Safeheron 坚守数据安全最高标准，成功通过 SOC 2 Type I 认证

开源数字资产 MPC 自托管解决方案提供商 Safeheron 宣布已通过数据安全和隐私标准 SOC 2 Type I 认证。此认证由全球领先的审计及相关服务提供商德勤（Deloitte）进行审计，评估 Safeheron 的安全流程设计是否符合标准。SOC 2 Type I 认证证明 Safeheron 的安全设计、组织管控等已经落实到位。

同时，德勤审计团队已入驻 Safeheron，推进 SOC 2 Type II 认证工作，确保 Safeheron 安全体系、控制措施随着时间推移的有效性，保护客户数据免受未经授权的访问，维护系统安全性、用户信息保密性与隐私性。该认证将进一步证明 Safeheron 在开源透明、安全可靠方面的能力以及对用户数据安全与隐私保护的承诺。

Q & A

Safeheron 为什么选择 SOC 2 认证？

SOC 2 认证涵盖信息系统的内部控制，是企业信息系统内部安全控制的黄金标准。美国注册会计师协会（AICPA）还提供另外两种 SOC 认证，分别是 SOC 1 和 SOC 3。SOC 1 关注企业财务报告的相关内部控制活动，而 SOC 3 与 SOC 2 一样涵盖信息安全控制，但 SOC 3 只是对企业网络安全体系的概括性报告。Safeheron 作为 MPC 自托管安全技术供应商，视用户数据安全与隐私保护为核心，故优先推进 SOC 2 认证。

SOC 2 认证的审计标准是什么？

Safeheron SOC 2 Type I 报告中包含安全性、保密性与隐私性内容。

根据美国注册会计师协会（AICPA）制定的信托服务准则（TSC），SOC 2 的安全控制审计要求涵盖 5 大核心标准：安全性、可用性、流程完整性、保密性与隐私性。

在这 5 大标准中，安全性是必不可少的，而保密性也应包含在内。大多数 SaaS 公司通常选择安全性、可用性和保密性作为主要考量项。

SOC 2 Type 1 与 Type 2 认证有何不同？

SOC 2 Type I 报告评估公司在某一特定时间点的安全控制措施落地，证明安全控制措施设计和架构已完善搭建。

SOC 2 Type II 报告则评估这些控制措施在一段时间内（通常为 3-12 个月）的运作情况，即评估公司的安全控制措施是否按预期运行。

Safeheron 已获 SOC 2 Type I 认证，SOC 2 Type II 审计正在进行中。

SOC 2 Type I 认证是 Safeheron 的 SOC 2 认证的第一阶段，从审计到获得认证为期多久？

从审计到获得认证的整个过程为期 5 个月。

完成 SOC 2 Type I 审计需要哪些准备工作？

准备和完成 SOC 2 审计主要由首席信息安全官（CISO）及其团队负责。在审计员正式开展审计工作前，公司需要对照 SOC 2 要求，评估和完善组织内的安全控制。

一般来说，准备工作包括：

Safeheron 所作准备

作为自托管安全基础设施，Safeheron 基于自身现有安全架构与安全控制措施，侧重于优化内部安全控制措施与增强安全防护，比如：

• 采用数据防泄露工具对所有终端用户进行防护，防止敏感数据泄露。

• 采用杀毒软件对所有终端用户进行防护，实现终端防病毒防木马。

• 采用终端管理软件控制软件的安装范围，系统会自行删除阻断白名单以外的软件，即对终端用户安装软件进行限制，可有效避免钓鱼软件等恶意软件的安装。

• Safeheron 安全团队对内部所有的安全规章制度进行审查和更新，确保全面审核，通过后方可生效。

• 落地多项灾难实战演练和复盘，如关键系统管理人员失联实战演练和复盘、核心灾难备份数据恢复实战演练和复盘、核心敏感数据备份和恢复实战演练和复盘等。

• Safeheron 安全团队推动信息安全培训，并定期进行全员参与的信息安全培训考试。

除安全控制方面外，Safeheron 将公司管理和流程标准化，如制定全面安全政策文件、定期进行风险管理和合规性评估、与供应商和合作伙伴落地严格安全要求和合规标准。

在公司财务管理方面，Safeheron 建立严格财务控制与报告流程，并进行内部控制评估，以确保财务流程和操作的有效性和合规性。

此外，Safeheron 的准备工作还包括整理和归档财务记录和文件、定期接受外部审计和合规性审核等。

SOC 2 Type I 审计流程是怎样的？

Safeheron 的 SOC 2 Type I 审计采用远程和现场审计相结合的方式。

SOC 2 Type I 审计一般会面临哪些挑战？Safeheron 在此过程中遇到过什么问题，是如何解决的呢？

对于大部分公司来说，要通过 SOC 2 审计的一大挑战是管理控制方面的问题。有些公司没有正确执行相关政策或程序，有些公司甚至没有实施这些控制措施，比如：

另一挑战则为技术安全控制，许多公司在公司成立之初便会实施技术安全控制措施，但相较于 SOC 2 标准，依然会有一些控制措施尚未落地，比如：

​Safeheron 自成立起便搭建并不断完善内部安全体系。推进 SOC2 Type I 认证也帮助我们查漏补缺，优化现有措施，同时因地制宜增加所需安全设计，并持续验证内部安全措施有效推行。

SOC 2 Type I 报告的主要组成部分是哪些？

SOC 2 Type I/ Type II 报告主要由以下 5 部分组成：

推进 SOC 2 认证，对于企业，尤其是区块链公司，有何影响？

安全与合规是众多企业发展的必要条件，特别是区块链行业方兴未艾，安全合规方面尚处于早期，SOC 2 作为最受认可并能够全面体现供应商安全能力的认证体系，可确保服务供应商能够安全管理用户数据，以保护组织的利益和客户的隐私。

取得 SOC 2 Type I 认证对于 Safeheron 是一大重要里程碑。作为 MPC 自托管基础设施，Safeheron 以技术为导向，自主研发全套自托管技术，同时也积极参与并贡献开源社区。安全认证的持续推进，不仅彰显 Safeheron 在安全实践及持续合规性上的专业能力，更是坚守对用户数据安全与隐私保护的承诺。

SOC 2 Type I 认证进一步表明 Safeheron 坚持安全合规高标准的初心。Safeheron 始终致力于成为行业领先的数字资产自托管安全基础设施，让客户 100% 掌握私钥和资产控制权， 并提升资产安全和管理效率。

参考文献：

Crypto firms build confidence through SOC 2 reporting, Deloitte

How to get a SOC 2 certification: A comprehensive guide., Rob Black

Breaking Down SOC 2 Reports: How to Prepare and Review Each Section, Kyle Cohlmia