Skip to content

Keepit 成功取得 SOC 2 鑑證

Keepit 很榮幸地宣布,我們已成功取得 SOC 2 Type 1 鑑證。此項重大的里程碑經由獨立稽核機構德勤(Deloitte) 的驗證,確認了我們的安全控制措施在設計與執行上均符合最高行業標準,以保護客戶資料。此項鑑證為我們的客戶和合作夥伴,提供了關於我們內部控制措施的獨立驗證評估,其範疇涵蓋由美國註冊會計師協會(AICPA)所定義的信賴服務準則,包括安全性、可用性、機密性及私隱性

這對我們的客戶意味著什麼

對於將資料託付給 Keepit 的企業而言,此項 SOC 2 鑑證能提供實質效益:

  • 經獨立驗證的安全性:它提供了正式的保證,證明我們保護資料的政策與程序不僅僅是口頭聲明,而是經過頂尖第三方稽核機構的審查與驗證。
  • 簡化的盡職調查:SOC 2 報告能簡化您的供應商風險評估與盡職調查流程,讓您能更輕易地確認 Keepit 符合您組織的合規要求。
  • 對透明度的承諾:此項成就展現了我們對透明度和持續改進的堅定承諾,鞏固了我們與每一位客戶建立的信任基礎。

此里程碑與我們現有的 ISO/IEC 27001 認證相輔相成,並強化了我們作為安全、可靠資料保護領域領導者的地位。

深入了解我們的 SOC 2 稽核

SOC 2 Type 1 稽核提供了一個特定時間點的快照,評估一個組織的安全控制措施是否經過妥善設計以達成其目標。由德勤執行的嚴謹稽核流程,包含了對 Keepit 108 項獨立內部控制措施的驗證。這些控制措施的評估橫跨多個業務職能和領域,包括:

  • 安全與維運:漏洞管理、網絡監控及修補。
  • 開發與品質保證:安全軟件開發生命週期(SDLC)實踐。
  • 資料與私隱:根據我們已發布的私隱政策處理個人資料的程序。
  • 人力資源:安全的員工入職、離職和培訓協定。
  • 實體安全:保護所有設施和系統存取安全的控制措施。

為了驗證每一項控制措施,我們的團隊提供了廣泛的證據,包括正式政策、書面程序和技術實施範例。

我們邁向 SOC 2 Type 2 的旅程

取得 SOC 2 Type 1 是一個關鍵的步驟,而非最終目的地。我們已經在為我們的 SOC 2 Type 2 評估做準備。Type 1 報告評估的是在特定時間點控制措施的設計,而 Type 2 報告則是評估這些控制措施在一段持續期間(通常為 6-12 個月)內的營運有效性。下一階段將驗證我們的控制措施不僅設計精良,並且能如預期般持續有效運作。這一進程反映了我們對問責制和營運韌性的承諾。

信任的基石

成功取得 SOC 2 Type 1 鑑證,是整個 Keepit 團隊辛勤努力的證明。它向我們的客戶和合作夥伴表明,我們已為資料保護建立了一個強大且可驗證的基準。我們將持續致力於維護最嚴格的安全標準,以保護客戶的資料並確保其業務連續性。

關於 Keepit

Keepit 立足於為雲端時代提供新世代的 SaaS 資料保護。其核心理念是透過獨立於應用程式供應商的雲端儲存,為企業關鍵應用加上一道安全鎖,不僅強化網路韌性,更實現前瞻性的資料保護策略。其獨特、分隔且不可變的資料儲存設計,不涉及任何次級處理器,確保符合各地法規,有效抵禦勒索軟體等威脅,並保證關鍵資料隨時可存取、業務不中斷,以及快速高效的災難復原能力。總部位於丹麥哥本哈根的 Keepit,其辦公室與資料中心遍及全球,已贏得超過 15,000 家企業的深度信賴,客戶普遍讚譽其平台的直覺易用性,以及輕鬆、可靠的雲端資料備份與復原體驗。

關於 「數據突破獎」(Data Breakthrough)

