Este artículo está escrito y contribuido por Derek Osgood, CEO de Ignition, un orgulloso socio de Secureframe.

Cumplir con todos los requisitos de cumplimiento de SOC 2 puede ser una tarea desalentadora, especialmente para las empresas tecnológicas en etapa temprana que están iterando rápidamente con recursos limitados.

Un elemento a menudo pasado por alto del cumplimiento de SOC 2 son los requisitos de comunicación externa con los clientes.

Puede ser fácil olvidar estos componentes críticos cuando se trabaja para garantizar que los procedimientos de seguridad técnica sean adecuados, pero son importantes para una auditoría SOC 2 exitosa. Afortunadamente, satisfacer el componente orientado al cliente no es difícil, si tienes las herramientas adecuadas.

¿Qué prácticas de comunicación con los clientes son necesarias para el cumplimiento de SOC 2?

Las prácticas de comunicación con clientes para SOC 2 (CC2) incluyen una serie de requisitos sobre los estándares de comunicación tanto para audiencias internas como externas. Como tu principal audiencia externa, las prácticas de comunicación con clientes son un componente crítico para cumplir con este requisito.

Bajo las directrices de CC2 de SOC 2, debes informar a tus clientes sobre los cambios en tu producto o servicio. Esto significa que necesitas un proceso establecido para notificarles cuando ocurran cambios, incluyendo:

• Cambios en la funcionalidad
• Nuevas o eliminadas características
• Advertencias sobre riesgos u otros posibles problemas, como una interrupción del servicio
• Cambios en los términos del servicio, precios o contratos

Mantener un registro de cambios público es una forma común de cumplir con este requisito de comunicación.

¿Cómo puede un registro público de cambios ayudar a cumplir con los requisitos de comunicación SOC 2?

Un registro de cambios es un documento que registra los cambios en un producto. Usualmente hay una versión de esto que se utiliza internamente por equipos de software y producto para compartir actualizaciones en toda la organización, pero también pueden ser herramientas poderosas para comunicarse con clientes e incluso prospectos.

Conceptualmente, un registro público de cambios (a menudo también llamado "notas de lanzamiento") es básicamente lo mismo que los registros de cambios internos, solo que más pulido para la comunicación con clientes y visible fuera de tu organización.

Por lo general, se alojan en tu sitio web o en el propio producto, y están escritos pensando en los usuarios finales. Proporcionan información sobre nuevas características, corrección de errores y otras actualizaciones que podrían afectar cómo alguien usa tu aplicación o sitio web.

Un registro público de cambios es una excelente manera de cumplir con el requisito de comunicación SOC 2 porque proporciona un registro transparente y fácilmente descubrible de las actualizaciones.

Los clientes pueden fácilmente consultar qué se ha actualizado recientemente, y los auditores pueden ver que tu empresa ya tiene un proceso proactivo para mantener informados a los clientes simplemente visitando el enlace. Simplemente alojar un registro público de cambios actualizado regularmente puede marcar inmediatamente la casilla para tu requisito de comunicación con clientes SOC 2 CC2.

Cómo los changelogs públicos pueden mejorar el proceso de salida al mercado de nuevos productos y características.

Los beneficios de los changelogs públicos van más allá de satisfacer los requisitos de SOC 2. También actúan como poderosas palancas para la salida al mercado de nuevos productos y características. Ayudan a mantener a los clientes contentos al proporcionar una comunicación clara sobre los cambios en el producto, lo que puede reducir la rotación y mejorar la satisfacción del cliente.

Dar a los clientes una fuente clara de información sobre lo nuevo de tu producto tiene algunos beneficios importantes:

• Reduce las solicitudes de soporte, porque los usuarios saben a dónde acudir cuando quieren más información sobre cómo han cambiado sus características favoritas a lo largo del tiempo (o si están experimentando problemas).
• Un canal de comunicación claro ayuda a reducir la rotación, porque los usuarios sentirán confianza en que la empresa está mejorando sus productos basándose en la retroalimentación y necesidades de los usuarios.
• Los changelogs públicos facilitan que prospectos y clientes consulten actualizaciones pasadas para que puedan ver qué ha cambiado recientemente antes de decidir si compran tu producto o actualizan. Demostrar la velocidad del producto puede ser un factor clave en las decisiones de compra y ayudar a aumentar las conversiones de ventas.

