РесурсыБезопасность и конфиденциальность

Соответствие SOC 2

Agent Inbox получил SOC 2 Type I (июль 2025) и Type II (Q1 2026).

Текущий статус

Type I получен

Завершён в июле 2025 — контроли спроектированы и внедрены

Type II получен

Завершён в Q1 2026 — операционная эффективность подтверждена за период

Сроки соответствия

ЭтапПериодСтатус
Подготовка Type Iиюнь 2025Завершено
Оценка Type Iиюль 2025Завершено
Период наблюдения Type IIавг 2025 — дек 2025Завершено
Сертификация Type IIQ1 2026Завершено

Что такое SOC 2?

SOC 2 — стандарт аттестации AICPA (American Institute of Certified Public Accountants), оценивающий контроль в областях:

  1. Безопасность — защита от несанкционированного доступа, физического и логического
  2. Доступность — доступность системы и эксплуатационные характеристики в рамках обязательств
  3. Целостность обработки — полнота, корректность, точность, своевременность и авторизация обработки
  4. Конфиденциальность — защита информации, отнесённой к конфиденциальной
  5. Приватность — сбор, использование, хранение, раскрытие и уничтожение персональных данных в соответствии с обязательствами

Типы отчётов

  • Type I: подтверждает, что средства контроля спроектированы корректно на определённую дату.
  • Type II: подтверждает, что контроли эффективно работают в течение периода (обычно 6–12 месяцев).

Отчёты Инфраструктуры партнеров Agent Inbox по SOC 2 Type I и Type II подтверждают, что инфраструктура безопасности спроектирована, внедрена и стабильно функционирует во времени.

Реализованные меры безопасности

Ниже перечислены контроли, проверенные в рамках SOC 2 Type I и Type II:

Контроль доступа

  • Ролевая модель; принцип минимально необходимых привилегий
  • MFA (многофакторная аутентификация) для административного доступа и чувствительных операций
  • Ежеквартальные проверки доступа и отзыв при смене роли

Шифрование и управление ключами

  • TLS 1.2+ для всего трафика сервисов и API
  • Шифрование данных на носителях отраслевыми алгоритмами
  • Централизованный KMS (Key Management Service) для генерации, ротации и отзыва ключей
  • Зашифрованные снимки (point-in-time) с хранением 30 дней

Аутентификация почты и противодействие злоупотреблениям

  • SPF, DKIM, DMARC на всех отправляющих доменах
  • Сканирование входящей и исходящей почты на вредоносное ПО и фишинг в реальном времени
  • Ограничение частоты по IP и поведенческое выявление злоупотреблений

Мониторинг и реагирование на инциденты

  • Централизованное логирование, выявление аномалий и оповещения
  • Документированный процесс: обнаружение → триаж → сдерживание → устранение → восстановление → разбор после инцидента
  • Канал ответственного раскрытия для внешних исследователей безопасности

Устойчивость, резервное копирование и восстановление

  • Ежедневные зашифрованные резервные копии, хранение 30 дней
  • Регулярные тесты восстановления для проверки целевых RTO/RPO
  • Мульти-AZ / высокая доступность для критичных компонентов

Сопоставление контролей SOC 2

Область контроляРеализацияКритерии SOC 2
Контроль доступаRBAC, MFA, ежеквартальные проверкиCC6.1–CC6.7
Шифрование и KMSTLS 1.2+, шифрование на носителях, ротация ключейCC6.8–CC6.9
Аутентификация почтыSPF/DKIM/DMARC, антиабьюз-фильтрыCC7.1–CC7.4
Мониторинг угрозЦентрализованные логи, оповещения, антивирусное сканированиеCC7.2–CC7.4
Резервные копии и восстановлениеЕжедневные бэкапы, 30 дней, тесты restoreCC7.3
Реагирование на инцидентыRunbook’и, постмортемы, программа раскрытияCC7.4–CC7.5
Безопасность персоналаОбучение, NDA, проверки биографииCC5.3–CC5.4

Сопоставление отражает проверенные контроли Type I и Type II.

Сертификация Type II

Agent Inbox завершил период наблюдения Type II (август 2025 — декабрь 2025) и получил полную сертификацию SOC 2 Type II в Q1 2026 у независимой CPA-фирмы.

Что проверялось

  • Непрерывная работа: контроли действовали стабильно, без провалов
  • Управление изменениями: безопасность сохранялась при обновлениях и изменениях системы
  • Сбор доказательств: логи, тикеты, записи обучения, проверки доступа
  • Обработка инцидентов: реальные ответы на события безопасности

Сертификация SOC 2 Type II даёт максимальную уверенность, что контроли инфраструктуры Agent Inbox не только хорошо спроектированы, но и эффективно работают во времени.

Доступ к отчётам SOC 2

Организации, оценивающие инфраструктуру партнеров Agent Inbox, могут запросить документацию SOC 2