11 мин чтенияСоответствие

SOC 2 и HIPAA для отслеживания ссылок: ответы для отдела закупок

О чем на самом деле спрашивают в анкетах по безопасности корпоративного уровня при проверке сокращателя ссылок: сопоставление контролей SOC 2 с инфраструктурой ссылок и границы применимости HIPAA

Sasha Ehrlich
Compliance · EU residency
Two columns labelled SOC 2 and HIPAA listing the trust-services-criteria categories on the left and the four HIPAA safeguard groups on the right with check and exclusion marks

Сокращатель ссылок кажется незначительной деталью при проверке закупок. Два абзаца в анкете безопасности вендора, быстрое подтверждение, галочка. Затем команда безопасности открывает диаграмму архитектуры и обнаруживает, что сокращатель находится на пути запроса каждого URL кампании, каждой ссылки в транзакционных письмах и каждого редиректа по QR-коду. Обзор из двух абзацев превращается в три недели дополнительных уточнений.

В этом посте мы ответим на вопросы, которые отделы закупок крупных компаний на самом деле задают про SOC 2 Type II и HIPAA при оценке сервиса отслеживания ссылок. Пост написан как для тех, кто заполняет анкету, так и для тех, кто проверяет ответы.

Коротко о главном

Elido имеет сертификат ISO 27001. Получение SOC 2 Type II находится в процессе с плановым завершением во второй половине 2026 года - окно аудита открылось в феврале 2026 года, сбор доказательств продлится до июля, а отчет Type II ожидается к концу четвертого квартала. HIPAA поддерживается на планах Business и Enterprise при наличии подписанного Business Associate Agreement (BAA); базовые контроли безопасности те же, что используются для SOC 2.

Соответствие GDPR рассматривается отдельно от SOC 2 и HIPAA и описано в базовой статье GDPR для сокращателей ссылок. Этот пост сфокусирован на фреймворках подтверждения соответствия стандартам US, которые определяют процесс проверки закупок в крупных компаниях.

Что на самом деле говорит SOC 2 о сокращателе ссылок

SOC 2 - это отчет, а не сертификация. Независимый аудитор (фирма CPA в US или признанный орган аудита в EU) проверяет сервисную организацию на соответствие Trust Services Criteria AICPA и выносит заключение. Type I подтверждает, что контроли спроектированы надлежащим образом на определенный момент времени; Type II подтверждает, что они эффективно работали в течение периода - обычно от шести до двенадцати месяцев.

Критерии Trust Services делятся на пять категорий. Каждый отчет SOC 2 включает Security; остальные четыре (Availability, Processing Integrity, Confidentiality, Privacy) включаются по выбору сервисной организации в зависимости от потребностей клиентов.

Пять критериев SOC 2 Trust Services: Security всегда включен, Availability и Confidentiality включены в область аудита Elido, Privacy рассматривается отдельно через документацию GDPR.

Security - категория, включенная всегда

Критерии Security охватывают контроль доступа, управление изменениями, мониторинг, реагирование на инциденты и оценку рисков. Для сокращателя ссылок наиболее важны следующие контроли:

  • CC6.1 Logical access: кто может создавать, изменять или удалять короткую ссылку, а также как этот доступ предоставляется и отзывается. Аудит проследит путь конкретных пользователей от записи HR о приеме на работу через IdP (наш уровень аутентификации в Elido) до назначения ролей в рабочем пространстве и проверит, был ли доступ закрыт в течение установленного политикой окна после увольнения.
  • CC6.6 External access: как внешние пользователи (владельцы кастомных доменов, потребители API, партнерские интеграции) проходят аутентификацию и какие уровни доступа (scopes) они получают. Модель токенов API с ключами идемпотентности и ограничением области действия рамками рабочего пространства - это именно тот артефакт, который захочет увидеть аудитор.
  • CC7.2 Monitoring: что логируется, куда уходят логи и как выявляются аномалии. Для сервиса редиректов релевантными сигналами являются необычный объем редиректов в рабочем пространстве, срабатывание лимитов (rate-limit) на edge и ошибки аутентификации.
  • CC8.1 Change management: изменения кода от pull request до развертывания с разделением обязанностей между инженером, написавшим код, и ревьюером, утвердившим его. Аудит возьмет выборку pull requests и изучит записи об утверждении и деплое.

Критерии Security также требуют наличия документированного плана реагирования на инциденты. Для сервиса редиректов актуальными инцидентами являются несанкционированное создание ссылок, подмена адреса назначения редиректа и эксфильтрация данных через эндпоинты экспорта аналитики. Runbook по адресу /docs/runbooks/ содержит сценарии для каждого случая.