Mejores prácticas para changelogs públicos

Cuando usas un changelog público, hay algunas mejores prácticas que debes tener en cuenta:

• Hazlo fácil de encontrar para los clientes. Aloja tu changelog en tu sitio web en una sección "¿Qué hay de nuevo?", o alójalo dentro de tu producto en un lugar igualmente fácil de encontrar. Intenta usar insignias de notificación para llamar la atención sobre ello también.
• Usa un formato estándar. Puedes usar cualquier formato que desees internamente, pero cuando publiques tus changelogs de manera pública, asegúrate de que sigan un esquema común para que los clientes y prospectos no tengan problemas para entenderlos. También es una buena idea usar un lenguaje conversacional, libre de jerga, que sea fácil para los usuarios de leer rápidamente.
• No lo construyas desde cero. Una herramienta prefabricada te ayudará a crear fácilmente una experiencia agradable y de marca para los clientes, e incluirá más funciones de automatización e informes que pueden ser útiles a medida que creces.
• Incluye contexto. Vincula a otras fuentes de información, como documentos del centro de ayuda, que expliquen en profundidad cómo usar la característica. Intenta incluir imágenes, gifs o videos que ayuden al lector a entender el valor de lo que se ha lanzado y cómo usarlo.
• Sé constante con las actualizaciones. Esto ayudará a garantizar que los usuarios no se pierdan nada importante y los alentará a regresar regularmente para verificar nuevas actualizaciones.

Otras formas de cumplir con los requisitos de comunicación del cliente de SOC 2

Aunque los changelogs públicos son una de las formas más fáciles y efectivas de cumplir con el requisito de comunicación del cliente de SOC 2, hay otras opciones que también puedes aprovechar:

• Enviar un boletín mensual a los clientes
• Envíe correos electrónicos dedicados a los clientes cada vez que se lancen nuevas funciones
• Utilice notificaciones y banners dentro del producto
• Utilice recorridos del producto o descripciones emergentes dentro del producto
• Publique entradas de blog anunciando sus actualizaciones de funciones
• Organice una conferencia de usuarios trimestral
• Publique seminarios web

Cumpla con los requisitos de SOC 2 con Ignition + Secureframe

Aunque la comunicación con los clientes es solo un aspecto del cumplimiento de SOC 2 CC2, puede ser desalentador desde una perspectiva de esfuerzo. La buena noticia es que, con un proceso efectivo de registro de cambios público en su lugar, este esfuerzo puede volverse mucho más manejable, al mismo tiempo que mejora su efectividad de salida al mercado, el compromiso de los clientes y las tasas de retención.

Con la plataforma completa de salida al mercado de Ignition, puede crear fácilmente registros de cambios con marca para compartir actualizaciones con los clientes y recopilar conocimientos prácticos de los usuarios. Las juntas de votación de productos públicos facilitan la recopilación y priorización de ideas de productos utilizando comentarios reales de los clientes.

La plataforma de automatización de cumplimiento de Secureframe ayuda a las empresas a lograr el cumplimiento con el conjunto completo de requisitos de SOC 2 en semanas, no meses. Más de 150 integraciones con herramientas de negocios populares recolectan automáticamente evidencias de auditoría. Cree su biblioteca de políticas de cumplimiento con nuestra biblioteca de plantillas aprobadas por auditores, complete la capacitación en seguridad de los empleados dentro de la plataforma y obtenga ayuda en cada paso con nuestro equipo de expertos internos y exauditores. Aprenda más sobre la automatización del cumplimiento de SOC 2 para ver si es adecuado para su organización.