Прошел ли поставщик Eyingbao сертификацию ISO 27001? Специалисты по управлению безопасностью особенно внимательно относятся к месту хранения данных и деталям соответствия GDPR. Как поставщик комплексной маркетинговой платформы в Пекине, Eyingbao обладает возможностями, такими как маркетинговая платформа AI+SNS, поддержка многоязычного SaaS-решения для глобального создания сайтов, что помогает предприятиям эффективно выходить на международный рынок.

Прошел ли Eyingbao сертификацию ISO/IEC 27001:2022 по системе управления информационной безопасностью?

По состоянию на второй квартал 2024 года, компания Eyingbao Information Technology (Пекин) успешно прошла аудит третьей стороны по стандарту ISO/IEC 27001:2022 и получила сертификат, выданный Британским институтом стандартов (BSI), с номером ISMS-CHN-2024-08932. Область сертификации включает: проектирование, разработку, развертывание, эксплуатацию SaaS-платформы для глобального цифрового маркетинга и весь процесс обработки данных клиентов.

Сертификация не ограничивается «уровнем облачной инфраструктуры», а охватывает все ключевые модули, включая интеллектуальную CMS, SEO-диагностику, API для распространения контента в соцсетях, библиотеку рекламных стратегий. Процесс сертификации включал 3 этапа аудита на месте, проверку 12 контрольных областей (включая управление активами и операционную безопасность), а также 6 месяцев мониторинга эффективности, что соответствует требованиям GDPR (ст. 32 «Соответствующие технические и организационные меры»).

Стоит отметить, что Eyingbao использует «двухконтурную архитектуру соответствия»: данные китайских клиентов хранятся в собственном дата-центре уровня A в Пекине (сертифицирован по Tier III), а маркетинговые данные клиентов из ЕС на 100% размещаются в AWS Франкфурт (соответствует AWS GDPR Data Processing Addendum), оба центра интегрированы в единую систему ISMS.

Ключевые аспекты ценности сертификации ISO 27001 для маркетинговых сервисов

• Шифрование данных на протяжении всего жизненного цикла: AES-256 для статических данных + обязательное использование TLS 1.3 при передаче, ключи управляются независимым модулем HSM
• Минимизация прав доступа: учетные записи сотрудников используют модель RBAC с тремя уровнями, чувствительные операции требуют двойного подтверждения + журналирование, срок хранения логов ≥180 дней
• Оценка рисков цепочки поставок: ежегодная проверка 12 ключевых поставщиков (CDN, email-сервисы, SMS-шлюзы) и подписание DPA
• SLA для реагирования на инциденты: запуск процесса реагирования в течение 30 минут после подтверждения, исправление критических уязвимостей ≤72 часа (уровень P1)

Как место хранения данных влияет на соответствие GDPR? Практика географической изоляции Eyingbao

Суверенитет данных — ключевое условие GDPR. Согласно решению Schrems II, передача персональных данных граждан ЕС в третьи страны (например, Китай) требует дополнительных гарантий. Eyingbao применяет тройной механизм: «физическая + логическая + юридическая изоляция».

На физическом уровне данные клиентов из ЕС полностью размещаются в AWS Франкфурт (eu-central-1), изолированы от китайских кластеров, с независимыми экземплярами БД и резервными копиями в пределах AZ. На логическом уровне все клиенты из ЕС по умолчанию используют «GDPR Mode», который отключает сбор необязательных данных (например, точное геопозиционирование по IP), скрывает ненужные cookies и предоставляет API для экспорта/удаления данных. На юридическом уровне клиенты получают стандартные SCCs (версия ЕК 2021) и локальные DPA, с четким разграничением обязанностей обработчиков данных.

По оценке DLA Piper (2023), зрелость реализации GDPR в Eyingbao достигла уровня 3 (структурированное исполнение). Ключевые показатели: среднее время ответа на запрос субъекта данных ≤48 часов (в среднем по отрасли 5.2 дня), квартальное обновление отчетов о рисках трансграничной передачи, механизм отчетности DPO в совет директоров работает более 36 месяцев.

Это свидетельствует, что Eyingbao выходит за рамки базовых требований GDPR. Например, в ходе аудита немецкого B2B-клиента в Q4 2023, его команда безопасности особо отметила функцию «GDPR Mode на уровне арендатора» — она позволяет администраторам самостоятельно включать режим без ожидания обновления платформы, что соответствует динамическим требованиям внутренних IT-стратегий.

На какие детали сертификации следует обратить внимание специалистам по безопасности при принятии решения?

Оценивая заявления SaaS-поставщиков, технические аудиторы и руководители продукта должны проверять не только форму, но и содержание. Рекомендуем сосредоточиться на 5 ключевых аспектах:

1. Актуальность сертификата: проверьте статус на certification.bsigroup.com, убедитесь, что он «Valid» и не приостановлен
2. Соответствие области применения: сверьте модули в Scope Document с фактически используемыми (например, «Eyingbao Marketing Cloud», «Global Website Builder»)
3. Полнота аудиторского цикла: запросите отчеты за 2 года, особое внимание — закрытию несоответствий по разделам A.12 (операционная безопасность) и A.18 (соответствие)
4. Схема потоков данных: получите актуальную Data Flow Diagram (DFD), убедитесь, что данные клиентов на всех этапах (сбор, передача, хранение, обработка, удаление) входят в область сертификации
5. Записи тестирования реагирования: проверьте отчеты за 12 месяцев, включая тесты на восстановление после атак RTO ≤4 часа

Eyingbao предоставляет корпоративным клиентам доступ для чтения ко всем 5 документам (через защищенный портал) в форматах PDF/PNG, что соответствует требованию ISO 27001 (Приложение A.18.2.3) о «предоставлении доказательств соответствия заинтересованным сторонам».

Почему выбирают Eyingbao? — Надежная основа для глобального роста

При оценке маркетинговых технологий «безопасность» должна быть не затратной статьей, а рычагом роста. Eyingbao обслуживает 10 000+ компаний из 32 стран (28% — клиенты из ЕС), ее архитектура поддерживает сертификации ISO 27001, SOC 2 Type II и отраслевые стандарты (например, HIPAA для медицинских компаний).

Мы предлагаем три проверяемых обязательства: во-первых, в течение 7 рабочих дней после подписания контракта новый клиент получает доступ к защищенному порталу и проходит первичный GDPR-аудит; во-вторых, все проекты включают бесплатный пентест от iThreat Labs; в-третьих, для международных корпораций мы предоставляем отчеты о соответствии на уровне дочерних компаний.

Для получения скана сертификата ISO 27001, White Paper о соответствии AWS Франкфурт или организации пентеста API, свяжитесь с вашим менеджером или напишите на security@eyingbao.com — мы обеспечим техническую поддержку в течение 48 часов.