Ledger, popolare azienda produttrice di hardware wallet, ha recentemente annunciato di aver passato un’importante valutazione di sicurezza, nota come SOC 2 Type 1. Questa certificazione arriva in seguito ad un grave data breach subito dall'azienda nel mese di giugno. Secondo il commento di un portavoce dell’impresa, Ledger non ha tuttavia deciso di condurre la verifica come causa diretta della violazione:
"Ledger cerca sempre di innalzare gli standard di sicurezza e lavorava per ottenere l'attestazione già da prima del data breach."
La notizia del superamento dell'audit SOC 2 Type 1 da parte di Ledger è arrivata ad ottobre, fornendo così al mercato una iniezione di fiducia basata su un affidabile benchmark di sicurezza mainstream.
Il portavoce di Ledger ha spiegato:
"L'attestazione SOC 2 valuta sia il sistema, in questo caso il Ledger Vault, sia l'organizzazione, cioè Ledger nel suo complesso. Quindi, anche se il SOC 2 Type 1 si applica solo al Ledger Vault, ad essere sottoposta ad audit (in merito all’inserimento dei collaboratori, alle interazioni con terze parti, ecc.) è stata la società nel suo complesso”.
A luglio, Ledger era stata messa al corrente di una vulnerabilità nel database, che è stata rapidamente corretta. La società, tuttavia, ha anche scoperto un precedente data breach molto grave, verificatasi a giugno, che ha fatto trapelare i nomi, gli indirizzi ed altre informazioni potenzialmente sensibili di migliaia di clienti.
Kristy-Leigh Minehan, ex CTO di Core Scientific, ha dichiarato a Cointelegraph:
"SOC2 Type 1 valuta la progettazione di un processo (o di processi) di sicurezza in un determinato momento (o a partire da una data specifica).
La valutazione è valida solo fino al momento in cui viene eseguito il test, non necessariamente fino a quanto viene convalidato il risultato."