「數據突破獎」計畫為 Tech Breakthrough 組織旗下項目,該組織是全球領先的市場情報與技術創新領導力表彰平台。此獎項計畫專注於表揚全球資料技術、服務、企業及產品領域的卓越創新與市場突破性成就。「數據突破獎」提供了一個國際級的舞台,公開表彰在資料分析、DataOps、資料管理、基礎設施與硬體、儲存技術、商業智慧等領域取得傑出成就的企業與解決方案。欲了解更多資訊,請造訪 DataBreakthroughAwards.com。

免責聲明: Tech Breakthrough LLC 並未替其任何表彰計畫中所提及的任何供應商、產品或服務進行背書,亦不建議技術使用者僅依據獲獎資格來選擇廠商。Tech Breakthrough LLC 的表彰結果反映的是其組織的獨立意見,不應被視為客觀事實陳述。Tech Breakthrough LLC 對於此表彰計畫不提供任何明示或暗示的保證,包含但不限於市場適銷性或特定用途適用性的保證。

關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。

台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。

安全入侵剖析:一份不可變備份如何阻止一場 5 分鐘的攻擊

 

安全入侵剖析:一份不可變備份如何阻止一場 5 分鐘的攻擊

現代的網絡攻擊是以分鐘,而非天數來計算。一道事故能否被控制、或演變成一場災難,其界線往往在資安團隊收到第一個警報前就已劃定。在近期一場 Black Hat 網絡研討會上,我們剖析了一次真實世界的安全入侵事件,其中高階攻擊者(後來被證實為威脅組織「絲綢颱風」Silk Typhoon)在數分鐘內攻陷了一個網絡。他們的攻擊迅速、無聲且有效 —— 直到他們撞上了一道無法攻破的防線:不可變性(Immutability)

入侵時間軸

第 0-1 分鐘:初始入侵 事件始於一位支援部門的管理員點擊了一個欺騙性連結。該釣魚頁面悄悄地竊取了一個有效的會話權杖(Session Token),讓攻擊者得以像合法使用者一樣,繞過多重要素驗證和條件式存取策略。邊界防線在 60 秒內失守。

第 2 分鐘:權限提升 憑藉竊取的權杖,攻擊者利用一個零時差漏洞,在一個 Azure 叢集內的 Kubernetes Pod 中部署了網站後門。僅用一個指令,他們就竊取了 Microsoft 365 服務主體密鑰,立即獲得了橫跨數十個租戶的委派管理權限。整個過程沒有觸發任何警報。

攻擊者的劇本:摧毀安全網

在取得高階憑證後,攻擊者啟動了典型的反鑑識策略,旨在讓復原變得不可能。他們深知只要備份存在,受害者就有機會恢復。他們的目標簡單而殘酷:

  • 清除稽核日誌:抹去他們活動的任何痕跡。
  • 刪除備份:發送大量刪除指令,以清除所有還原點。

透過移除證據和安全網,他們的目標是讓該組織別無選擇,只能進行談判。

轉捩點:不可變之牆

大約在第五分鐘,攻擊行動宣告瓦解。當攻擊者以高權限下達的刪除指令觸及備份儲存庫時,系統的回應並非遵從指令,而是一個強制停止的訊息:錯誤 403,物件已鎖定(Error 403, Object Locked)

該備份儲存層被設定了「一次寫入、多次讀取」(WORM)的不可變性,且在資料寫入的當下即被套用。這意味著一旦備份被寫入,在預設的保留期限到期前,任何人都無法對其進行修改或刪除 —— 無論其管理權限有多高。

攻擊者竊取的憑證變得毫無用處。他們就像撞上了一堵數位高牆,完全拒絕執行他們的指令。

事後結果:時間的恩賜

攻擊者無法摧毀備份,成為了這次攻擊鏈的關鍵斷點。雖然初始入侵以機器般的速度進行,但不可變性卻將事故應變的窗口從幾分鐘延長到了數天。在網絡安全領域,這猶如一生之久。

這份時間的恩賜,讓防禦方得以:

  • 在沒有壓力的情況下調查入侵事件。
  • 輪換所有被洩露的密鑰。
  • 有信心地控制事故的影響範圍。
  • 還原乾淨的資料並恢復商業營運。

團隊不再需要在洩密網站上與攻擊者談判,而是執行了一次受控的復原作業。

給資安領導者的關鍵啟示

這個案例研究提供了一個明確的教訓:您的備份是主要攻擊目標。一個意志堅決的攻擊者不會止步於您的邊界防線;他們會優先攻擊您的最後一道防線。

當備份真正具備不可變性時,即使是最強大的被盜憑證也無法將其摧毀。在這個真實世界的場景中,控制與災難之間的區別,完全取決於不可變性,這就是決定性的關鍵。

關於 Keepit

Keepit 立足於為雲端時代提供新世代的 SaaS 資料保護。其核心理念是透過獨立於應用程式供應商的雲端儲存,為企業關鍵應用加上一道安全鎖,不僅強化網路韌性,更實現前瞻性的資料保護策略。其獨特、分隔且不可變的資料儲存設計,不涉及任何次級處理器,確保符合各地法規,有效抵禦勒索軟體等威脅,並保證關鍵資料隨時可存取、業務不中斷,以及快速高效的災難復原能力。總部位於丹麥哥本哈根的 Keepit,其辦公室與資料中心遍及全球,已贏得超過 15,000 家企業的深度信賴,客戶普遍讚譽其平台的直覺易用性,以及輕鬆、可靠的雲端資料備份與復原體驗。

關於 「數據突破獎」(Data Breakthrough)

「數據突破獎」計畫為 Tech Breakthrough 組織旗下項目,該組織是全球領先的市場情報與技術創新領導力表彰平台。此獎項計畫專注於表揚全球資料技術、服務、企業及產品領域的卓越創新與市場突破性成就。「數據突破獎」提供了一個國際級的舞台,公開表彰在資料分析、DataOps、資料管理、基礎設施與硬體、儲存技術、商業智慧等領域取得傑出成就的企業與解決方案。欲了解更多資訊,請造訪 DataBreakthroughAwards.com。

免責聲明: Tech Breakthrough LLC 並未替其任何表彰計畫中所提及的任何供應商、產品或服務進行背書,亦不建議技術使用者僅依據獲獎資格來選擇廠商。Tech Breakthrough LLC 的表彰結果反映的是其組織的獨立意見,不應被視為客觀事實陳述。Tech Breakthrough LLC 對於此表彰計畫不提供任何明示或暗示的保證,包含但不限於市場適銷性或特定用途適用性的保證。

關於 Version 2 Digital
資安解決方案 專業代理商與領導者
台灣二版 ( Version 2 ) 是亞洲其中一間最有活力的 IT 公司,多年來深耕資訊科技領域,致力於提供與時俱進的資安解決方案 ( 如EDR、NDR、漏洞管理 ),工具型產品 ( 如遠端控制、網頁過濾 ) 及資安威脅偵測應 變服務服務 ( MDR ) 等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。

台灣二版 ( Version 2 ) 的銷售範圍包括台灣、香港、中國內地、新加坡、澳門等地區,客戶涵 蓋各產業,包括全球 1000 大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞 洲各城市的消費市場客戶。

MSP 客戶導入劇本:建立穩固長久客戶夥伴關係的五階段指南

簽下新客戶,象徵著一個關鍵轉變的開始。從簽訂合約到建立可獲利的長期夥伴關係,這段旅程的成敗取決於一個流程:客戶導入(Client Onboarding)。執行完善的導入流程,能為信任、效率和成長奠定基礎。反之,拙劣的導入則會導致期望落差、範圍蔓延(Scope Creep)和客戶流失(Churn)。本五階段劇本提供了一個結構化框架,確保每一段新的客戶關係都能在最穩固的基礎上展開。

第一階段:探索與規劃

目標: 以數據取代假設,建立客製化的服務交付藍圖。第一步是全面了解客戶的環境、挑戰與目標。這需要透過一份必要的「策略性導入問卷」來達成。此文件將作為您整體合作關係的藍圖,並為未來的季度業務審查提供可衡量的目標。

問卷的關鍵數據點:

  • 服務層級與需求: 確認雙方同意的服務項目,從雲端儲存到系統監控。
  • 現行 IT 基礎架構: 記錄所有的工作站、伺服器和網絡硬件。
  • 現有的網絡安全工具組合: 列出所有現行工具(端點安全、防火牆、釣魚防護等)。
  • 關鍵人員與權限: 識別角色、存取層級和聯絡窗口。
  • 第三方合約: 了解與其他供應商或服務提供商的現有協議。
  • 事故應變: 檢視任何現有的事故應變計畫。

