安全性和數據隱私一直是一個重點對我們來說在釺。
早在2011年,當我們建立的第一個版本iOS SDK,我們公司做了一個明確的決定不去收集相關的唯一通用標識符(UUID)每個iOS設備,這可能是由應用程序來跟蹤用戶在不同應用程序讀廣告的目的。為什麼?這是我們相信未來越來越規範和輿論來翻天覆地的變化會增加移動用戶數據的審查。果然,蘋果棄用iOS 5的UUID,創建一係列的挑戰對於許多手機公司,但不是釺。
事實是,我們的方法數據安全和隱私問題一直是故意和麵向長期,就是明證方法我們把歐盟的總體數據保護監管(GDPR)。五年多來,釺已聘請獨立的安全公司開展第三方提供外部認證安全滲透測試和控製管理產品。早在2016年,我們曾與第三方專家對美國1996年健康保險攜帶和責任法案(HIPAA)建立HIPAA合規性提供我們的產品,在2017年,我們成功完成了一次服務組織控製(SOC) 2 1型檢查。所有這些努力都是我們專注於持續的一部分,改進釺的安全方法。
現在,經過長時間的和全麵的過程,我自豪地分享,釺已經成功地完成了SOC 2 2型審計和ISO 27001認證在2018日曆年。這些關鍵的新安全措施意味著我們的客戶感到更有信心,我們可以做我們說我們做的我們manbetx万博全站客户端安全控製。
SOC 2是什麼?
SOC 2標準,這是由美國注冊會計師協會(AICPA),製定了法規遵循需求與一個給定的公司的安全控製,確保公司建立了嚴格的信息安全政策和程序,涉及五個信任服務原則:
- 可用性
- 安全
- 處理完整性
- 保密
- 隱私
當一家公司經曆了SOC 2審計,它要求大綱如何安全流程和控製是為了滿足給定的標準而信任服務原則。然後這些控件是由第三方審核員的審核評估這些安全控製的適用性時設計和操作效率。最終SOC 2合規過程集中在一個給定的組織如何解決信息安全風險,以及如何確保適當的控製這些風險降低到可接受的程度。
SOC 2的過程是一個技術審核,第三方審計產生認證報告描述方麵的公司的安全控製。審計的第一部分,即SOC 2 1型,是一個所謂的“時間點”審計、獨立審計公司審核文檔,係統,和控製到位,並請求他們當前使用的證據。如果公司提供的證據表明,他們有一個適當的設計信息安全管理係統,通常他們會完成1型審計你可以認為1型的人說,“這些安全控製好看…如果這些安全控製實際使用,然後我預計該公司將可以降低信息風險。”
SOC 2 2型審計,另一方麵,在較長時期發生至少六個月。SOC 2 2型審計釺期限是1月1日,2018年到2018年6月30日。在這段時間裏,釺員工在正常的日常經營方式符合類型1中概述的控製我們。
2018年7月,外部審計師來現場re-review釺安全控製和要求的描述隨機抽樣的證據,這些控件的使用在過去六個月來驗證依從性。在這個過程中,審計人員正在尋求確保一個公司說,它在做什麼反映了它實際上做什麼:“你說所有新員工都有犯罪背景檢查執行?給我一個新員工的名單,我將隨機挑選一些,我們會看到如果你可以為我提供的證據表明,他們的背景調查。你說所有的代碼更改了之前部署到生產?給我一個列表的所有代碼更改從過去幾個月,我將隨機選擇幾個,然後我會問你為我提供的證據鏈的批準。”
正是這種專注於公司的安全控製是如何運作和公司說他們操作,如何使SOC2 2型這樣一個強大的公司的驗證過程。
ISO 27001是什麼?
與SOC 2,這是一個認證報告,文件安全控製ISO 27001認證申明一個組織進行了一個全麵的評估安全風險和創造了一個信息安全管理係統(主義),符合內部的需求出發國際標準化組織(ISO)的全球信息安全管理標準。
主義是一個框架和相關的政策和程序設計來管理一個組織的風險,機密信息和安全的方法。ISO 27001提供了一個輪廓比一個主義應該強製性的要求,比如物理和環境安全,控製供應商關係、訪問控製、人力資源保障、事件管理等等。
我們的ISO 27001認證發生在2018年第四季度,當第三方審計進行了全麵評估釺確認:
- 釺堅持自己的安全策略、對象和過程
- 釺主義符合ISO 27001標準的所有要求
- 釺主義成功地實現政策目標製定的所有釺與信息安全管理
成功完成後,第三方審計、釺收到認證ISO 27001認證在去年年底。
展望未來
釺高興讓我們SOC 2 2型報告,描述了我們的2型審計結果,和我們的ISO 27001認證可用於釺客戶要求。manbetx万博全站客户端
我們不斷地評估安全釺和尋找其他方法來展示高水平的安全和數據保密承諾,我們公司是出了名的,和我們的客戶所期望的。manbetx万博全站客户端作為這一努力的一部分,釺已承諾進行SOC 2 2型審計在年度基礎上,連同ISO 27001和我們常規的監督審核第三方滲透測試。將來的合規工作正在進行,我們興奮地在2019年與你分享。