Ein unabhängiges Cybersecurity-Audit bei Kinsta ist ein weiterer Grund für unsere Kunden, sich darauf zu verlassen, dass ihre Daten auf unseren Hosting-Plattformen sicher sind.
Die Prüfung der Sicherheitsrichtlinien und -praktiken von Kinsta durch BARR Advisory war ein wichtiger Schritt, um die Einhaltung bestimmter Kriterien der System- und Organisationskontrollen für Dienstleistungsunternehmen (oder SOC 2) zu bestätigen.
Die SOC wurde von der Association of International Certified Professional Accountants entwickelt und ist eine Reihe von Berichten über System- und Organisationskontrollen für eine Vielzahl von Unternehmen. Die SOC 2-Variante passt gut zu Dienstleistern wie Kinsta im PaaS-Bereich, da ihre Protokolle Dienstkriterien für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bewerten können.
Kinsta hat sich bei seiner ersten Bewerbung um die SOC 2-Konformität auf die Sicherheit konzentriert.
„Die Kunden von Kinsta können sich darauf verlassen, dass Kinsta den SOC 2-Standard erfüllt, denn er ist ein greifbarer Beweis dafür, dass das Informationssicherheitsökosystem von Kinsta so konzipiert ist, dass die Sicherheit an erster Stelle steht
– Jon Penland, Kinsta Chief Operating Officer
„SOC 2 ist das anerkannteste Cybersicherheits-Framework für Unternehmen wie Kinsta“, sagt Jon Penland, Chief Operating Officer des Unternehmens. „Wir waren zwar der Meinung, dass wir sicher arbeiten, aber wir glaubten, dass ein Rahmenwerk wie SOC 2 uns helfen könnte, unsere Sicherheit auf greifbare und sinnvolle Weise zu verbessern.“
Ein genauerer Blick auf Kinsta’s SOC 2 Compliance
Kinsta konzentrierte sich bei der Einführung von SOC 2 nicht nur auf die Kernkriterien für Sicherheitsdienstleistungen, sondern strebte auch einen Abschlussbericht an, der die Leistung des Unternehmens über ein ganzes Quartal hinweg bewertet – einen Typ-II-Bericht – anstelle des Typ-I-Berichts, der nur eine Momentaufnahme darstellt.
Das Unternehmen entschied sich für Vanta als Anbieter von Governance-, Risiko- und Compliance-Software, mit der ein Großteil der Beweiserhebung in Echtzeit automatisiert werden kann. In Zusammenarbeit mit dem Wirtschaftsprüfer BARR legte Kinsta eine Reihe von Kontrollen fest, die während der Compliance-Tests überwacht werden sollten.
„Unser erster SOC 2-Beobachtungszeitraum sollte am 1. April 2023 beginnen und am 30. Juni 2023 enden“, sagt Penland. „Da wir Vanta eingesetzt hatten, waren viele der Informationen, die der Prüfer benötigte, in den Vanta-Systemen leicht zugänglich, was die Zeit, die wir für das Sammeln und Organisieren der an BARR zu übermittelnden Daten aufwenden mussten, drastisch reduzierte.“
Am 15. August schloss BARR die internen und externen Prüfungen ab und übergab Kinsta den ersten SOC 2 Typ II Bericht.
Der Bericht befasst sich mit 38 Kontrollen – von der Art und Weise, wie Kinsta den Zugang zu seinen internen Systemen verwaltet, über die Überprüfung und Genehmigung von Codeänderungen bis hin zur Sicherstellung, dass die Teammitglieder während des Onboardings eine Schulung zum Sicherheitsbewusstsein absolvieren.
Der Typ-II-Bericht ist für Kunden auf der Seite Trust Report von Kinsta verfügbar.
Auf der Seite „Trust Report“ findest du unseren aktuellen SOC 2 Typ II-Bericht sowie eine Live-Zusammenfassung einiger der SOC 2-Kontrollen, die wir implementiert haben und die automatisch überwacht werden“, so Penland. „Nicht alle SOC 2-Kontrollen werden automatisch überwacht und auf der Trust Report-Seite angezeigt, aber viele schon.
„Für uns war es von Anfang an wichtig, dass wir SOC 2 nicht wie eine Abhak-Aktion behandeln“, sagt Penland. „Wir bei Kinsta sind nicht daran interessiert, Arbeit um der Arbeit willen zu erledigen. Wenn wir SOC 2 machen wollen, muss es einen Mehrwert bringen. Diese Einstellung hat uns geholfen, eine Menge aus dem Prozess herauszuholen.“
„Das Feedback, das ich immer wieder höre, ist, dass SOC 2 uns wirklich geholfen hat, bestimmte sicherheitsrelevante Aktivitäten und Richtlinien zu formalisieren, und dass Kinsta dadurch wirklich sicherer geworden ist, was unsere Arbeitsweise angeht.“
Ein Blick in die Zukunft: SOC 2 bei Kinsta
Von den fünf Dienstleistungskriterien des Rahmenwerks – Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz – muss jede Organisation, die SOC 2 anwendet, mindestens die Sicherheitskriterien erfüllen.
„Jedes Unternehmen kann selbst entscheiden, ob und welche zusätzlichen Kriterien es freiwillig erfüllen will“, so Penland. „Im Moment konzentrieren wir uns darauf, die Kriterien für Verfügbarkeit und Vertraulichkeit in unser SOC 2-Programm aufzunehmen. Unsere Kunden können damit rechnen, dass diese Kriterien im Sommer 2024 in unseren nächsten SOC 2 Typ II Prüfungsbericht aufgenommen werden.“
Du kannst den SOC 2 Typ II-Bericht von Kinsta auf unserer Seite zum Vertrauensbericht anfordern.
Wenn du auf der Suche nach sicherem Cloud-Hosting bist, erfährst du, wie Kinsta die Google Cloud Platform und Cloudflare nutzt, um Firewalling, DDoS-Schutz und kostenloses Wildcard SSL anzubieten.