Availability - вторая по популярности категория

Availability охватывает обязательства по аптайму, планирование мощностей и аварийное восстановление. Для сокращателя ссылок релевантными артефактами являются:

  • Документированная цель уровня обслуживания (SLO). Опубликованный SLO Elido составляет 99.95% доступности редиректов в квартал, с отдельными SLO для панели управления (99.9%) и API аналитики (99.5%).
  • Доказательства тестирования мощностей. Сервис edge-редиректов проходит непрерывные нагрузочные тесты в staging; аудит ищет подтверждения того, что границы производительности в production известны и отслеживаются на соответствие SLO.
  • Доказательства резервного копирования и восстановления. Наша база данных работает с высокодоступными репликами и возможностью восстановления на любой момент времени; аналитическое хранилище ежедневно экспортирует данные в объектное хранилище; аудиту требуется лог учебного восстановления, подтверждающий достижимость целевого времени восстановления.
  • Документация по многорегиональному отказоустойчивому переключению (failover). Три POP (регион ЕС, восток США, Азиатско-Тихоокеанский регион) работают в режиме active-active для редиректов; аудитор изучит runbook по отказоустойчивости и post-mortem последнего регионального инцидента.

Confidentiality и Privacy - включаются выборочно

Confidentiality и Privacy добавляют категории, которые пересекаются с требованиями GDPR. Большинство корпоративных клиентов в EU предпочитают решать вопросы конфиденциальности через документацию GDPR (соглашения об обработке данных по Article 28, оценки воздействия передачи данных, публичное DPA), а не через SOC 2 Privacy. Текущий объем аудита SOC 2 в Elido включает Security, Availability и Confidentiality. Privacy рассматривается отдельно через пакет документации GDPR на странице /trust.

Причина разделения: SOC 2 Privacy опирается на Generally Accepted Privacy Principles AICPA, которые были разработаны для фреймворков приватности в стиле US. GDPR - это отдельная правовая база со своими контролями. Объединение их в одном подтверждении обычно ослабляет оба подхода.

Что на самом деле говорит HIPAA о сокращателе ссылок

HIPAA - закон Health Insurance Portability and Accountability Act, обновленный HITECH и Omnibus Rule 2013 года, - регулирует обращение с защищенной медицинской информацией (PHI) субъектами (провайдерами медицинских услуг, страховыми компаниями, расчетными центрами) и их деловыми партнерами (Business Associates).

Сокращатель ссылок становится Business Associate, когда короткая ссылка или данные за ней содержат PHI. Интересный вопрос заключается в том, происходит ли это когда-либо, и ответ на него более тонкий, чем предполагают большинство проверок закупок.

Когда PHI проходит через редирект

Сама короткая ссылка - s.elido.me/abc123 - не является PHI. URL назначения, метаданные рабочего пространства и теги кампании также в общем случае не являются PHI.

Вопрос PHI возникает в трех конкретных случаях:

  • URL назначения, содержащие идентификаторы: короткая ссылка, перенаправляющая на https://provider.example/patient/12345/results, содержит идентификатор пациента в пути URL. Этот URL назначения сохраняется сокращателем и, следовательно, является PHI в строгом смысле - даже если никто в сервисе сокращения ссылок не интерпретирует этот идентификатор.
  • Кастомные параметры, добавляемые в момент клика: если редирект добавляет идентификатор сессии или пользователя в качестве параметра URL, и этот идентификатор позже можно связать с PHI, событие клика становится частью цепочки PHI.
  • События клика с данными реферера: событие клика включает URL реферера. Если реферер содержит идентификатор пациента (например, страница портала пациента с глубокой ссылкой, которая направила пользователя на сокращенную ссылку), поле реферера является PHI.
Схема принятия решений с тремя каналами, через которые PHI может попасть в редирект; ветки ведут к 'BAA обязателен', если хотя бы один канал содержит PHI, и к 'BAA в качестве меры предосторожности' для маркетинговых нагрузок без PHI.

Большинство маркетинговых кейсов в здравоохранении не генерируют PHI через эти каналы. Маркетинговый отдел системы здравоохранения, проводящий кампании по вакцинации от гриппа, велнес-мероприятиям или общему контенту о здоровье, создает редиректы с адресами назначения и реферерами без PHI. Для такой рабочей нагрузки BAA является мерой предосторожности, а не архитектурной необходимостью.

Для рабочих нагрузок, которые действительно проходят через PHI-адреса - порталы пациентов, ссылки для подтверждения записи, URL выдачи результатов анализов - требуется BAA и наличие описанных ниже архитектурных контролей на стороне сокращателя.

