Тестирование на проникновение для SOC2

Что такое SOC2?

Что такое SOC2?

Сертификация SOC 2 (Service Organization Control) – позволяет оценить степень, в которой вендор соблюдает принципы безопасности и защиты данных клиента от несанкционированного доступа на основе существующих систем и процессов.

Данный стандарт разработан в США для организаций, оказывающих услуги. В сегменте IT компаний, чаще всего с SOC 2 сертификацией сталкиваются SaaS приложения, получая такую сертификацию, они открывают двери на рынок энтерпрайз, т.к. могут подтвердить, что ответственно подходят к безопасности данных своих клиентов.

Зачем проводить тестирование на проникновение для соответствия SOC2?

Зачем проводить тестирование на проникновение для соответствия SOC2?

В ходе аудита, который проводят специализированные организации в Штатах, проверяется соблюдение вендорами пяти принципов работы с данными клиентов: Security, Availability, Processing integrity, Confidentiality, Privacy.

На ряду с другими артефактами аудиторы всегда запрашивают отчет о тестировании на проникновение, т.к. его результаты позволяют судить о степени соответствия вендора сразу нескольким принципам, подлежащих проверке.

Специалисты IT Band Systems проводят тестирование на проникновение систем для прохождения SOC 2 сертификации.

Специалисты IT Band Systems проводят тестирование на проникновение систем для прохождения SOC 2 сертификации.

Наши консультанты - это опытные сертифицированные специалисты, которые постоянно отслеживают последние тенденции в области безопасности, а также выступают на профильных конференциях в Беларуси и за рубежом.

Глубокие знания и опыт наших экспертов подтверждаются престижной и наиболее ценной сертификацией в области кибербезопасности - CISSP (Certified Security Systems Professional), а также сертификацией в области тестирования на проникновение - OSWE (Offensive Security Web Expert), CPSA (CREST Practitioner Security Analyst).

Наши клиенты

Методология

Методология

Наши специалисты руководствуются строгим кодексом профессиональной этики и следуют международным методологиям, признанным в отрасли кибербезопасности:

  • OWASP - Open Web Application Security Project Testing Guide
  • PTES - Penetration Testing Execution Standard
  • OSSTMM - Open Source Security Testing Methodology Manual
  • ISSAF - Information Systems Security Assessment Framework
  • WASC - Web Application Security Consortium Threat Classification

Тест-кейсы

Во время тестирования на проникновение будет проверено более 100 тест-сценариев. Особое внимание уделяется на глубоком ручном тестировании уязвимостей, входящих в OWASP top 10:

  • A1: Broken Access Control
  • A2: Cryptographic Failures
  • A3: Injection
  • A4: Insecure Design
  • A5: Security Misconfiguration
  • A6: Vulnerable and Outdated Components
  • A7: Identification and Authentication Failures
  • A8: Software and Data Integrity Failures
  • A9: Security Logging and Monitoring Failures
  • A10: Server-Side Request Forgery

Результат тестирования

Результатом тестирования будет служить финальный отчёт с выявленными уязвимостями, шагами для их воспроизведения и рекомендациями по их устранению.

Остались вопросы? Вы всегда можете связаться с нашим менеджером по почте:

Оставить заявку