在此收集到的洞察,將讓您能夠建立一個從第一天起就與客戶業務目標保持一致的客製化導入計畫。

第二階段:安全與風險評估

目標: 透過識別漏洞並了解客戶獨特的攻擊面,建立安全基準線。在進行任何變更之前,您必須了解客戶當前的風險狀況。一次徹底的評估是不可或缺的,並且能立即展現您的價值。在 2024 年,超過 35% 的資料外洩事件歸因於第三方 —— 這是許多客戶未曾意識到的風險。您的評估應揭露這些潛在威脅。

必要安全探索清單:

  • 使用者身份與存取權限是如何管理、審查和撤銷的?
  • 特權帳號、服務帳號和共用憑證是否受到積極監控?
  • 所有關鍵帳號是否都強制執行多重要素驗證?
  • 敏感資料是如何分類、保護和儲存的?
  • 是否有任何第三方持有對雲端服務或資料的管理權限?
  • 系統日誌是否被收集並分析以偵測異常?
專業提示:自動化您的安全評估 手動稽核新客戶的雲端環境以找出過高權限和第三方風險非常耗時。像 Guardz 這樣的統一安全平台可以自動化此探索過程,在數小時內(而非數天)提供全面的風險報告,並識別如可疑登入活動或異常資料傳輸等威脅。

第三階段:奠定基礎與設定期望

目標: 透過清晰定義合作規則,建立信任並防止未來客戶流失。溝通不良和期望落差是導致客戶流失的主要原因。一份專業的「客戶歡迎包(Client Welcome Kit)」是您為成功合作關係奠定基礎的主要工具。

您的歡迎包必須包含:

  • 服務摘要: 清晰的交付項目清單和專案里程碑。
  • 服務等級協議(SLAs): 明確定義的回應時間和支援升級路徑。
  • 聯絡窗口: 您團隊成員及其角色的通訊錄。
  • 溝通協定: 官方的支援和查詢管道(例如電子郵件、客戶入口網站、Slack)。
  • QBR 時程表: 預先排定的策略性業務審查日期。
  • 資源中心: 常見問題、知識庫以及涵蓋 IT 疑難排解和釣魚意識等主題的教學影片連結。

第四階段:技術整合與遷移

目標: 以零中斷的方式,完美執行使用者資料和系統的遷移。這是導入過程中最精細的階段。從多個來源(CRM、電子郵件、雲端環境)遷移資料伴隨著顯著風險。一個單一的雲端設定錯誤就可能導致資料外洩。

安全遷移的最佳實踐:
  • 建立模擬資料: 絕不要用真實的客戶資料進行測試。使用模擬資料集來驗證工作流程、欄位對應和權限。
  • 進行廣泛測試: 執行多次測試運行,確保所有整合功能都如預期般運作。
  • 執行正式匯入: 只有在所有測試都成功後,才進行最終的正式資料遷移。

第五階段:策略啟動會議

目標: 正式啟動合作夥伴關係,解決最終疑慮,並鞏固與客戶團隊的良好關係。啟動會議不僅僅是一個形式,更是您傾聽的機會。應用 80/20 法則:花 80% 的時間傾聽客戶的目標和期望,用 20% 的時間解答問題和概述計畫。

啟動會議議程:

  • 檢視詳細的導入計畫和專案時程。
  • 定義您的團隊和客戶團隊的角色與職責。
  • 解決任何疑慮或獨特的業務需求。
  • 記錄所有行動項目並設定後續追蹤的提醒。

一旦此會議結束,導入流程便正式完成,長期的夥伴關係也正式開始。

透過 Guardz 簡化您的客戶導入流程

一個安全且高效的導入流程能立即讓新客戶感到安心。Guardz 提供一個統一的網絡安全平台,幫助 MSP 快速評估風險、偵測來自第三方應用程式的威脅,並監控雲端帳號的過高權限。讓每一個新的客戶關係,都在安全與信任的基礎上展開。

關於 Guardz
Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於 Version 2 Digital
Version 2 Digital 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 Digital 提供廣被市場讚賞的產品及服務。Version 2 Digital 的銷售網絡包括中國大陸、香港、澳門、台灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。