SOC 2 型认证，强化对保护客户数据的承诺

认证 · SOC 2

AICPA审查了Shufti一整年的运营证据。

Shufti持有SOC 2 II型认证，该认证由一家AICPA注册的会计师事务所进行为期12个月的连续监控评估。I型认证表明审计当日已存在控制措施。II型认证表明这些控制措施在一段时间内持续有效运行。我们持有II型认证，涵盖所有五项信托服务标准。

什么是 SOC 2？

SOC 2 是由美国注册会计师协会 (AICPA) 定义的一套框架，用于评估服务机构的安全状况。它是企业级 SaaS 采购标准，用于验证供应商的安全状况是否始终如一，而非仅仅为了应付审计而进行伪装。SOC 2 提供两种报告类型，二者之间的差异至关重要。

SOC 2 I 型，我们并未止步于此

类型 I 评估的是特定时间点上是否实施了正确的安全控制措施。它验证的是设计，而非执行情况。供应商即使前后几个月内控制措施执行不一致，也可能通过类型 I 评估。它只能反映供应商在特定日期的安全控制措施。

SOC 2 II 型，舒夫蒂持有的

第二类评估旨在检验控制措施在12个月的监控期内是否有效运行。Shufti审计员审查了整个监控期内的入侵检测日志、每次角色变更的访问权限配置记录、加密密钥轮换计划、变更管理审批、事件响应证据以及灾难恢复测试输出。第二类评估可以告诉您供应商是否真正履行了这些控制措施。

为什么重要

超过三分之二的企业级B2B买家在签订供应商合同前要求提供SOC 2 Type II报告。如果没有该报告，无论技术能力如何，身份验证的实施都会在安全审查阶段停滞不前。SOC 2 Type II报告无需定制安全问卷，您的信息安全团队只需审查实际的审计证据即可。

Shufti 的 II 型报告证明 Shufti 的控制措施始终有效。

涵盖所有五项标准，持续一整年。您的团队可以审查每一项测试的控制措施、发现的每一个异常情况以及采取的每一项补救措施，而不是向我们发送一份包含 40 个问题的问卷，然后祈祷答案准确无误。

12个月连续监测期

由独立的AICPA注册审计师进行评估，并非单次评估。涵盖所有五项信任服务标准：安全性、可用性、处理完整性、保密性和隐私性。

Shufti如何维护IT

Shufti 当前的 SOC 2 II 型报告列明了审计公司、12 个月的监控期、根据每项信任服务标准测试的具体控制措施、审查的证据以及任何例外情况及其补救措施。报告中还披露了子处理者及其安全义务。

我们始终持有有效的 SOC 2 II 型报告。对于企业客户和合格的潜在客户，通常需要一个工作日才能安排签署保密协议 (NDA) 的访问权限。

认证细节

涵盖的标准

五项信任服务标准：安全性、可用性、处理完整性、保密性、隐私性。

审核人

独立的美国注册会计师协会（AICPA）注册会计师事务所。

适用范围

完整的验证平台，包括数据摄取、处理、存储、输出和子处理器。

你得到什么

签署保密协议后，可在提出请求后 1 个工作日内提供完整的 SOC 2 II 型报告。

监测期

12 个月的持续评估，而不是一次性的 I 类审计。