Яндекс.Паспорт прошёл аудит AICPA SOC
Сервис единой аутентификации Яндекса Яндекс.Паспорт прошёл независимый аудит по критериям международного стандарта AICPA и получил отчёты SOC 2 и SOC 3.
Эти отчёты подтверждают соответствие Яндекс.Паспорта мировым стандартам безопасности, конфиденциальности и доступности данных.
Аудит проводила компания PwC. В течение двух месяцев аудиторы проверяли, как в сервисе хранятся и передаются логи, как сотрудники работают с инцидентами, как устроено управление доступами, насколько безопасна разработка и так далее. Для успешного аудита все процессы должны были работать безупречно и соответствовать стандарту SOC 2 в течение шести месяцев, предшествующих дате проверки.
Краткий отчёт об итогах аудита, SOC 3, доступен всем желающим по ссылке. Сертификацию необходимо подтверждать каждый год. В будущем Яндекс намерен сертифицировать не только Паспорт, но и другие сервисы компании.
Подробнее о том, как и зачем проходить сертификацию AICPA SOC 2 и 3, можно прочитать в блоге Яндекса на Хабре.
Яндекс.Паспорт — это ключевой сервис для управления аккаунтом в Яндексе, в нем хранятся все основные регистрационные данные пользователя: имя и фамилия, номер телефона, сведения о привязанных банковских картах, история входов в аккаунт и сведения об устройствах, с которых их совершали, привязанные аккаунты в соцсетях и ряд других сведений.
Осенью 2020 года компания Яндекс впервые раскрыла статистику по количеству запросов на передачу информации о своих пользователях, которые она получает от российских госорганов. По словам представителя компании, очень часто запросы к тому или иному сервису сводятся к предоставлению данных из Яндекс.Паспорта (8,8 тыс обращений за полгода). Например, это может быть запрос о пользователе, который использовал один из сервисов Яндекса для мошенничества.