Skip to main content
SaaS

Security Compliance в SaaS продукте

В этом посте решил поделиться историей получения SOC-2 Type-2 комплаенса, почему и как мы это сделали, а также порекомендую знакомых ребят, кто может помочь это сделать и вам!

Алмас

Security Compliance в SaaS продукте
Photo by Shahadat Rahman / Unsplash

Хорошо жилось SaaS-предпринимателям до 2018 года - до введения GDPR.

Практически сразу (в первые полгода после запуска SpatialChat) enterprise-клиенты стали скидывать нам вопросы:

  • работаем ли мы по GDPR комплаенсу?
  • ответите ли вы на наши 100-250 вопросов о том, как устроена ваша организация?
  • есть ли у вас ISO 27001 / SOC-2 Type-2 сертификация (к лету 2022 наконец ДА!!!!!)

Ну а я такой стартапер, сидящий на балконе с ковидом задавался себе вопросами:

  • "что вообще происходит, wtf is that shit?"
  • "почему я должен об этом думать сейчас, а не через 1-2 года, когда мне удастся хотя бы как-то развить продукт, команду и бизнес в целом, чтобы были ресурсы об этом думать?"

Но это новая реальность. Если есть какие-то Inside Sales в вашей компании и работа с клиентами в США, Европе, Японии и многих других странах - то об этом надо хотя бы знать с первых дней после запуска, а уж когда и как это сделать - останется за вами. Предупрежден - значит вооружен.

Если бы я работал в Enterprise до этого, или в какой-нибудь большой 4ке, я был бы знаком с термином "Procurement" и должностью "Procurement Manager" - это, если просто говорить, "люди из отдела закупки", которым важно проверить нормальные ли они решения закупают, лучшие ли среди конкурентов, не будет ли утечки их данных, надежно ли, нормально.

То есть принимаем следующие вещи:

  • Если мы делаем B2B SaaS продукт, и вашими клиентами являются не только маленькие компании, которым все равно, лишь бы продукт был нормальный, но и большие - которым важно чтобы помимо решения боли ваш продукт не мешал им соблюдать внутренние процедуры - то мы принимаем, что надо играть по этим правилам
  • Большинство этих компаний уже имеют адские вопросники, которые без двух бутылок пива не заполнить
  • Но если получить сертификацию типа SOC-2, то она автоматически ставит галочки в этих вопросниках, другими словами большинству клиентов это будет норм и достаточно для совершения покупки у вас
  • Лишь малой части энтепрайзов будет все равно на ваши сертификаты и будут требовать заполнения опросников - в таких случаях вопрос надо решать увеличением чека до 5 знаков, где слева цифра не ниже двойки-тройки. Тогда с таким чеком не жалко пару дней потратить на заполнение анкеты

Так я и решил вложиться в GDPR compliance и сертификацию SOC-2. Этот процесс лично у нас занял больше года, но учитывая то, что продукт изначально пилился не под pentest (что это такое - ниже), я считаю моя команда отлично справилась. SOC-2 сертификация, которая лично нам стоила в совокупности около $30K, уже окупилась за счет клиентов, для которых этот фактор был решающим после того, как они поняли, что любят продукт и хотят купить его.

В процессе получения таких сертификаций вам надо в целом глобально разобраться что есть что, а затем найти подрядчика (самостоятельно сделать это страшно тяжело, и вряд ли у вас в команде есть опытный пен-тестер в паре с data-officer). Одной из таких компаний подрядчиков в области Security являются мои знакомые из DATAMI, которые любезно помогли мне написать этот пост.

Дальше приведу текст от DATAMI

В эпоху диджитализации компании склонны недооценивать риски, связанные с технологиями. Наличие уязвимости в ИТ-инфраструктуре является огромным риском, который может угрожать бизнесу.

Если хакеру удастся получить доступ к внутренней сети, то, скорее всего, он получит полный контроль над ИТ-инфраструктурой. Поиск таких недостатков и немедленное устранение ошибок является целью тестирования на проникновение.

Зачем проводить пентест?

Пентест – самый эффективный способ оценить и усовершенствовать устойчивость системы к взлому. В ходе тестирования специалисты находят слабые места в безопасности организации.

