SOC 2合规性与Supabase

Supabase 已通过系统和组织控制 2 (SOC 2) Type 2 合规认证，并每年接受评估以确保持续符合 SOC 2 安全框架要求。SOC 2 评估 Supabase 在安全、可用性、处理完整性、保密性和隐私方面的控制措施实施情况。这些控制措施定义了平台客户数据管理和存储的要求。作为服务提供商，Supabase 将这些控制措施应用于两个客户数据环境。

第一个环境是客户与 Supabase 的关系，这涉及平台对客户数据的管理。所有账单、联系信息、使用数据和合同信息都按照 SOC 2 要求进行管理和存储。

第二个环境是 Supabase 为客户提供的后端即服务（产品）。Supabase 实施 SOC 2 框架中的控制措施来确保平台安全性，该平台托管的后端即服务（产品）包括 Postgres 数据库、存储、认证、实时功能、边缘函数和数据 API 等功能。Supabase 可以确认产品中托管客户数据的环境符合 SOC 2 要求，且该环境（产品）内的数据管理和存储受到严格控制并保持安全。

Supabase 的 SOC 2 合规性不适用于 Supabase 产品或控制范围之外的环境。这被称为安全或合规边界，构成 Supabase 与客户共同遵循的"责任共担模型"的一部分。

SOC 2 不涵盖也不替代《健康保险可携性和责任法案》(HIPAA) 的合规要求。处理受保护健康信息 (PHI) 的组织必须与 Supabase 签署《商业伙伴协议》(BAA) 并启用 HIPAA 附加功能。

我们的 HIPAA 文档提供了关于 Supabase 上 HIPAA 责任和要求的更多信息。

满足合规要求

SOC 2合规性是Supabase和客户数据安全的关键方面。实现完全SOC 2合规是一项共同责任，以下是双方的责任划分：

Supabase的责任

安全措施：Supabase实施强有力的安全控制措施来保护客户数据。这些措施包括防止数据泄露，确保平台管理和存储信息的机密性和完整性。Supabase有义务对安全风险保持警惕，并通过定期审计证明我们的安全措施符合行业标准。
合规审计：Supabase每年接受SOC 2审计，以验证我们的数据管理实践是否符合信任服务标准(TSC)，包括安全性、可用性、处理完整性、机密性和隐私性。这些审计由独立第三方执行。
事件响应：Supabase制定了事件响应计划，以有效处理数据泄露事件。该计划概述了组织如何检测问题、响应事件和管理系统漏洞。
报告：成功通过审计后，Supabase会收到详细说明合规状态的SOC 2报告。该报告以SOC 2 Type 2报告的形式提供给客户，使客户和利益相关者能够确认Supabase已实施充分且必要的保障措施来保护敏感信息。

客户责任

合规要求：了解您自身的合规要求。虽然SOC 2合规并非法律强制要求，但许多企业客户要求其供应商提供SOC 2报告。这是因为该报告能确保供应商已实施强有力的控制措施来保护客户数据。
尽职调查：客户在选择Supabase作为供应商时必须进行尽职调查。这包括审查SOC 2 Type 2报告以确保Supabase符合预期的安全标准。客户还应了解自身与Supabase之间的责任划分，避免重复工作。
监控与审查：客户应定期监控和审查Supabase的合规状态。
控制合规：若客户需要达到SOC 2合规标准，则应自行实施必要的控制措施并接受SOC 2审计。

共同责任

数据安全：客户和Supabase共同承担确保数据安全的责任。虽然作为供应商的Supabase会实施安全控制措施，但客户必须确保其对Supabase平台的使用不会破坏这些控制措施。
控制合规：Supabase通过SOC 2认证声明已满足所有必要的安全控制要求。希望达到SOC 2合规的客户需自行进行SOC 2审计，以验证客户端的控制措施是否到位。

总之，SOC 2合规需要Supabase与客户共同承担责任，以确保数据的安全性和完整性。作为供应商，Supabase必须实施并维护强有力的安全措施；客户则需进行尽职调查、监控Supabase的合规状态，同时实施自身的合规控制措施来保护敏感信息。

常见问题

Supabase SOC 2审计频率是多少？

Supabase已获得SOC 2 Type 2认证，这意味着Supabase的控制措施每年都会接受全面审计。审计完成后，审计报告会立即发布。Supabase向企业版和团队版计划客户提供SOC 2 Type 2报告。该审计报告覆盖连续12个月的时间窗口（称为审计周期），从每年3月1日持续至次年2月28日。

如何获取Supabase的SOC 2 Type 2报告？

要获取SOC 2 Type 2报告，您必须是Supabase企业版或团队版计划的客户。报告可从组织控制面板的法律文件部分下载。

Supabase通过SOC 2认证为何重要？

SOC 2用于确认服务商已实施控制措施来确保数据的正确管理和存储。SOC 2提供了一个框架来衡量服务提供商的安全性，并每年对其进行重新评估。这为客户提供了信心和保证，确保存储在Supabase平台上的数据得到正确保护和管理。

如果Supabase的SOC 2认证不转移给客户，为何认证仍然重要？

尽管Supabase的SOC 2合规性不会延伸到产品之外，但它确实能保证产品内的所有数据都得到正确管理和存储。Supabase可以确保只有授权人员才能访问数据，并已实施安全控制措施来预防、检测和应对数据入侵。这构成了客户自身遵守SOC 2框架的一部分，并减轻了客户在数据管理和存储方面的负担。许多企业的安全和风险部门都要求所有供应商或子处理器必须通过SOC 2认证。

什么是安全或合规边界？

这定义了共享责任模型中Supabase与客户在数据安全方面的责任边界。存储在Supabase产品中、位于安全边界Supabase一侧的客户数据由Supabase管理和保护。Supabase确保在此环境内数据的处理与存储安全，包括防止未授权访问的控制措施、数据访问监控、告警机制、数据备份和冗余等。位于边界客户一侧的数据（即进出Supabase产品的数据）则由客户负责。此类数据在Supabase之外的管理和可能的存储应由客户执行，相关的安全与合规控制也属于客户责任范围。

我们有严格的数据驻留要求。Supabase SOC 2是否涵盖数据驻留？

虽然SOC 2本身不强制规定特定的数据驻留要求，但组织仍可能需要遵守其他监管框架（如GDPR）的相关规定。确保项目部署在正确区域是客户的责任，因为每个Supabase项目都会部署到客户创建时指定的区域。所有数据将保留在所选区域内。虽然可以创建读取副本来实现多区域可用性，但客户仍需负责确保为读取副本选择的区域符合其他监管框架要求的地理范围。

SOC 2认证是否涵盖健康相关数据(HIPAA)?

SOC 2认证不针对特定行业，它提供了一个数据安全和隐私的通用框架。然而在处理受保护医疗信息(PHI)时，这通常是不够的，因为PHI需要额外的隐私保护和法律管控措施。当涉及美国境内或美国客户的PHI数据时，HIPAA合规是强制要求。