Kinsta همیشه برای محافظت از امنیت پلت فرم میزبانی ما و وب سایت های مشتریان خود کار کرده است. خواه محافظت از اطلاعات حساب، ارائه ابزارهایی برای جلوگیری از حملات DDoS خارجی، شناسایی و پاکسازی بدافزارها، یا هشدار به صاحبان وب سایت در مورد آسیب پذیری های افزونه های وردپرس، امنیت اطلاعات یکی از نقاط قوت ما است.
اما شرکت های میزبان به راحتی می توانند این کار را انجام دهند ادعا. اثبات آن یک چالش است.
بهترین راه برای اثبات چنین ادعاهایی، توسعه رویهها و خطمشیهای امنیت اطلاعات است که استانداردهای شناخته شده را برآورده میکند و سپس با آن استانداردهایی که توسط کارشناسان مستقل تأیید شده است مطابقت دارد.
اینگونه بود که Kinsta برای اولین بار در سال 2023 با معیارهای خدمات اعتماد سیستم و سازمان کنترل 2 (SOC 2) که توسط انجمن حسابداران حرفه ای معتبر بین المللی (AICPA) ایجاد شده بود، مطابقت پیدا کرد.
سپس، در آگوست 2024، پس از تکمیل یک سال کامل نظارت بر SOC 2، گواهینامه ای برای امنیت داده ها و کنترل های حریم خصوصی مشخص شده توسط سازمان استاندارد بین المللی (ISO) و کمیسیون بین المللی الکتروتکنیکی (IEC) دریافت کردیم.
این مقاله به گواهینامه ISO/IEC Kinsta تحت استاندارد ISO 27001 و دو مورد از پسوندهای آن، ISO 27017 و ISO 27018 می پردازد.
ISO 27001 چیست؟
Erik Van Dijk، رئیس فناوری اطلاعات Kinsta، تلاش برای صدور گواهینامه ISO 27001 را رهبری کرد و گفت که این چارچوب “استاندارد طلایی” در انطباق با امنیت است.
ISO 27001 کنترل های مورد نیاز برای حفاظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در یک سازمان را مشخص می کند. معنی آن این است:
- محرمانه بودن – اطمینان حاصل کنید که فقط افراد مجاز می توانند به اطلاعات دسترسی داشته باشند.
- صداقت – مطمئن شوید که فقط افراد مجاز می توانند اطلاعات را تغییر دهند.
- در دسترس بودن – اطمینان حاصل کنید که اطلاعات در صورت نیاز برای افراد مجاز در دسترس است.
ون دایک گفت ISO 27001 الزامات اجزای مختلف یک سیستم مدیریت امنیت اطلاعات (ISMS) را تعریف می کند. اما آن سیستم فقط سخت افزار و نرم افزار نیست. علاوه بر اینها کنترل های تکنولوژیکی، ISMS شامل کنترل های سازمانی، مرتبط با افراد و فیزیکی است:
- کنترل های سازمانی – تعریف قوانینی که باید رعایت شوند و رفتار مورد انتظار از کاربران، تجهیزات، نرم افزارها و سیستم ها.
- کنترل های مرتبط با مردم – ارائه دانش، آموزش، مهارت یا تجربه به افراد در سازمان به طوری که آنها بتوانند وظایف خود را ایمن انجام دهند.
- کنترل های فیزیکی – ویژگی هایی مانند کارت های دسترسی برای مراکز داده، دوربین های نظارتی و سنسورهای تشخیص نفوذ.
ISO 27017 و 27018 چیست؟
ون دایک گفت ISO 27017 و 27018 پسوندهای قابل تایید ISO 27001 هستند و به ویژه به Kinsta مرتبط هستند زیرا هر دو در محیط های رایانش ابری اعمال می شوند.
ISO 27017 کنترل های امنیتی و راهنمایی های پیاده سازی را برای محیط های رایانش ابری تجویز می کند. این کنترل ها برای کارهایی مانند:
- رسیدگی به دارایی های مشتری پس از فسخ قرارداد.
- جداسازی محیط های مجازی مشتری
- نظارت مشتری بر فعالیت در یک محیط محاسبات ابری.
ISO 27018 بر حفاظت از اطلاعات قابل شناسایی شخصی در محیط های ابری تمرکز دارد. این کنترل ها مسائلی از قبیل:
- شفافیت در گزارش موقعیت جغرافیایی فروشگاه داده های مشتریان.