Специалисты по кибербезопасности используют тестирование на проникновение, чтобы устранить любые уязвимости в безопасности компании и обеспечить высокий уровень защиты системы.

Пентест и сертификации

Организации должны проводить регулярные тесты безопасности в соответствии с государственними постановлениями и требованиями.

Тестирование на проникновения предоставляет компаниям две важные вещи – безопасность и соответствие требованиям. Поэтому такие строго регулируемые отрасли, как здравоохранение, розничная торговля и финансовые услуги, нуждаются в экспертах по кибербезопасности, которые могут предоставить услуги пентеста, чтобы обеспечить безопасность бизнеса.

SOC 2

Стандарт SOC 2 применяется ко всем предприятиям, использующим финансовый или бухгалтерский учет в своей деятельности, партнерстве или консультировании. Стандарт может потребовать соответствия от организаций, которые хранят, обрабатывают и защищают информацию о клиентах.

Основным требованием соблюдения SOC 2 является проведение нескольких текущих и независимых оценок безопасности. Они могут включать в себя тесты на проникновение как часть внутреннего аудита.

💡
Комментарий Алмаса: есть две стадии в SOC 2: Type-1 и Type-2. SOC 2 Type-1 вы получите за пару месяцев, она относится только к бизнес-процессам в компании (например: все в команде используют сложны пароли, хранят их в 1password, новых сотрудников обучают правилам работы, уволенных сотрудников в течение 72ч исключают из всех слаков, джир и прочих систем итд. SOC 2 Type-2 вы получите еще примерно через 4-6 месяцев после Type-1, потому что надо пройти пентест, а также наблюдаться у security-аудитора в течение этого времени, чтобы они написали полный отчет и дали сертификацию, что вы все по понятиям комплаенса делаете.

Вы можете увидеть иконки SOC-2 на сайтах таких крутых контор, как , Miro, Airtable, Twilio и даже в SpatialChat.

PCI DSS

Соответствие требованиям PCI необходимо для коммерческих организаций, обрабатывающих, хранящих или передающих данные кредитных карт.

Самый точный способ определить, является ли система обработки карт безопасной на данный момент, это тестирование на проникновение, имеющее первостепенное значение для соответствия PCI DSS.

HIPAA

HIPAA – это федеральный закон, защищающий определенную медицинскую информацию от несанкционированного доступа. Закон требует, чтобы все поставщики медицинских услуг обеспечивали безопасность и защиту медицинской информации от несанкционированного доступа.

Стандарт конфиденциальности HIPAA является единственным в своем роде стандартом в США для защиты информации о здоровье. Несмотря на то, что пентест не является обязательным, HIPAA требует множество разных проверок что, как правило, проводятся в рамках пентеста.

💡
Комментарий Алмаса: в целом после получения SOC-2 можно получить сразу и HIPAA, если ваши клиенты из Pharmaceutical Industry. Но я лично пока не заморачивался, ибо моим клиентам из этой индустрии пока достаточно SOC-2.

О соавторах этого поста

DATAMI - ваши партнеры по security в ваших продуктах

Связаться с DATAMI

Для получения консультаций по любой сертификации и пентесту вы можете воспользоваться услугами Datami.

Их специалисты по безопасности имеют многолетний опыт и специализируются на помощи организациям защитить информацию с помощью этического хакинга. Для получения консультации с одним из экспертов по кибербезопасности, свяжитесь с Datami сегодня.

Вы можете почитать отзывы о ребятах тут:

Datami Client Reviews | Clutch.co
Read detailed, verified, client reviews about Datami. “The overall workflow within the project was smooth.”
Datami LogoCISO, ISCO Solutions, LLC
💡
Если решите поработать с DATAMI, то когда свяжетесь с ними, произнесите кодовый пароль-промокод "ALMAS" :)

Контактные данные DATAMI

Написать напрямую можно прямо в Telegram сюда: https://t.me/datami_ua

DATAMI Cybersecurity Team
Reliable protection for your websites, iOS/Android applications
Telegram

Либо написать им на почту: [email protected]