HIPAA Security Rule в применении к сервису редиректов

Правило безопасности HIPAA Security Rule (45 CFR Part 164, Subpart C) предписывает административные, физические и технические меры защиты. Для сервиса редиректов, обрабатывающего PHI в адресах назначения:

  • Access controls (164.312(a)): уникальная идентификация пользователя, автоматический выход из системы, шифрование ePHI при передаче и хранении. Elido применяет уникальные идентификаторы пользователей, назначенные IdP, настраиваемый таймаут сессии для каждого рабочего пространства, TLS 1.3 на всех внешних эндпоинтах и конвертное шифрование AES-256 для соответствующих хранилищ данных.
  • Audit controls (164.312(b)): запись и изучение активности в системах, которые содержат или используют ePHI. Elido отправляет логи аудита создания ссылок, их модификации, изменения адресов назначения и экспорта аналитики в защищенное от несанкционированного доступа хранилище, работающее только на добавление (append-only). Срок хранения логов аудита по умолчанию составляет 24 месяца на планах Business+.
  • Integrity controls (164.312(c)): защита ePHI от ненадлежащего изменения. URL назначения хранятся с историей на уровне строк; любая модификация логируется с указанием личности исполнителя и метки времени, а предыдущее значение остается в таблице истории.
  • Transmission security (164.312(e)): защита ePHI при передаче через открытые сети. TLS 1.3 на всех эндпоинтах редиректов; HSTS preload; возможность пиннинга сертификатов для кастомных доменов.
Многоуровневый стек, сопоставляющий четыре технические меры защиты HIPAA Security Rule по 45 CFR 164.312 с конкретными контролями доступа, аудита, целостности и передачи данных в сервисе редиректов Elido.

Административные и физические меры защиты (обучение персонала, политика санкций, контроль доступа в помещения) во многом пересекаются с контролями SOC 2 Security. Одно и то же доказательство подтверждает оба аудита, поэтому мы проводим их по единому графику сбора доказательств.

Что BAA покрывает, а что нет

Business Associate Agreement - это контракт в соответствии с HIPAA 164.504(e). Он обязывает Business Associate соблюдать конкретные меры защиты, сроки уведомления об утечках и обязательства по передаче требований субподрядчикам. Он не меняет базовую архитектуру; он обязывает вендора эксплуатировать архитектуру в соответствии с требованиями HIPAA.

Стандартное BAA Elido, доступное на планах Business и Enterprise, охватывает:

  • Четыре категории мер защиты HIPAA Security Rule, применяемые ко всем данным, которые клиент направляет через сервис редиректов.
  • Уведомление об утечке данных в течение 60 дней после обнаружения, с подробными сроками реагирования на инциденты, указанными в BAA и соответствующем runbook по адресу /docs/runbooks/incident-response.
  • Передача обязательств названным субпроцессорам (инфраструктура в ЕС, доставка email, защита от DDoS и платёжные провайдеры) в рамках их собственных BAA, где это применимо. Текущий список субпроцессоров находится на странице /legal/subprocessors - это тот же список, который используется для документации по Article 28 GDPR.
  • Возврат или уничтожение PHI при прекращении действия контракта с 30-дневным окном для экспорта данных клиентом перед их удалением.

Чего BAA не делает: оно не делает тарифный план, не поддерживающий HIPAA, пригодным для этого. Бесплатные и Pro планы не включают подписание BAA. Инфраструктура одинакова на всех платных планах; юридические обязательства - нет.

Анкета для закупок - ответы, которые можно скопировать

Большинство анкет для корпоративных закупок содержат один и тот же набор вопросов. Ниже приведены ответы, которые мы предоставляем напрямую, со ссылками на артефакты.

Есть ли у вас действующий отчет SOC 2 Type II? Сертифицированы по ISO 27001; аудит SOC 2 Type II в процессе, получение отчета Type II запланировано на четвертый квартал 2026 года. Bridge letters и действующий сертификат ISO 27001 доступны под NDA на странице /trust. SOC 2 Type I был завершен в ноябре 2025 года; отчет Type I также доступен под NDA.

Подпишете ли вы наше BAA? Мы подписываем наше стандартное BAA на планах Business и Enterprise. BAA на бланке клиента рассматриваются на планах Enterprise; принимаются распространенные модификации (расширенные окна уведомления об утечках, дополнительные подтверждения мер защиты, контроля субподрядчиков, указанные клиентом). Свяжитесь с [email protected] для получения стандартного текста или начала проверки вашего варианта.

Где хранятся данные? Для клиентов из EU по умолчанию используется регион ЕС. Клиенты из US могут выбрать восток США. Азиатско-Тихоокеанский регион доступен для клиентов из APAC. Репликация между регионами включается по желанию для каждого рабочего пространства; без нее все данные клиента остаются в выбранном регионе. Пост про хранение данных подробно описывает архитектуру резидентности.

Какое шифрование используется? TLS 1.3 при передаче на всех внешних эндпоинтах (редирект, API, панель управления, аналитика). Конвертное шифрование AES-256 при хранении для основной базы данных, аналитического хранилища и объектного хранилища. На планах Enterprise поддерживается использование ключей клиента через интеграцию BYO KMS.

