平台动态

Safeheron 通过 SOC 2 Type II 认证,数据安全体系再获认可

By Safeheron Team - 2023-10-24

开源数字资产 MPC 自托管解决方案提供商 Safeheron 宣布已通过数据安全和隐私标准 SOC 2 Type II 认证。此认证由全球领先的第三方独立审计机构德勤(Deloitte)进行审计,验证 Safeheron 信息安全控制措施的设计及实施符合 SOC 2 标准,评估 Safeheron 安全体系、控制措施随着时间推移的有效性。

通过 SOC 2 Type II 认证进一步证明 Safeheron 在开源透明、安全可靠方面的能力以及对用户数据安全与隐私保护的承诺,保护客户数据免受未经授权的访问,维护系统安全性、用户信息保密性与隐私性。

Q & A

SOC 2 Type I 与 Type II 认证分别评估什么内容?

SOC 2 Type I 报告:Type I 报告主要关注对服务组织的信息安全控制措施的有效性进行一次性的评估。这个报告只覆盖一个特定时间点,通常是一个审计日期,用于验证控制措施在该时间点是否符合相关标准,即提供有关服务组织的信息安全控制措施是否设计得足够好并是否能够执行的信息。

SOC 2 Type II 报告:Type II 报告涵盖一个更长的审计期间,它不仅需要验证信息安全控制措施的设计和存在,还将评估这些控制措施在审计期间的有效性。这意味着审计员会在整个审计期间进行连续的监视和测试,以确保控制措施能够持续有效地保护客户数据。

SOC 2 Type II 审计流程是怎样的?

Safeheron 的 SOC 2 Type II 审计采用现场审计的方式。

SOC 2 审计程序包括询问、观察、检查与重新执行。在 SOC 2 Type II 审计期间,会从控制设计、执行以及运行有效性角度对控制活动评估在测试期间的运行是否有效。Safeheron 会提供审计期间的证明材料,并接受随机抽查,德勤依据 AICPA 的指引以及 SSAE 18 的要求执行抽样,评估控制运行的有效性。

Safeheron为通过 SOC 2 Type II 审计做了哪些准备工作?

Safeheron 首席信息安全官(CISO)及其团队通过采取差距评估、风险评估、制定相关政策流程等措施,构建了符合 SOC 2 要求的安全控制体系。

SOC 2 Type II 审计是为了验证 Safeheron 的安全控制体系随着时间推移依旧具备有效性,Safeheron 所做准备如下:

  • Safeheron 落实安全控制措施,确保所有员工设备正确安装数据防泄露工具及杀毒软件,并采用终端管理软件控制软件的安装范围,系统会自行删除阻断白名单以外的软件。
  • Safeheron 将公司管理和流程标准化,如制定全面安全政策文件、定期进行风险管理和合规性评估、与供应商和合作伙伴落地严格安全要求和合规标准。
  • Safeheron 定期进行员工培训并记录培训内容和效果。培训涵盖公司的安全政策、流程、控制措施、风险识别、应急响应等方面,以及 SOC 2 审计的相关要求和标准,确保 Safeheron 安全控制体系长期有效。
  • Safeheron 安全团队对内部所有的安全规章制度进行审查和更新,确保全面审核,通过后方可生效。
  • Safeheron 落地多项灾难实战演练和复盘,如关键系统管理人员失联实战演练和复盘、核心灾难备份数据恢复实战演练和复盘、核心敏感数据备份和恢复实战演练和复盘等。
  • Safeheron 制定了严格的文档管理和记录保留流程,整理和归档各类记录和相关文件,并定期进行内部审核,确保事事留档,可以在接受外部审计时提供相应证明。

SOC 2 Type II 审计一般会面临哪些挑战?Safeheron 在此过程中遇到过什么问题,是如何解决的呢?

SOC 2 作为公认的企业信息系统内部安全控制的黄金标准,其标准的评定与审核同样适用于尚处初期的区块链安全行业,但区块链安全从业者首先需要协助审计方了解其自身业务与技术运用,如 Safeheron 在推进 SOC 2 审计初期,便全方位协助审计方充分理解区块链安全及其技术应用、业务发展,与 Safeheron 自身业务发展与技术应用。

如:

  • 区块链安全与传统行业的安全有何异同
  • Safeheron 如何深耕区块链安全
  • Safeheron 如何运用自研 MPC+TEE 技术保障用户资产安全
  • Safeheron 为机构客户提供的自托管服务、钱包搭建服务如何能保障客户业务安全并助力客户业务发展

而对于接受 SOC 2 Type II 审计的公司而言,其在 SOC 2 Type I 审计期间已建立符合标准的安全控制体系,因而面对的挑战可能包含以下内容:

合规性运行 在准备过程中,公司可能需要对其现有的安全控制措施进行调整和改进,以保障控制措施符合 SOC 2 要求并有效运行,即公司可能需要重新设计其安全流程,并投入更多资源来实施新的控制措施。
文档记录保存 SOC 2 Type II 审计需要准备并维护大量的文档和记录,以证明组织的合规性。公司需要有严格且完备的文档管理和记录保留流程,以便在审计过程中提供必要的证据。
安全文化建立 安全控制体系需要人来落实,这也就意味着公司需要建立和提升其内部的安全文化。妥善组织员工培训和意识提高活动,以确保员工了解和理解公司安全政策和流程,并积极参与安全控制措施的执行和遵守。

Safeheron 自成立起便搭建并不断完善内部安全体系。推进 SOC2 Type II 认证也帮助我们查漏补缺,优化现有措施,同时因地制宜增加所需安全设计,并持续验证内部安全措施有效推行。

了解更多 SOC 2 认证内容:

总结

获得 SOC 2 Type II 认证不仅仅是对 Safeheron 始终践行的数据安全体系的高度认可,更是不断优化现有安全管理和数据保护体系的最佳实践。

自研的 MPC+TEE 自托管安全技术有效加密保护用户数据与隐私,免受未经授权的访问和篡改,配以全方位安全措施,并持续优化,实现「技术+合规」的高度可行、高度可信赖的内部安全体系。SOC 2 Type II 认证便是 Safeheron 全面、持续且有效地维护系统安全性、用户信息保密性与隐私性的有力证明。

而 Safeheron 不会止步于此,公司将持续对自身实施高标准要求,持续推进行业认可的安全合规认证与落地可靠安全措施,做到知行合一,确保为客户提供更安全、更可信赖的数字资产自托管服务。