En oberoende granskning av cyber-säkerheten här på Kinsta har gett kunderna ytterligare en anledning att känna sig trygga med att deras data är säkra på våra hosting-plattformar.
BARR Consultings granskning av Kinsta’s säkerhets-policyer och praxis var ett viktigt steg för att bekräfta efterlevnaden av vissa kriterier för förtroendetjänster. Detta gäller för System and Organisations-kontroller for Service Organizations (eller SOC 2).
SOC har utvecklats av Association of International Certified Professional Accountants. Det är en serie rapporter om system- och organisations-kontroller för ett brett spektrum av företag. SOC 2-varianten passar exempelvis bra för tjänsteleverantörer som Kinsta inom PaaS. Detta beror på att dess protokoll kan utvärdera service-kriterier för säkerhet, tillgänglighet, behandlings-integritet, konfidentialitet och integritet.
Kinsta fokuserade på säkerhet i sitt första bud för SOC 2-överensstämmelse.
”Kinsta’s kunder kan lita på Kinsta’s efterlevnad av SOC 2-standarden. Den ger nämligen konkreta bevis på att Kinsta’s ekosystem för informationssäkerhet är utformat med säkerhet i framkant.”
– Jon Penland, Kinsta Chief Operating Officer
”SOC 2 är det mest erkända ramverket för cyber’säkerhet för företag som Kinsta”, säger Jon Penland, företagets Chief Operating Officer. ”Vi kände visserligen att vi arbetade på ett säkert sätt. Trots detta tänkte vi att ett ramverk som SOC 2 skulle kunna hjälpa oss att förbättra vår säkerhet på konkreta och meningsfulla sätt.”
En närmare titt på Kinsta’s SOC 2-överensstämmelse
Kinsta har dels fokuserat på de grundläggande kriterierna för säkerhetstjänster för att starta SOC 2-arbetet. Utöver detta har Kinsta dessutom siktat på en slutrapport som skulle utvärdera företagets resultat under ett helt kvartal – en typ II-rapport – istället för typ I-rapporten som bara är en ögonblicksbild i tiden.
Företaget valde Vanta för att tillhandahålla programvara för styrning, risk och efterlevnad. Den kunde exempelvis automatisera mycket av bevis-insamlingen i realtid. I samarbete med revisorn BARR definierade Kinsta därefter en uppsättning kontroller som skulle övervakas under efterlevnads-testningen.
”Vår första SOC 2-observationsperiod skulle börja den 1 april 2023 och sluta den 30 juni 2023”, säger Penland. ”Eftersom vi hade använt Vanta kunde mycket av den information som revisorn behövde enkelt nås i Vandas system. Som ett resultat minskade den tid som vi behövde lägga på att samla in och organisera data för att skicka till BARR.”
Den 15 augusti slutförde BARR sina interna granskningar och tredjeparts-granskningar och levererade Kinsta’s första SOC 2 Type II-rapport.
Rapporten tittar på 38 kontroller – exempelvis hur Kinsta hanterar åtkomst till sina interna system. Utöver detta tittas det även på hur kod-ändringar granskas och godkänns. Allt för att säkerställa att teammedlemmar slutför utbildning i säkerhets-medvetenhet under ombordstigningen.
Typ II-rapporten är tillgänglig för kunder på Kinsta-s Trust Report-sida.
”Trust Report-sidan innehåller vår senaste SOC 2 Type II-rapport samt en live-sammanfattning av några av de SOC 2-kontroller som vi har implementerat och som övervakas automatiskt”, säger Penland. ”Alla SOC 2-kontroller övervakas inte automatiskt för att visas på Trust Report-sidan. Så är dock fallet för många av dessa kontroller.”
”Något som var viktigt för oss från början var att vi inte skulle behandla SOC 2 som en ”kryssa i rutan”-aktivitet”, säger Penland. ”Här på Kinsta är vi inte intresserade av att göra mycket arbete bara för att göra mycket arbete. Om vi ska göra SOC 2 måste det därför leverera värde. Den inställningen hjälpte oss att få ut väldigt mycket av processen.”
”Den feedback som jag har hört upprepade gånger är att SOC 2 var verkligt användbart för att hjälpa oss att formalisera vissa säkerhetsrelaterade aktiviteter och policyer. Som ett resultat blir Kinsta dessutom säkrare på sitt arbete”
Blickar framåt: SOC 2 hos Kinsta
Ramverket har fem service-kriterier – säkerhet, tillgänglighet, bearbetnings-integritet, konfidentialitet och integritet. Varje organisation som antar SOC 2 måste dessutom uppfylla säkerhets-kriterierna som ett minimum.
”Det är upp till varje organisation att bestämma vilka ytterligare servicekriterier, om några, som de frivilligt kommer att uppfylla”, säger Penland. ”Just nu siktar vi på att lägga till kriterierna för tillgänglighet och sekretess i vårt SOC 2-program. Våra kunder kan förvänta sig att dessa kriterier läggs till i vår nästa SOC 2 Type II-revisionsrapport under sommaren 2024.”
Du kan begära åtkomst till Kinsta’s SOC 2 Type II-rapport från vår Trust Report-sida.
Om du letar efter säker moln-hosting, lär dig hur Kinsta utnyttjar Google Cloud Platform och Cloudflare för att tillhandahålla brandväggar, DDoS-skydd och kostnadsfritt wildcard SSL.