En uafhængig revision af cybersikkerheden her hos Kinsta har givet kunderne endnu en grund til at føle sig sikre på, at deres data er sikre på vores hostingplatforme.
BARR Advisory’s undersøgelse af Kinstas sikkerhedspolitikker og -praksisser var et vigtigt skridt til at bekræfte, at vi overholder visse kriterier for tillidstjenester i System and Organization Controls for Service Organizations (eller SOC 2).
SOC er udviklet af Association of International Certified Professional Accountants og er en pakke med rapportering om system- og organisationskontroller for en lang række virksomheder. SOC 2-varianten passer godt til serviceudbydere som Kinsta i PaaS-området, da dens protokoller kan evaluere servicekriterier for sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv.
Kinsta fokuserede på sikkerhed i sit første bud på SOC 2-overholdelse.
“Kinstas kunder kan have tillid til Kinstas overholdelse af SOC 2-standarden, fordi det giver håndgribelige beviser på, at Kinstas økosystem for informationssikkerhed er designet med sikkerhed i højsædet.”
– Jon Penland, Kinsta Chief Operating Officer
“SOC 2 er den mest anerkendte ramme for cybersikkerhed for virksomheder som Kinsta,” siger Jon Penland, virksomhedens Chief Operating Officer. “Selvom vi følte, at vi opererede på en sikker måde, troede vi på, at en ramme som SOC 2 kunne hjælpe os med at forbedre vores sikkerhed på håndgribelige og meningsfulde måder.”
Et nærmere kig på Kinstas SOC 2-overholdelse
Ud over at fokusere på de centrale kriterier for sikkerhedstjenester for at lancere SOC 2-indsatsen, sigtede Kinsta også efter en endelig rapport, der ville evaluere virksomhedens præstationer over et helt kvartal – en type II-rapport – i stedet for type I-rapporten, der kun er et øjebliksbillede i tid.
Virksomheden valgte Vanta til at levere governance-, risiko- og compliance-software, der kunne automatisere meget af bevisindsamlingen i realtid. I samarbejde med revisoren, BARR, definerede Kinsta en række kontroller, der skulle overvåges under compliance-testen.
“Vores første SOC 2-observationsperiode skulle begynde den 1. april 2023 og slutte den 30. juni 2023,” siger Penland. “Fordi vi havde brugt Vanta, kunne mange af de oplysninger, som auditøren havde brug for, nemt tilgås i Vantas systemer, hvilket dramatisk reducerede den tid, vi skulle bruge på at indsamle og organisere data, der skulle sendes til BARR.”
Den 15. august afsluttede BARR sine interne og tredjepartsrevisioner og leverede Kinstas første SOC 2 Type II-rapport.
Rapporten ser på 38 kontroller – fra hvordan Kinsta administrerer adgangen til sine interne systemer, til hvordan kodeændringer gennemgås og godkendes, til hvordan man sikrer, at teammedlemmer gennemfører sikkerhedstræning under onboarding.
Type II-rapporten er tilgængelig for kunder på Kinstas Trust Report -side.
“Trust Report-siden indeholder vores seneste SOC 2 Type II-rapport samt et live resumé af nogle af de SOC 2-kontroller, vi har implementeret, og som overvåges automatisk,” siger Penland. “Ikke alle SOC 2-kontroller overvåges automatisk og vises på Trust Report-siden, men mange gør.”
“Noget, der var vigtigt for os fra starten, var, at vi ikke behandlede SOC 2 som en afkrydsningsaktivitet,” siger Penland. “Her hos Kinsta er vi ikke interesserede i at udføre travlt arbejde bare for at udføre travlt arbejde. Hvis vi skal lave SOC 2, skal det levere værdi. Den holdning hjalp os med at få meget ud af processen.”
“Den feedback, jeg har hørt gentagne gange, er, at SOC 2 var virkelig nyttig til at hjælpe os med at formalisere visse sikkerhedsrelaterede aktiviteter og politikker, og at Kinsta som følge heraf virkelig er mere sikker i den måde, vi opererer på.”
Vi ser fremad: SOC 2 hos Kinsta
Af rammens fem servicekriterier – sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed og privatliv – skal hver organisation, der vedtager SOC 2, som minimum overholde sikkerhedskriterierne.
“Det er op til hver enkelt organisation at beslutte, hvilke yderligere servicekriterier, hvis nogen, de frivilligt vil overholde,” siger Penland. “Lige nu satser vi på at tilføje kriterierne for tilgængelighed og fortrolighed til vores SOC 2-program. Vores kunder kan forvente at se disse kriterier tilføjet til vores næste SOC 2 Type II-revisionsrapport i løbet af sommeren 2024.”
Du kan anmode om adgang til Kinstas SOC 2 Type II-rapport fra vores Trust Report-side.
Hvis du er på udkig efter sikker cloud-hosting, kan du lære, hvordan Kinsta udnytter Google Cloud Platform og Cloudflare til at levere firewalling, DDoS-beskyttelse og gratis wildcard SSL.