Un audit indépendant de la cyber-sécurité chez Kinsta a fourni une raison supplémentaire aux clients d’être confiants dans la sécurité de leurs données sur nos plateformes d’hébergement.
L’examen des politiques et pratiques de sécurité de Kinsta par BARR Advisory était une étape essentielle pour confirmer la conformité avec certains critères de services de confiance des contrôles de systèmes et d’organisations pour les organisations de services (ou SOC 2).
Conçu par l’Association of International Certified Professional Accountants, SOC est un ensemble de rapports sur les contrôles des systèmes et de l’organisation pour un large éventail d’entreprises. La variante SOC 2 convient parfaitement aux fournisseurs de services comme Kinsta dans le domaine du PaaS, car ses protocoles permettent d’évaluer les critères de service en matière de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité et de respect de la vie privée.
Kinsta a mis l’accent sur la sécurité lors de sa première tentative de mise en conformité avec la norme SOC 2.
« Les clients de Kinsta peuvent se fier à la conformité de Kinsta à la norme SOC 2, car elle fournit la preuve tangible que l’écosystème de sécurité de l’information de Kinsta est conçu avec la sécurité au premier plan »
– Jon Penland, directeur de l’exploitation de Kinsta
« SOC 2 est le framework de cyber-sécurité le plus reconnu pour les entreprises comme Kinsta », a déclaré Jon Penland, directeur de l’exploitation de l’entreprise. « Nous avions l’impression de travailler en toute sécurité, mais nous pensions qu’un framework tel que SOC 2 pouvait nous aider à améliorer notre sécurité de manière tangible et significative. »
Zoom sur la conformité de Kinsta à SOC 2
En plus de se concentrer sur les critères de base des services de sécurité pour lancer l’effort SOC 2, Kinsta visait également un rapport final qui évaluerait la performance de l’entreprise sur un trimestre entier – un rapport de type II – au lieu d’un rapport de type I qui n’est qu’un instantané dans le temps.
L’entreprise a choisi Vanta pour fournir un logiciel de gouvernance, de risque et de conformité qui pourrait automatiser une grande partie de la collecte de preuves en temps réel. En collaboration avec l’auditeur BARR, Kinsta a défini une série de contrôles qui seraient surveillés pendant les tests de conformité.
« Notre première période d’observation SOC 2 devait commencer le 1er avril 2023 et se terminer le 30 juin 2023 », a déclaré Penland. « Comme nous avions utilisé Vanta, une grande partie de l’information dont l’auditeur avait besoin était facilement accessible dans les systèmes de Vanta, ce qui réduisait considérablement le temps que nous devions consacrer à la collecte et à l’organisation des données à envoyer à BARR. »
Le 15 août, BARR a terminé ses examens internes et tiers et a remis le premier rapport SOC 2 Type II de Kinsta.
Le rapport examine 38 contrôles – de la façon dont Kinsta gère l’accès à ses systèmes internes à la façon dont les modifications de code sont examinées et approuvées, en passant par l’assurance que les membres de l’équipe suivent une formation de sensibilisation à la sécurité lors de leur intégration.
Le rapport de type II est disponible pour les clients sur la page Trust Report de Kinsta.
« La page Trust Report fournit notre rapport SOC 2 Type II le plus récent ainsi qu’un résumé en direct de certains des contrôles SOC 2 que nous avons mis en œuvre et qui sont surveillés automatiquement », a déclaré M. Penland. « Tous les contrôles SOC 2 ne sont pas surveillés automatiquement et affichés sur la page Trust Report, mais beaucoup le sont »
« Dès le départ, il était important pour nous de ne pas considérer SOC 2 comme une activité à vérifier », a déclaré M. Penland. « Chez Kinsta, nous ne sommes pas intéressés par le fait de faire du travail pour le simple plaisir de faire du travail. Si nous voulons faire SOC 2, il faut que cela apporte de la valeur. Cette attitude nous a permis de tirer le meilleur parti du processus »
« Les commentaires que j’ai entendus à plusieurs reprises sont que SOC 2 a été réellement utile pour nous aider à formaliser certaines activités et politiques liées à la sécurité et que, par conséquent, Kinsta est réellement plus sûre dans sa façon de fonctionner »
Regarder vers l’avenir : SOC 2 chez Kinsta
Sur les cinq critères de service du framework – sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée – chaque organisation adoptant SOC 2 doit au minimum se conformer aux critères de sécurité.
« Il appartient à chaque organisation de décider quels sont les critères de service supplémentaires, le cas échéant, auxquels elle se conformera volontairement », a déclaré M. Penland. « Pour l’instant, nous nous efforçons d’ajouter les critères de disponibilité et de confidentialité à notre programme SOC 2. Nos clients peuvent s’attendre à voir ces critères ajoutés à notre prochain rapport d’audit SOC 2 de type II au cours de l’été 2024. »
Vous pouvez demander l’accès au rapport SOC 2 Type II de Kinsta depuis notre page Rapport de confiance.
Si vous êtes à la recherche d’un hébergement cloud sécurisé, découvrez comment Kinsta s’appuie sur Google Cloud Platform et Cloudflare pour fournir un pare-feu, une protection DDoS et un wildcard SSL gratuit.