开源数字资产 MPC 自托管解决方案提供商 Safeheron 宣布通过数据安全和隐私标准 SOC 2 Type I 认证。
此认证由全球领先的审计及相关服务提供商德勤(Deloitte)进行审计,评估 Safeheron 的安全流程设计是否符合标准。SOC 2 Type I 认证证明 Safeheron 的安全设计、组织管控等已经落实到位。
同时,德勤审计团队已入驻 Safeheron,推进 SOC 2 Type II 认证工作,确保 Safeheron 安全体系、控制措施随着时间推移的有效性,保护客户数据免受未经授权的访问,维护系统安全性、用户信息保密性与隐私性。该认证将进一步证明 Safeheron 在开源透明、安全可靠方面的能力以及对用户数据安全与隐私保护的承诺。
Safeheron 为什么选择 SOC 2 认证?
SOC 2 认证涵盖信息系统的内部控制,是企业信息系统内部安全控制的黄金标准。美国注册会计师协会(AICPA)还提供另外两种 SOC 认证,分别是 SOC 1 和 SOC 3。SOC 1 关注企业财务报告的相关内部控制活动,而 SOC 3 与 SOC 2 一样涵盖信息安全控制,但 SOC 3 只是对企业网络安全体系的概括性报告。Safeheron 作为 MPC 自托管安全技术供应商,视用户数据安全与隐私保护为核心,故优先推进 SOC 2 认证。
SOC 2 认证的审计标准是什么?
Safeheron SOC 2 Type I 报告中包含安全性、保密性与隐私性内容。
根据美国注册会计师协会(AICPA)制定的信托服务准则(TSC),SOC 2 的安全控制审计要求涵盖 5 大核心标准:安全性、可用性、流程完整性、保密性与隐私性。
在这 5 大标准中,安全性是必不可少的,而保密性也应包含在内。大多数 SaaS 公司通常选择安全性、可用性和包密性作为主要考量项。
标准 | 描述 |
安全性 | 信息和系统受到妥善保护,防止未经授权的(物理和逻辑上的)访问、未经授权的信息披露 |
可用性 | 信息和系统按照承诺和约定的要求供操作和使用,即公司所承诺的系统、产品或服务的可访问性 |
流程完整性 | 完整、有效、准确、及时和经过授权的系统处理,与公司目标吻合 |
保密性 | 保护标识为机密的信息,与公司目标吻合 |
隐私性 | 个人信息的收集、使用、保存、披露和处理符合公司目标 |
SOC 2 Type 1 与 Type 2 认证有何不同?
SOC 2 Type I 报告评估公司在某一特定时间点的安全控制措施落地,证明安全控制措施设计和架构已完善搭建。
SOC 2 Type II 报告则评估这些控制措施在一段时间内(通常为 3-12 个月)的运作情况,即评估公司的安全控制措施是否按预期运行。
Safeheron 已获 SOC 2 Type I 认证,SOC 2 Type II 审计正在进行中。
SOC 2 Type I 认证是 Safeheron 的 SOC 2 认证的第一阶段,从申请到获得认证为期多久?
从审计到获得认证的整个过程为期 5 个月。
完成 SOC 2 Type I 审计需要哪些准备工作?
准备和完成 SOC 2 审计主要由首席信息安全官(CISO)及其团队负责。在审计员正式开展审计工作前,公司需要对照 SOC 2 要求,评估和完善组织内的安全控制。
一般来说,准备工作包括:
差距评估 | 评估当前公司内部体系与标准化体系的差距并填补空缺 |
技术控制 | 视情况制定所需的安全控制措施以提高安全性并确保合规性 |
政策与流程 | 调整公司内部政策与流程以符合审计要求 |
文档撰写 | 此类文档将是 SOC 2 审计的关键性文件,涵盖公司政策、流程、报告等 |
风险评估 | 风险评估对于 SOC 2 审计为必须项,需有效执行并提供评估报告 |
第三方供应商评估 | 妥善管理、评估供应商,确保 SOC 2 合规性 |
内部审计 | 内部及时发现问题并采取必要措施,保障公司 SOC 2 合规性 |
员工培训 | 进行员工培训并记录培训内容和效果。培训涵盖公司的安全政策、流程、控制措施、风险识别、应急响应等方面,以及 SOC 2 审计的相关要求和标准。培训效果通过考试、问卷、反馈等方式进行评估和改进,以确保员工符合 SOC 2 的五大标准 |
应急预案 | 制定应急预案并测试应急预案的可行性和有效性。应急预案覆盖可能影响公司符合 SOC 2 五大标准的各种情况,并明确责任人、响应流程、沟通渠道、恢复步骤等,并定期进行演练和评估,以提高公司的应急和恢复能力 |
Safeheron 所做准备
作为自托管安全基础设施,Safeheron 基于自身现有安全架构与安全控制措施,侧重于优化内部安全控制措施与增强安全防护,比如:
采用数据防泄露工具对所有终端用户进行防护,防止敏感数据泄露
采用杀毒软件对所有终端用户进行防护,实现终端防病毒防木马
采用终端管理软件控制软件的安装范围,系统会自行删除阻断白名单以外的软件,即对终端用户安装软件进行限制,可有效避免钓鱼软件等恶意软件的安装
Safeheron 安全团队对内部所有的安全规章制度进行审查和更新,确保全面审核,通过后方可生效
落地多项灾难实战演练和复盘,如关键系统管理人员失联实战演练和复盘、核心灾难备份数据恢复实战演练和复盘、核心敏感数据备份和恢复实战演练和复盘等
Safeheron 安全团队推动信息安全培训,并定期进行全员参与的信息安全培训考试
除安全控制方面外,Safeheron 将公司管理和流程标准化,例如,制定全面安全政策文件,定期进行风险管理和合规性评估,与供应商和合作伙伴落地严格安全要求和合规标准。
在公司财务管理方面,Safeheron 建立严格财务控制与报告流程,并进行内部控制评估,以确保财务流程和操作的有效性和合规性。
此外,Safeheron 的准备工作还包括整理和归档财务记录和文件、定期接受外部审计和合规性审核等。
SOC 2 Type I 审计流程是怎样的?
