سيبل أنجل تحصل على شهادة SOC 2 من النوع الأول لعام 2026
جدول المحتويات
كل مؤسسة نعمل معها تطرح نفس السؤال عند بدء العمل معها: هل يمكننا الوثوق بك ببياناتنا؟
إجابتنا هي SOC 2 Type I: تم التحقق منها بشكل مستقل بواسطة A-LIGN Assurance وتمت الموافقة عليها اعتبارًا من 31 يناير 2026. إليك ما تعنيه بالفعل، وما فحصه المدققون، ولماذا يهم برنامجك الأمني.
ما تحققه المدققون فعلياً
SOC 2 Type I ليس استبياناً أو تقييماً ذاتياً. أجرت A-LIGN فحصاً رسمياً بموجب معايير الإثبات AICPA AT-C 105 و AT-C 205، حيث قامت بتقييم ما إذا كانت ضوابطنا مصممة بشكل ملائم حتى تاريخ التدقيق عبر فئتي خدمات الثقة: أمن و سرية.
غطت عملية التدقيق تسع مجالات للرقابة:
- بيئة الرقابة (CC1) — كيف تعبر CybelAngel عن قيمها، وتحاسب موظفيها، وتنظم الإشراف الإداري
- المعلومات والاتصالات (CC2) — كيف تصل السياسات الأمنية إلى المسؤولين عنها
- تقييم المخاطر (CC3) — كيف نحدد المخاطر التشغيلية والاستراتيجية والمتعلقة بالامتثال ونقيّمها ونتعامل معها
- مراقبة (CC4) — كيف نكتشف الأعطال في التحكم ونقوم بتصعيدها
- أنشطة الرقابة (CC5) — ضوابط الوقاية والكشف والتصحيح المحددة التي ننفذها
- الوصول المنطقي والمادي (CC6) - من يمكنه الوصول إلى ماذا، وكيفية منح هذا الوصول ومراجعته وإلغاءه
- عمليات النظام (CC7) — كيف نكتشف الشذوذ، ونستجيب للحوادث، ونتعافى من الأحداث الأمنية
- إدارة التغيير (CC8) — كيف نختبر التغييرات ونوافق عليها قبل وصولها إلى بيئة الإنتاج
- تخفيف المخاطر (CC9) — كيف ندير مخاطر الموردين وشركاء العمل
استخدمت A-LIGN أربع طرق اختبار: الاستقصاء، والملاحظة، وفحص المستندات المصدرية وتكوينات النظام، وإعادة أداء الضوابط.
ما يغطيه التقرير (وما لا يغطيه))
يغطي النطاق خدمات نظام منصة الاستخبارات ضد التهديدات الخارجية من CybelAngel، والتي يتم تشغيلها من منشأتنا في باريس، فرنسا.
تعتمد بنيتنا التحتية السحابية على Google Cloud Platform. تتضمن الضوابط الأمنية المادية لـ GCP قارئات البطاقات، والوصول البيومتري، وحواجز المحيط، ومراقبة الفيديو المستمرة. تندرج هذه تحت التزامات الامتثال الخاصة بهم ويتم استبعادها من نطاق هذا التقرير. نطلب من GCP الحصول على شهادات ISO 27001 أو SOC 1 Type 2 أو SOC 2 Type 2، ونراجع تقارير الإفادة الخاصة بهم كجزء من برنامجنا الخاص بمخاطر البائعين.
الضوابط التي تحمي بياناتك
بعض التفاصيل الجديرة بالذكر من التقرير:
- الوصول يعتمد على الأدوار ويتم مراجعته شهريًا. يقوم كل موظف بالمصادقة عبر Google Workspace باستخدام المصادقة الثنائية المعتمدة على الرمز المميز. يتم توفير الوصول تلقائيًا قبل أسبوع واحد من تاريخ البدء بناءً على الدور الوظيفي، وإلغاؤه تلقائيًا عند مغادرة الموظف. يقوم فريق تكنولوجيا المعلومات لدينا بمراجعة الوصول المنطقي كل 30 يومًا.
