تكريس للأمان: حصلت Braze على شهادة ISO 27001 وأتمت بنجاح تدقيق SOC 2 Type 2

لطالما كان الأمان وخصوصية البيانات محورًا رئيسيًا لنا في Braze.

في عام 2011 ، عندما كنا نبني الإصدار الأول من iOS SDK الخاص بنا ، اتخذت شركتنا قرارًا صريحًا بعدم جمع المعرف العالمي الفريد (UUID) المرتبط بكل جهاز iOS ، والذي يمكن أن تقرأه التطبيقات للتتبع مستخدم عبر تطبيقات مختلفة لأغراض الدعاية. لماذا ا؟ كنا نعتقد أن مستقبلًا منظمًا متزايدًا وتغييرًا بحريًا قادمًا في الرأي العام سيزيد من التدقيق في بيانات مستخدمي الهاتف المحمول. ومن المؤكد أن Apple أوقفت استخدام UUID مع iOS 5 ، مما خلق موجة من التحديات للعديد من شركات الهاتف المحمول - ولكن ليس لـ Braze.

الحقيقة هي أن نهجنا تجاه قضايا الأمان وخصوصية البيانات كان دائمًا متعمدًا وموجهًا نحو المدى الطويل ، كما يتضح من النهج الذي اتخذناه تجاه اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). لأكثر من خمس سنوات ، استعانت Braze بشركات أمنية مستقلة لإجراء اختبارات اختراق من طرف ثالث توفر شهادة خارجية للأمان والضوابط التي تحكم المنتج. مرة أخرى في عام 2016 ، عملنا مع خبراء من جهات خارجية على قانون نقل التأمين الصحي والمساءلة في الولايات المتحدة لعام 1996 (HIPAA) لبناء عرض امتثال HIPAA لمنتجنا ، وفي عام 2017 ، أكملنا تحكمًا ناجحًا في منظمة الخدمة (SOC) 2 فحص النوع 1. كل هذه الجهود هي جزء من تركيزنا على التحسينات المستمرة والتدريجية لنهج Braze للأمن.

والآن ، بعد عملية طويلة وشاملة ، أنا فخور بأن أشارك أن Braze قد أكملت بنجاح تدقيق SOC 2 Type 2 وشهادة ISO 27001 خلال السنة التقويمية 2018. تعني هذه الخطوات الأمنية الرئيسية الجديدة أنه يمكن لعملائنا أن يشعروا بمزيد من الثقة بأننا نفعل ما نقول إننا نفعله فيما يتعلق بضوابطنا الأمنية.

ما هو SOC 2؟

يحدد معيار SOC 2 ، الذي يشرف عليه المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) ، متطلبات الامتثال فيما يتعلق بضوابط أمان شركة معينة ، مما يضمن أن الشركة قد وضعت سياسات وإجراءات صارمة لأمن المعلومات تغطي خمسة مبادئ خدمة Trust :

• التوفر
• حماية
• نزاهة المعالجة
• سرية
• خصوصية

عندما تخضع شركة لتدقيق SOC 2 ، يُطلب منها تحديد كيفية تصميم عملياتها وضوابطها الأمنية لتلبية معايير مبدأ خدمة Trust Service معين. ثم تتم مراجعة هذه الضوابط من قبل مدقق خارجي لتقييم مدى ملاءمة هذه الضوابط الأمنية عندما يتعلق الأمر بالتصميم وفعالية التشغيل. في نهاية المطاف ، تركز عملية الامتثال SOC 2 على كيفية تعامل منظمة معينة مع مخاطر أمن المعلومات ، وكيف تضمن وجود الضوابط المناسبة للتخفيف من تلك المخاطر إلى مستويات مقبولة.

عملية SOC 2 هي تدقيق فني ، حيث يُصدر مدقق الطرف الثالث تقرير تصديق يصف جوانب الرقابة الأمنية للشركة. الجزء الأول من التدقيق ، المعروف باسم SOC 2 Type 1 ، هو ما يسمى بمراجعة "النقطة الزمنية" ، حيث تقوم شركة التدقيق المستقلة بمراجعة الوثائق والأنظمة والضوابط المعمول بها ، وتطلب دليلًا على استخدامها الحالي. إذا كان الدليل الذي تقدمه الشركة يدل على أن لديها نظام إدارة أمن معلومات مصمم بشكل مناسب ، فعادة ما يكملون تدقيق النوع 1 - يمكنك التفكير في النوع 1 كشخص يقول ، "تبدو عناصر التحكم في الأمان هذه جيدة ... وإذا كان هذا الأمان الضوابط المستخدمة بالفعل ، فأنا أتوقع أن الشركة سوف تخفف بشكل مقبول من مخاطر المعلومات ".

