Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Pour la troisième année consécutive, la plateforme de sécurité cloud Threat Stack répond aux normes de sécurité et de disponibilité définies par l'American Institute of Certified Public Accountants (AICPA) sans aucune exception
Pour la troisième année consécutive, Threat Stack a obtenu la conformité SOC 2 de type 2 en matière de sécurité et de disponibilité sans aucune exception. L'examen de cette année (par Schellman & Company ) a été le plus rigoureux et le plus complet à ce jour, et a une fois de plus souligné notre engagement et notre capacité à maintenir des normes de sécurité rigoureuses dans la technologie, les processus et le personnel de notre entreprise ainsi que le plus haut niveau de sécurité et de confidentialité pour nos clients.
La réussite de cette année signifie-t-elle que nous avons simplement répété ce que nous avons fait l’année dernière et l’année précédente ? Absolument pas ! Compte tenu de la nature en constante évolution des défis et des technologies de cybersécurité, il est essentiel de pouvoir s’adapter. Chez Threat Stack, nous sommes fiers de notre capacité à apprendre et à nous améliorer en permanence, et c'est exactement ce que nous avons fait pour obtenir les résultats de cette année. Pour en savoir plus sur la manière dont Threat Stack a constamment amélioré ses processus d’examen SOC 2 et élargi son champ d’application pour inclure de nouveaux contrôles et fonctionnalités, plongeons dans l’histoire de SOC 2 chez Threat Stack.
Au cours de la première année (2017), nous avons choisi SOC 2 parce que nous sommes une entreprise de sécurité qui aide les clients à se conformer à SOC 2 et nous pensons qu’il est important de montrer l’exemple en effectuant nous-mêmes l’examen. Nous avons choisi le type 2 plutôt que le type 1 car il démontre un processus beaucoup plus rigoureux ainsi qu’une preuve d’adhésion continue. Comme l’a déclaré Sam Bisbee, responsable de la sécurité chez Threat Stack : « En choisissant le Type 2, nous avons envoyé au marché un signal beaucoup plus fort, indiquant que nous sommes capables de respecter nos propres revendications de « conformité continue » en appliquant cette politique en interne. »
Une fois que nous nous sommes engagés à poursuivre le SOC 2 de type 2, nous avons utilisé la période précédant l’examen pour construire une base solide de contrôles, de processus et de gouvernance. Plus précisément, nous avons mis en œuvre de nouvelles politiques et technologies pour renforcer notre infrastructure et instaurer la sécurité à chaque phase du développement des produits. De plus, nous avons profité de l’occasion pour mieux intégrer notre équipe Sécurité au sein de nos pratiques DevOps. Enfin, nous avons créé des outils pour intégrer les attentes SOC 2 dans nos processus automatisés afin de garantir que les contrôles nécessaires soient intégrés à notre processus de développement plutôt que ajoutés comme un obstacle à la fin.
Les résultats: En réussissant l'examen sans exception, nous avons démontré que la Threat Stack Cloud Security Platform®, les personnes qui la soutiennent et les processus en place pouvaient être considérés comme fiables pour adhérer en permanence à des normes de conformité rigoureuses.
Bien que la première année ait été très fructueuse, il est devenu évident que nous pouvions obtenir les mêmes résultats, voire de meilleurs, d’une manière encore plus rigoureuse et efficace à l’avenir. Dans cet esprit, nous avons utilisé l’année 2 pour :
Le résultat a été significatif. Non seulement nous avons renforcé notre gouvernance et nos fondations sous-jacentes, mais nous avons également continué à améliorer nos processus internes avant l’examen officiel. Alors que notre examen interne a duré environ un mois, l’examen officiel n’exigeait que la présence des auditeurs sur place pendant trois jours. (Nous avons en fait réduit le temps nécessaire aux auditeurs pour être sur place, car l’audit interne nous avait préparés à identifier et à extraire rapidement les preuves dont les auditeurs avaient besoin.)
Les résultats: Des processus simplifiés, une visite sur place raccourcie et un examen réussi sans exception !
L’année 3 a été à la fois intéressante et stimulante. On pourrait penser que deux examens réussis et sans exception permettraient d’en obtenir facilement un troisième. Mais compte tenu de l’évolution constante qui caractérise le secteur de la cybersécurité en général, ainsi que du changement et de la croissance que nous avons connus chez Threat Stack, ce n’était certainement pas le cas. Pour répondre aux défis posés par les changements de périmètre et l’introduction de nouveaux contrôles, nous avons concentré nos efforts sur trois domaines :
La création d’un cadre solide pour régir la conformité SOC 2 tout en restant flexible a permis à Threat Stack de s’adapter positivement aux changements dans la nature et la portée de ses opérations, et de garantir que la conformité continue a été un défi gratifiant. Alors que nous continuons à valider nos fondations et à nous adapter au changement, nous renforçons continuellement notre posture de sécurité tout en optimisant nos politiques et procédures opérationnelles. En tant que telle, la conformité est devenue un outil d’amélioration et de facilitation des activités qui nous permet de bénéficier en interne tout en transmettant de la valeur à nos clients via la plateforme de sécurité cloud Threat Stack ainsi que grâce aux enseignements que nous partageons avec eux.
En plus de son propre examen SOC 2 de type 2, Threat Stack aide ses clients à simplifier la gestion de la conformité du cloud avec une observabilité complète de la sécurité du cloud, une surveillance continue, des alertes, des enquêtes et une vérification de l'infrastructure cloud via notre plateforme de sécurité cloud.
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .