はい、最高のセキュリティ基準を満たさないプロセスを作成するつもりの企業はありません。 ただし、SOC コンプライアンスには、追加の (そして多くの場合必要となる) 精査層が適用されます。 SOC が行うことは、企業に一歩下がって自問するよう強制することです。「何かを見落としていないか?」
タイプ 1 とタイプ 2 のコンプライアンスの違いは何ですか?
SOC 2 への準拠について調べ始めると、実際には SOC 2 認定がタイプ 1 とタイプ 2 の XNUMX つあることに気づくかもしれません。
- タイプ 1 準拠 単一時点での SOC 2 準拠のスナップショットを提供します。 すべてのセキュリティとプライバシーの実践を SOC 2 標準を満たすように調整したことを証明すると、SOC 2 Type I 準拠を取得できます。
- タイプ 2 準拠 これらの実践に対する定期的な取り組みを測定します。 基本的に、タイプ 2 は、SOC 2 に準拠するために会社が考案したプロセスが次のとおりであることを意味します。 実際にフォローされている。 タイプ 2 認定は、最初に SOC 2 タイプ 1 準拠を取得してから XNUMX か月後にのみ取得できます。
Intentwise では、当社の手順が何ヶ月にもわたって遵守され、検証されているため、SOC 2 Type 2 に準拠していることを誇りに思っています。
さて、SOC 2 は実際にはどのようなものでしょうか?
Intentwise では、コンプライアンスへの準拠に 4 ~ 5 か月のプロセスがかかり、その後 8 年間のフォローアップ監査が続きました。私たちはデータの実践方法を研究するためにパートタイムで働く従業員 9 ~ XNUMX 人を指名し、それを評価してもらうために外部監査人を雇いました。
SOC 2 Type 2 の取り組みの一環として、私たちは次のことに重点を置きました。
- マルチファクタ認証: 機密データに接触する人には、すべてのアカウントに対して多要素認証を使用することを義務付けます。
- 新入社員のセキュリティ: 新入社員には、セキュリティ対策の中でも特に、コンピューターのハードドライブを暗号化し、ラップトップに自動画面ロックを追加することを義務付けました。
- VPN:全社にVPNシステムを導入しました。
- データ暗号化。 すべてのデータベースを PostgresSQL で暗号化し、 Amazonレッドシフト。 データ ウェアハウスが完全に暗号化されていることを確認するために、昨年、ある金曜日の夜から 8 時間データ運用を一時停止する必要がありました。 これは 6 年間の運営の中で最長の計画停止でしたが、顧客データを安全に保つために必要でした。
- コードレビュー。 私たちは、顧客データが実際に存在する本番システムにアクセスできる従業員の数を最小限に抑えたいと考えていました。 そのため、実際に新しいコード行を Intentwise プラットフォームにプッシュできる人の数を制限しました。
SOC 2 監査がどのようなものかを知りたいですか?
最終的に、数週間の監査の後、当社の既存のプロセスとプライバシー慣行の多くがすでに SOC 2 準拠の基準をクリアしていることがわかりました。 最終的に、SOC 2 認証を取得するために手順をいくつか変更するだけで済みました。
タイプ 2 への準拠を達成するまでの数か月は、私たちが実際にこれらの変更に取り組んでいることを証明するようなものでした。
しかし、SOC 2 Type 2 監査を受けることを選択したことをうれしく思います。これにより、Intentwise とクライアントの両方にとって、機密データが安全に保たれているという安心感が得られるからです。 SOC 2 Type 2 認定は、Intentwise がクライアントやパートナーとの信頼を築き、情報セキュリティへの取り組みを実証し、リスクを効果的に管理するのに役立ちます。
SOC 2 Type 2 監査がどのようなものかを確認したい場合は、以下からダウンロードしてください。 Intentwise ではデータ セキュリティを真剣に考えており、SOC 2 Type 2 レポートがそれを証明していると思います。