- يتم تشفير البيانات في حالة السكون وأثناء النقل. نحن نستخدم تشفير AES للبيانات المخزنة وTLS لجميع الاتصالات، بما في ذلك وصول العملاء إلى منصة SaaS. يتم نسخ بيانات النسخ الاحتياطي يومياً إلى منطقة توافر منفصلة وتخزينها بصيغة مشفرة.
- يتم تشغيل فحص الثغرات يومياً. يتم إجراء اختبار الاختراق سنويًا بواسطة بائع طرف ثالث مستقل. يدخل كلاهما في عملية معالجة المخاطر حيث يتم معالجة النتائج عالية الخطورة على الفور.
- يتم عزل الإنتاج عن التطوير. تتطلب تغييرات الكود مراجعة الأقران قبل دمج طلب السحب في بيئة الإنتاج. يتم تتبع جميع التغييرات في نظام التحكم بالإصدار مع إمكانية التراجع الكامل.
- يتم تصنيف الحوادث وتتبعها ومراجعتها. تحدد إجراءات الاستجابة للحوادث لدينا تصنيفات الخطورة، وتعين الملكية، وتتطلب تحليلًا للسبب الجذري للحوادث الحرجة. تراجع الإدارة ملخصًا سنويًا للحوادث لتحديد الأنماط التي تستدعي ضوابط جديدة.
- للبيانات السرية دورة حياة محددة. نحتفظ بقائمة جرد للأصول للبيانات المصنفة على أنها سرية. عند وصول البيانات إلى نهاية فترة الاحتفاظ بها، يتم تدميرها وجعلها غير قابلة للقراءة.
ماذا يعني هذا لبرنامج الأمان الخاص بك
إذا كانت مؤسستك تقيّم الموردين من خلال عملية رسمية لإدارة المخاطر، فإن هذا التقرير يمنحك شيئًا ملموسًا للعمل به. إنه يغطي الضوابط التي يطلبها فريق المشتريات أو فريق الأمان عادةً: إدارة الوصول، التشفير، الاستجابة للحوادث، التحكم في التغيير، والتخلص من البيانات.
بالنسبة للصناعات الخاضعة للتنظيم مثل الخدمات المالية والرعاية الصحية والحكومة، غالبًا ما يكون تقرير SOC 2 الحالي شرطًا مسبقًا للشراء. يمكننا تقديم نسخة لمراجعيك أو فريق الأمان الخاص بك عند الطلب.
ملاحظة حول النوع الأول مقابل النوع الثاني
يأتي SOC 2 في شكلين. النوع الأول، الذي يمثله هذا التقرير، يقيم ما إذا كانت الضوابط مصممة بشكل ملائم في نقطة زمنية. النوع الثاني يقيّم ما إذا كانت تلك الضوابط تم التشغيل بفعالية خلال فترة محددة، عادة ما تتراوح بين ستة إلى اثني عشر شهرًا.
نحن نكمل عمليات التدقيق من النوع الأول سنوياً للتحقق من تصميم الضوابط لدينا مع تطور المنصة. نحن نتعامل مع هذا كجزء من برنامجنا الأمني، وليس كإجراء شكلي.
اطلب التقرير الكامل
يمكن لمتخصصي الأمن وفرق المشتريات طلب نسخة كاملة من تقرير CybelAngel SOC 2 Type I لعام 2026.
تحلل CybelAngel أكثر من 6 ملايين نقطة بيانات يوميًا لتحديد الأصول المؤسسية المكشوفة عبر الويب المرئي، والويب العميق، والويب المظلم، والأجهزة التخزينية المتصلة. تجمع منصتنا بين التعلم الآلي وخبرة المحللين للعثور على التسريبات قبل أن تتحول إلى اختراقات.