Как осуществляется предоставление и отзыв доступа? Single sign-on через SAML или OIDC с помощью WorkOS; использование SCIM для управления жизненным циклом пользователей. Контроль доступа на основе ролей (RBAC) на уровне рабочего пространства с возможностью создания кастомных ролей на плане Enterprise. Пост про SCIM и SSO описывает интеграцию и контроли жизненного цикла.

Как выглядит ваш процесс реагирования на инциденты? Документированный runbook с SLA 60 минут на первичный ответ, SLA 24 часа на техническое обновление и ротацией дежурных руководителей инцидентов. Уведомления об утечках следуют срокам, указанным в наших BAA и DPA. Полный индекс runbooks находится по адресу /docs/runbooks/.

Кто ваши субпроцессоры? Пять названных субпроцессоров, покрывающих инфраструктуру в ЕС, инфраструктуру в APAC, транзакционные письма, защиту от DDoS (на публичных маркетинговых поверхностях; не используется в плоскости данных редиректов) и биллинг для клиентов из EU. Полный список с названиями вендоров и контактными данными находится по адресу /legal/subprocessors.

Как долго вы храните данные клиентов? События кликов хранятся в течение срока действия контракта плюс 30-дневное окно для экспорта при расторжении, затем удаляются. Конфигурация ссылок хранится в течение срока действия контракта плюс окно для экспорта. Агрегированные метрики (количество ссылок на рабочее пространство, количество кликов в день, без PII) сохраняются после окончания контракта для целей биллинга и внутреннего планирования мощностей.

Файл с доказательствами, который нужен аудитору

Если вы корпоративный клиент, проводящий собственный аудит SOC 2, и Elido является вендором в рамках проверки, ваш аудитор, скорее всего, запросит доказательства по контролям CC9.2 (управление вендорами) и CC1.4 (обязательства). Файл вендора должен содержать:

  • Наш действующий сертификат ISO 27001 (обновляется ежегодно).
  • Наш отчет SOC 2 Type I и bridge letter для SOC 2 Type II (доступны под NDA).
  • Наши подписанные DPA и BAA, где это применимо.
  • Наш список субпроцессоров и даты любых изменений.
  • Снимок нашей публичной страницы безопасности на /trust и последнюю версию политики конфиденциальности.
  • Нашу историю уведомлений об утечках (публичная история пуста - внутренний лог проверяется в процессе закупки под NDA).

Файл с доказательствами формируется один раз для каждого взаимодействия с клиентом и обновляется ежегодно. Список выше является стандартным набором; дополнения по запросу аудитора рассматриваются в индивидуальном порядке.

Что на самом деле сложно

Есть две вещи, которые действительно сложны в SOC 2 и HIPAA для сервиса редиректов, и мы упоминаем их, потому что в разговорах о закупках они рано или поздно всплывают.

Доказательства непрерывного мониторинга для edge POP - задача нетривиальная. Плоскость данных редиректов обрабатывает огромные объемы трафика в трех регионах, и аудитор хочет видеть доказательства того, что мониторинг работает непрерывно, а не просто делает выборки. Текущий подход использует синтетические редиректы из каждого региона каждую минуту, причем состояние алертов фиксируется в защищенном от изменений логе. Стоимость такого мониторинга вполне реальна, а его дизайн прошел через три итерации, чтобы добиться правильного соотношения сигнала и шума. Руководство по наблюдаемости в документации описывает текущую конфигурацию; соответствующее ADR находится по адресу /docs/adr/0024-sla-monitoring.md.

Сроки уведомления об утечках в HIPAA жестче, чем в GDPR. HIPAA требует уведомления пострадавших лиц в течение 60 дней после обнаружения; для утечек, затрагивающих более 500 человек, требуются дополнительные уведомления в HHS и СМИ. GDPR дает 72 часа на уведомление надзорного органа, но срок уведомления пострадавших лиц определяется как «без неоправданной задержки». При утечке в нескольких юрисдикциях сроки HIPAA часто становятся определяющими. Мы по умолчанию придерживаемся сроков HIPAA для любых инцидентов, затрагивающих данные клиентов, маршрутизируемые через US, и наш runbook по реагированию на инциденты отражает это.

Рекомендуемое чтение

Попробуйте Elido

Вставьте URL - получите короткую ссылку

Без регистрации. Ссылка живёт 30 дней. Зарегистрируйтесь, чтобы оставить её навсегда.

Бесплатно, без регистрации · 2 в день

Попробуйте Elido

URL-сокращатель с хостингом в ЕС: собственные домены, глубокая аналитика, открытый API. Бесплатный тариф - без банковской карты.

Теги
soc 2 url shortener
hipaa url shortener
link tracking compliance
soc 2 type ii
baa link tracking
vendor security review
enterprise procurement

Читать дальше