- محدودیت در استفاده از داده های مشتری بدون رضایت.
- روشهای ایمن برای بازگرداندن، انتقال و دفع امن اطلاعات شخصی.
جدول زمانی صدور گواهینامه ISO Kinsta
سال پس از دستیابی به انطباق با SOC 2 برای تیم انطباق امنیتی، به ویژه برای Van Dijk، که همزمان در حال مطالعه و کسب عنوان Certified Information Systems Security Professional (CISSP) خود بود، شلوغ بوده است.
نامگذاری اولیه SOC 2 در سال 2023 پس از یک دوره ممیزی سه ماهه انجام شد و برای سرویس اعتماد بنیادی امنیت اعمال شد. این پروژه با گزارش سالانه به نظارت مستمر تبدیل شد و برای گنجاندن معیارهای در دسترس بودن و محرمانه بودن SOC 2 گسترش یافت.
در همین حال، کار ما روی ISO 27001 از قبل در حال انجام بود. ون دایک گفت تحقیقات گسترده او در مورد الزامات ISO 27001 حدود نوامبر 2023 آغاز شد.
او گفت: «ISO 27001 بسیار مستند و فرآیندی سنگین است. “این هنوز هم شامل تعدادی کنترل فنی است، اما کل فرض چارچوب اجرای یک سیستم مدیریت امنیت اطلاعات و سیاست ها و رویه های مرتبط با آن است.”
ون دایک گفت که تجزیه و تحلیل شکاف نشان می دهد که پروژه SOC 2 در حال حاضر حدود 40 درصد از کارهایی را که باید برای گواهینامه های ISO انجام شود، ارائه کرده است. بنابراین، هنگامی که یک تیم بین شرکتی در دسامبر 2023 گرد هم آمدند، توانستند به سرعت بارگذاری اطلاعات وضعیت را در وانتا، پلتفرمی که برای کمک به جمعآوری شواهد انتخاب شده بود، آغاز کند.
این تیم 13 خطمشی جدید ISMS ایجاد کرد و برخی از خطمشیهای موجود توسعهیافته برای SOC 2 را اصلاح کرد. تا مارس 2024، تیم از شرکت امنیت ابری Rhymetec خواست تا یک ممیزی داخلی انجام دهد تا مشخص شود چه کارهایی هنوز مورد نیاز است.
بعداً، BARR Advisory ممیزی مستقلی را برای تأیید صلاحیت Kinsta برای گواهینامه های ISO ارائه کرد.
ون دایک گفت: «ما مرتباً از حسابرسان خود در مورد اینکه چقدر سازماندهی و آماده بودیم، تحسین می کردیم.
مزایای گواهینامه ISO 27001
گواهینامه ISO 27001 Kinsta (و انطباق با SOC 2) تعهد ما به امنیت اطلاعات را برجسته می کند. ما همچنان به جلب اعتماد مشتری ادامه خواهیم داد زیرا تحت ممیزی های منظم برای تأیید انطباق و اثربخشی مداوم ISMS خود و حفظ وضعیت گواهینامه خود هستیم.
بسیاری از مشتریان بالقوه به ما می گویند که ارائه دهنده هاست آنها باید دارای گواهی ISO 27001 باشد. ما مفتخریم که میتوانیم این نیاز را برآورده کنیم و از آنها در Kinsta استقبال کنیم.
گواهینامه های ISO ما نشان می دهد که ما از وضعیت امنیتی برای محافظت از دارایی های مشتری و کاهش ریسک با استفاده از بهترین شیوه ها برخورداریم.
خلاصه
Kinsta سابقه قوی در حفاظت از داده های مشتری دارد. گواهینامههای ISO جدید، پادمانهای تایید شده توسط کار ما را تأیید کرده و گسترش میدهند تا مطابق با SOC 2 شوند.
ما به محافظت از وب سایت های مشتریان اختصاص داده شده ایم. رویه های امنیت اطلاعات دارای گواهی ISO ما نشان دهنده سرمایه گذاری ما در جلب اعتماد مشتری است.
برای اطلاعات در مورد تلاشهای انطباق مداوم شرکت، از مرکز اعتماد Kinsta دیدن کنید.
آیا از قبل مشتری نیستید؟ با انتخاب زیرساخت امن ما، درست و سالم شروع کنید. اکنون بهترین راه حل میزبانی وب را برای کسب و کار خود بیابید!