Safeheron 的 SOC 2 Type I 审计采用远程和现场审计相结合的方式。
SOC 2 Type I 审计一般会面临哪些挑战?Safeheron 在此过程中遇到过什么问题,是如何解决的呢?SOC 2 Type I 审计流程是怎样的?
对于大部分公司来说,要通过 SOC 2 审计的一大挑战是管理控制方面的问题。有些公司没有正确执行相关政策或程序,有些公司甚至没有实施这些控制措施,比如:
访问控制
公司需要审核所有核心系统的访问控制管理,涉及权限分配、账户状态和分层访问等。
变更控制
对软件、配置、网络或客户请求的变更进行记录。
另一挑战则为技术安全控制,许多公司在公司成立之初便会实施技术安全控制措施,但相较于 SOC 2 标准,依然会有一些控制措施尚未落地,比如:
软件开发生命周期管理(SDLC)
为提高软件的安全和可靠,组织需要规范和优化软件开发过程,并按照 SOC 2 标准管理软件生命周期的各个阶段。
系统日志和监控
系统日志的创建与记录对于大部分公司也是本就存在的举措,但是实际监控是不少公司会忽略的部分。为避免潜在问题,SOC 2 要求公司持续监控其基础架构和应用程序,以即时发现不一致之处。
Safeheron 自成立起便搭建并不断完善内部安全体系。推进 SOC2 Type I 认证也帮助我们查漏补缺,优化现有措施,同时因地制宜增加所需安全设计,并持续验证内部安全措施有效推行。
SOC 2 Type I 报告的主要组成部分是哪些?
SOC 2 Type I/ Type II 报告主要由以下 5 部分组成:
审计员报告(Auditor’s Report) | 此部分由审计员编写,阐述被审计组织是否「通过」评估,评估结果为「合格」或「不合格」两类 |
管理断言 (Management Assertion) | 作为系统描述的前情,此部分让被审计组织声明已准备并实施系统描述 |
系统描述 (System Description) | 此部分涵盖支持被审计组织产品或服务的人员、流程和技术的重要信息,是被审计组织现有系统和控制措施的概述 |
标准说明 (Description of Criteria) | 此部分罗列所有被评估的控制措施,可作为在审计报告中找到最关联信息的索引 在 SOC 2 Type 1 报告中, 此部分仅包含审计员对于在特定时间段内该组织是否设计适宜控制措施的评估 |
其他信息(可选) (Other Information (optional)) | 此部分让被审计组织提供与审计相关的其他信息,例如对 SOC 2 报告中发现的任何例外情况的回应 |
推进 SOC 2 认证,对于企业,尤其是区块链公司,有何影响?
安全与合规是众多企业发展的必要条件,特别是区块链行业方兴未艾,安全合规方面尚处于早期,SOC 2 作为最受认可并能够全面体现供应商安全能力的认证体系,可确保服务供应商能够安全管理用户数据,以保护组织的利益和客户的隐私。
取得 SOC 2 Type I 认证对于 Safeheron 是一大重要里程碑。作为 MPC 自托管基础设施,Safeheron 以技术为导向,自主研发全套自托管技术,同时也积极参与并贡献开源社区。安全认证的持续推进,不仅彰显 Safeheron 在安全实践及持续合规性上的专业能力,更是坚守对用户数据安全与隐私保护的承诺。
SOC 2 Type I 认证进一步表明 Safeheron 坚持安全合规高标准的初心。Safeheron 始终致力于成为行业领先的数字资产自托管安全基础设施,让客户 100% 掌握私钥和资产控制权, 并提升资产安全和管理效率。
参考文献
Crypto firms build confidence through SOC 2 reporting, Deloitte
https://www2.deloitte.com/content/dam/Deloitte/cn/Documents/audit/deloitte-cn-audit-crypto-firms-build-confidence-through-SOC2-en-220328.pdf
How to get a SOC 2 certification: A comprehensive guide., Rob Black
https://fractionalciso.com/soc-2-certification/#:~:text=To%20get%20a%20SOC%202%2C%20companies%20must%20create%20a%20compliant,a%20report%20documenting%20their%20findings.
Breaking Down SOC 2 Reports: How to Prepare and Review Each Section, Kyle Cohlmia
https://www.barradvisory.com/blog/sections-of-a-soc-2-report/
Keep Your Funds
Safe From Here On
Twitter|@Safeheron
LinkedIn|Safeheron
公众号|安全鹭