Wie StepSecurity innerhalb von 4 Wochen die SOC-2-Konformität erreichte

Ende 2021 schlossen sich die Sicherheitsexperten Varun Sharma und Ashish Kurmi zusammen, um StepSecurity zu entwickeln – eine Plattform, mit der Entwickler innerhalb weniger Minuten die besten Praktiken für die Sicherheit der Software-Lieferkette implementieren können.

StepSecurity ermöglicht Entwicklern den Schutz vor Angriffen auf die Software-Lieferkette durch die Automatisierung bewährter Sicherheitspraktiken. Mit StepSecurity können Entwickler DevSecOps-Tools schnell in ihre Softwareentwicklungs- und -bereitstellungsprozesse integrieren und Sicherheitsprobleme durch automatisierte Pull Requests mit nur einem Klick beheben. StepSecurity revolutioniert die Software-Sicherheit und macht es Entwicklern einfacher und effizienter, ihre Software-Lieferkette abzusichern.

  • Wir sind SOC 2-zertifiziert.

    SOC2

  • Globus-Erde-Logo

    USA

  • 4 Wochen

    Zeit bis zum Abschluss des SOC2-Typ-1-Audits

Bereit, Ihr
gestartet?

Herausforderung

StepSecurity begann als Unternehmen, das Open-Source-Entwickler und -Communities bei der Absicherung ihrer Software-Lieferkette unterstützte. Mit dem Wachstum von StepSecurity häuften sich jedoch die Anfragen großer Unternehmen mit privaten Repositories, die mit denselben Sicherheitsproblemen zu kämpfen hatten. Diese Unternehmen stammten überwiegend aus regulierten Branchen wie dem Gesundheits- und Finanzwesen und suchten Partner, die SOC-2-konform waren.

Die Mitgründer Ashish und Varun kommen beide aus dem Bereich IT-Sicherheit und haben in der Vergangenheit bereits mehrere Großunternehmen bei der SOC-2-Zertifizierung unterstützt. Da sie jedoch ein junges Start-up mit begrenzten Ressourcen sind, erschien ihnen die SOC-2-Konformität als ein kostspieliger und zeitaufwändiger Prozess, der von dringenderen Prioritäten ablenken würde.

Die Einhaltung der SOC-2-Vorgaben erfordert in der Regel einen erheblichen Zeit-, Ressourcen- und Investitionsaufwand. Größere Unternehmen verfügen typischerweise über Teams, die sich ausschließlich mit dem Management der Sicherheitskonformität befassen, darunter Projektmanager, Programmmanager und CISOs, die eng zusammenarbeiten, um die Einhaltung der Vorschriften sicherzustellen. Als Startup konzentrierten wir uns jedoch voll und ganz auf die Kundengewinnung und das Umsatzwachstum. Wir wollten uns nicht durch den hohen Aufwand der SOC-2-Konformität ablenken lassen.

Als Ashish und Varun jedoch begannen, mit mehr Kunden zusammenzuarbeiten, erkannten sie, dass die SOC-2-Konformität ein enormes Geschäftspotenzial bot, das sie nicht ignorieren konnten. Aufgrund begrenzter Ressourcen und enger Zeitvorgaben benötigten sie ein Tool zur Einhaltung der Sicherheitsrichtlinien, das ihnen helfen würde, die SOC-2-Konformität schnell und im Rahmen ihres Budgets zu erreichen.

„Wir haben mit der Evaluierung verschiedener Tools auf dem Markt begonnen, und alle versprachen einen hohen Automatisierungsgrad. Doch als ich mit Sprinto telefonierte, wurde mir der hohe Automatisierungsgrad des Produkts deutlich vor Augen geführt, und ich war überzeugt, dass Sprinto die perfekte Wahl ist!“

StepSecurity hat sich für Sprinto Ignite angemeldet – ein speziell auf Technologie-Startups zugeschnittenes Programm zur Unterstützung bei der Einhaltung von Sicherheitsrichtlinien. „Im Vergleich zu anderen Plattformen war Sprinto dank Ignite die beste Wahl – es war deutlich günstiger. Als Startup haben wir die Preisgestaltung sehr geschätzt“, so die Gründer.

Lösung

Während des Kickoff-Calls legte Sprinto einen detaillierten Aktionsplan für jede Phase des SOC-2-Zertifizierungsprozesses von StepSecurity vor.

Da StepSecurity auf einem modernen Technologie-Stack basiert und ausschließlich auf AWS operiert, war die Einrichtung ein Kinderspiel! Von der Erstellung des Organigramms und der Durchführung von Sicherheitsschulungen für Mitarbeiter bis hin zur Kategorisierung von Repositories und AWS-Ressourcen – alles war innerhalb einer Stunde erledigt, und StepSecurity war ohne Verzögerung einsatzbereit.

„Obwohl wir nach der anfänglichen Einrichtung wöchentliche Telefonate geführt haben, fühlte sich der optimierte Prozess mühelos an, und alles schien wie von selbst zu laufen“, bemerkt Ashish.

Was mich an Sprinto besonders beeindruckt hat, ist die ausgeprägte Handlungsorientierung. Es zeigt präzise die Sicherheitslücken auf und wie man sie beheben kann. Das gestaffelte Eskalationssystem für fehlgeschlagene Prüfungen ist hervorragend und hat sich als unschätzbar wertvoll erwiesen, um uns bei der Identifizierung und Priorisierung dringender Probleme zu unterstützen.

Aufgrund seiner bisherigen Erfahrungen rechnete Ashish damit, dass die Erfüllung der SOC-2-Vorgaben viel Zeit und Mühe in Anspruch nehmen würde. Umso erfreuter war er, als das Customer-Success-Team von Sprinto jeden Aspekt des SOC-2-Prozesses von Anfang bis Ende betreute und dabei kein Detail ausließ. „Zu meiner Überraschung verlief der Prozess nicht nur reibungslos, sondern auch völlig problemlos. Unser Customer Success Manager (CSM) spielte eine entscheidende Rolle dabei, diese Erfahrung für unser Team so außergewöhnlich zu gestalten“, fügt Ashish hinzu.

Ergebnisse

Innerhalb von 2 Wochen nach der Implementierung von Sprinto war StepSecurity bereit für das Audit. Sie entschieden sich für Prescient Assurance aus dem Auditorennetzwerk von Sprinto, um ihre SOC 2-Zertifizierung zu erhalten.

Ich hatte mich auf eine intensive Einbindung während des Auditprozesses eingestellt und mich darauf vorbereitet, den Prüfern jedes Detail zu erklären und ihre zahlreichen Fragen zu beantworten. Zu meiner Freude war das Team von Sprinto jedoch unser erster Ansprechpartner für die Prüfer und beantwortete alle Anfragen mühelos. Sie stellten den Prüfern außerdem das Audit-Dashboard in Sprinto zur Verfügung, das die Nachweise genau so präsentierte, wie sie diese benötigten.

In den darauffolgenden zwei Wochen schloss StepSecurity das Audit ab und erhielt den SOC-2-Typ-1-Auditbericht. „Dank Sprinto haben wir das mit Bravour gemeistert!“, ergänzt Ashish. SOC 2 Typ 2 und ISO 27001 stehen als Nächstes an und sind bereits in Arbeit.

Seit der Erfüllung der Compliance-Anforderungen hat StepSecurity seine Vertriebsanstrengungen verstärkt. Das Unternehmen arbeitet nun aktiv daran, Blockaden bei Geschäftsabschlüssen zu lösen und seine schnell wachsende Vertriebspipeline abzuarbeiten.