Excalidraw+ теперь сертифицирован SoC 2 ( excalidraw.com )
Это все хорошо, просто примечание для тех, кто дочитал это до конца: в принципе нет способа не сдать Тип 1, по крайней мере, если вы пользуетесь услугами серьезного аудитора. Смысл Типа 1 в том, чтобы задокументировать исходный момент времени. Тип 2 — это первый «настоящий» аудит, и в основном он просто проверяет, надежно ли вы выполнили все то, что засвидетельствовали в Типе 1.
Все это означает: вы хотите минимизировать объем работы по обеспечению безопасности, которую вы делаете для вашего Типа 1, сведя его к небольшому набору лучших практик, которые вы точно будете соблюдать вечно (единый вход и защищенные ветви составляют, по сути, 90% из них). Вы всегда можете добавить элементы управления позже. Их удаление — это огромная боль в заднице.
Это всегда беспокоит меня, когда люди идут в SOC2 в холодном состоянии: поставщики в этой области будут использовать Type 1 как возможность для вас повысить квалификацию вашей команды и развернуть все виды вещей. Ужасная и легко избегаемая ошибка.
Я пишу это только потому, что статья заканчивается тем, что Экскалидроу приходит в восторг от того, что они прошли свой Тип 1. Надеюсь, их аудиторы сказали им, что они всегда будут проходить эту планку.
>Я пишу это только потому, что статья заканчивается тем, что Экскалидроу в восторге от того, что они прошли свой Тип 1. Надеюсь, их аудиторы сказали им, что они всегда будут проходить эту планку.
Сигнал наличия Типа 1 говорит о том, что вы заинтересованы даже в попытке пройти следующий, что само по себе является хорошим знаком для всех. Возможно, волнение и гордость от “прохождения” Типа 1 – это небольшое преувеличение для людей, которые знают детали, но я готов простить это. Многие организации проявляют гораздо больше гордости в гораздо более сомнительных вещах.
В опубликованной ими дорожной карте указано, что “Excalidraw на собственном хостинге” в качестве отложенного. Есть ли альтернатива Excalidraw на собственном хостинге? Я бы с удовольствием использовал что-то подобное внутри своей команды, но мы все свои сервисы размещаем на собственном хостинге.
код здесь… лицензия MIT https://github.com/excalidraw/excalidraw
> Мы устали от бесконечных анкет по безопасности, поэтому получили сертификат SOC 2, чтобы упростить процесс для всех.
Может кто-нибудь объяснить, что они имели в виду? Опросы кем и почему?
SOC2 — вирусный. Когда вы продаете B2B-услуги компании, сертифицированной SOC2, у них где-то есть политика, которая требует от них гарантировать, что вы принимаете адекватные меры безопасности (это называется «vendorsec»). Если вы не SOC2, стандартный процесс Vendorsec заключается в том, что ваш потенциальный клиент дает вам гигантскую анкету в виде таблицы Excel для заполнения. Если вы SOC2, вашего последнего отчета SOC2 обычно будет достаточно.
B2B-компаниям часто приходится отвечать на вопросы по безопасности в рамках процесса закупок покупателя. Такие вопросы, как «как вы поддерживаете разделение данных между арендаторами?» или «шифруете ли вы данные в состоянии покоя?»
Аттестация SOC 2 может обойти/ответить на некоторые из них по умолчанию.
Если у вас нет сертификата SOC2, многим организациям (в соответствии с политикой или законом) придется задать вам массу вопросов о вашей ситуации с безопасностью, чтобы убедиться, что вы «так же хороши», как SOC2, прежде чем они смогут вести с вами бизнес.
Строго говоря, это лучше, чем жесткое требование иметь сертификат — по крайней мере, у вас есть какой-то выбор, — но, как и в данном случае, это, как правило, настолько обременительно и однообразно, что люди предпочитают просто получить сертификат.
Excalidraw используется для всего: от математических расчетов на салфетке до заметок о встречах и полной архитектуры программного обеспечения. Естественно, компании, использующие его, хотят знать, какова структура безопасности компании. Это может быть представлено в форме гигантского документа с вопросами или простого запроса SOC2.
Source: news.ycombinator.com