من ناحية أخرى ، تتم مراجعة SOC 2 Type 2 على مدى فترة أطول - ستة أشهر على الأقل. كانت فترة تدقيق SOC 2 Type 2 لـ Braze من 1 يناير 2018 حتى 30 يونيو 2018. خلال هذا الوقت ، عمل موظفو Braze بطريقة يومية عادية امتثلت لعناصر التحكم التي حددناها في النوع 1 .

ثم في يوليو 2018 ، جاء مدقق خارجي إلى الموقع لإعادة مراجعة وصف ضوابط أمان Braze وطلب أخذ عينات عشوائية من الأدلة على استخدام تلك الضوابط على مدى الأشهر الستة السابقة للتحقق من الالتزام. في إطار هذه العملية ، يتطلع المدقق إلى التأكد من أن ما تقول الشركة إنها تفعله يعكس ما تفعله في الواقع: "أنت تقول إن جميع الموظفين الجدد يخضعون لفحص الخلفية الجنائية؟ أعطني قائمة بالتعيينات الجديدة وسأختار عددًا قليلاً منهم بشكل عشوائي ، وسنرى ما إذا كان بإمكانك تزويدني بدليل على قيامك بفحوصات الخلفية الخاصة بهم. أنت تقول أنه تمت مراجعة جميع تغييرات التعليمات البرمجية قبل نشرها في الإنتاج؟ أعطني قائمة بجميع التغييرات في الشفرة من الأشهر الماضية ، وسأختار القليل منها بشكل عشوائي ، وبعد ذلك سأطلب منك تقديم دليل على سلسلة الموافقة ".

إن هذا التركيز على كيفية عمل ضوابط أمان الشركة في الواقع مقابل الطريقة التي تقول بها الشركة أنها تعمل هو ما يجعل SOC2 Type 2 بمثابة إثبات قوي لعمليات الشركة.

ما هو ISO 27001؟

على عكس SOC 2 ، وهو تقرير تصديق يوثق ضوابط الأمان ، تؤكد شهادة ISO 27001 أن المنظمة أجرت تقييمًا شاملاً للمخاطر الأمنية وأنشأت نظام إدارة أمن المعلومات (ISMS) الذي يتوافق مع المتطلبات المنصوص عليها في معيار إدارة أمن المعلومات العالمي للمنظمة الدولية للتوحيد القياسي (ISO).

ISMS عبارة عن إطار عمل ومجموعة ذات صلة من السياسات والإجراءات المصممة لإدارة مخاطر المؤسسة والمعلومات السرية ونهج الأمان. يوفر ISO 27001 مخططًا تفصيليًا للمتطلبات الإلزامية التي يجب أن يكون لدى ISMS ، مثل ضوابط الأمن المادي والبيئي ، وعلاقات الموردين ، والتحكم في الوصول ، وأمن الموارد البشرية ، وإدارة الحوادث ، والمزيد.

تم الحصول على شهادة ISO 27001 الخاصة بنا خلال الربع الرابع من عام 2018 ، عندما أجرى مدقق خارجي تقييمًا شاملاً لـ Braze للتأكد مما يلي:

• تلتزم Braze بسياساتها وكائناتها وإجراءاتها الأمنية
• يتوافق نظام Braze ISMS مع جميع متطلبات معيار ISO 27001
• يحقق Braze ISMS بنجاح جميع أهداف السياسة التي حددتها Braze فيما يتعلق بإدارة أمن المعلومات

بعد الانتهاء بنجاح من تدقيق الطرف الثالث هذا ، حصلت Braze على شهادة ISO 27001 المعتمدة في نهاية العام الماضي.

للمضي قدما

يسر Braze أن تجعل كلاً من تقرير SOC 2 Type 2 ، الذي يصف نتائج تدقيقنا من النوع 2 ، وشهادة ISO 27001 الخاصة بنا متاحة لعملاء Braze عند الطلب.

نحن نعمل باستمرار على تقييم الأمان في Braze ونبحث عن طرق إضافية لإظهار المستوى العالي من الالتزام بالأمان وخصوصية البيانات التي تشتهر بها شركتنا ، وقد توقع عملاؤنا ذلك. كجزء من هذا الجهد ، التزمت Braze بالخضوع لتدقيق SOC 2 Type 2 على أساس سنوي ، جنبًا إلى جنب مع عمليات تدقيق المراقبة لـ ISO 27001 واختبارات الاختراق المنتظمة الخاصة بطرف ثالث. جهود الامتثال المستقبلية جارية ، ونحن متحمسون لمشاركتها معك في عام 2019.