Достижение Инфраструктуры SOC 2 Тип I и прогресс сертификации Тип II.
Инфраструктура ,используемая AgentInbox, достигла соответствия SOC 2 Type I (июль 2025) и в настоящее время работает над сертификацией Type II (цель: Q1 2026).
Текущее состояние
Тип I достигнут
Завершено июль 2025 - элементы управления правильно разработаны и внедрены
Тип II в процессе
Цель Q1 2026 - демонстрация операционной эффективности с течением времени
График соответствия
| Фаза | Период | Статус |
|---|---|---|
| Подготовка Тип I | Июнь 2025 | Завершено |
| Оценка Tип I | Июль 2025 | Завершено |
| Период наблюдения Tип II | Август 2025 - декабрь 2025 | В процессе |
| Сертификация Tип II | Q1 2026 | Цель |
Что такое SOC 2?
SOC 2 — это стандарт аттестации от AICPA (Американского института сертифицированных общественных бухгалтеров), оценивающий элементы управления над:- Безопасность - защита от несанкционированного доступа, как физического, так и логического
- Доступность - доступность системы и операционная производительность в соответствии с обязательствами
- Целостность обработки - обработка системой полная, действительная, точная, своевременная и авторизованная
- Конфиденциальность - информация, обозначенная как конфиденциальная, защищена
- Конфиденциальность - личная информация собирается, используется, сохраняется, раскрывается и утилизируется в соответствии с обязательствами конфиденциальности
Типы отчетов
- Тип I: проверяет, что элементы управления безопасностью правильно разработаны в определенный момент времени.
- Тип I: подтверждает, что элементы управления работают эффективно в течение периода (обычно 6-12 месяцев).
Отчет Инфраструктуры SOC 2 Тип I подтверждает, что наша инфраструктура безопасности правильно разработана и внедрена.
Реализованные элементы управления безопасностью
Следующие элементы управления были проверены и подтверждены как часть нашего соответствия SOC 2 Tип I:Управление доступом
- Управление доступом на основе ролей; принцип наименьших привилегий реализован
- MFA (многофакторная аутентификация) для административного доступа и критичных операций
- Ежеквартальные обзоры доступа и отзыв при изменении роли
Шифрование и управление ключами
- TLS 1.2+ для всех коммуникаций между сервисами/API
- Данные в покое зашифрованы с использованием стандартных шифров отрасли
- Централизованный KMS (сервис управления ключами) для создания, ротации и отзыва ключей
- Зашифрованные резервные копии в определенный момент времени с сохранением на 30 дней
Аутентификация электронной почты и защита от злоупотребления
- SPF, DKIM, DMARC настроены во всех доменах отправки
- Сканирование входящих/исходящих сообщений в реальном времени на вредоносные программы/фишинг
- Ограничение скорости на основе IP-адреса и обнаружение злоупотреблений на основе поведения
Мониторинг и реагирование на инциденты
- Централизованное логирование и обнаружение аномалий с оповещениями
- Документированный процесс реагирования на инциденты: обнаружение → сортировка → содержание → искоренение → восстановление → анализ после инцидента
- Канал ответственного раскрытия для внешних исследователей безопасности
Устойчивость, резервное копирование и восстановление
- Ежедневные зашифрованные резервные копии с сохранением на 30 дней
- Регулярные тесты восстановления для проверки целевых показателей RTO/RPO
- Архитектура с высокой доступностью и несколькими зонами доступности для критичных компонентов
Отображение элементов управления SOC 2
| Область управления | Реализация | Критерии SOC 2 |
|---|---|---|
| Управление доступом | RBAC, MFA, ежеквартальные обзоры | CC6.1–CC6.7 |
| Шифрование и KMS | TLS 1.2+, шифрование данных в покое, ротация ключей | CC6.8–CC6.9 |
| Аутентификация электронной почты | SPF/DKIM/DMARC, фильтры защиты от злоупотребления | CC7.1–CC7.4 |
| Мониторинг угроз | Централизованные логи, оповещения, сканирование вредоноса | CC7.2–CC7.4 |
| Резервное копирование и восстановление | Ежедневные резервные копии, сохранение на 30 дней, тесты восстановления | CC7.3 |
| Реагирование на инциденты | Runbooks, анализ после инцидента, программа раскрытия | CC7.4–CC7.5 |
| Безопасность сотрудников | Обучение безопасности, NDA, проверка биографических данных | CC5.3–CC5.4 |
Вышеуказанные отображения отражают наши проверенные элементы управления Tип I и сохраняются в течение периода наблюдения Tип II.
Прогресс сертификации Tип II
AgentInbox в настоящее время находится в периоде наблюдения Tип II (август 2025 - декабрь 2025), в течение которого независимый аудитор тестирует и подтверждает, что наши элементы управления безопасностью работают эффективно с течением времени.Что тестируется
- Непрерывная операция: элементы управления функционируют последовательно без пробелов
- Управление изменениями: безопасность сохраняется при обновлении и изменении системы
- Сбор доказательств: логи, билеты, записи о обучении, обзоры доступа
- Обработка инцидентов: реальное реагирование на события безопасности (если таковые имеются)