• Startseite
  • Artikel
  • Marketing
  • Ein Engagement für Sicherheit: Braze erhält die ISO 27001-Zertifizierung und schließt das SOC 2 Typ 2-Audit erfolgreich ab

Ein Engagement für Sicherheit: Braze erhält die ISO 27001-Zertifizierung und schließt das SOC 2 Typ 2-Audit erfolgreich ab

Veröffentlicht: 2019-01-30

Sicherheit und Datenschutz waren für uns bei Braze schon immer ein zentrales Thema.

Bereits im Jahr 2011, als wir die allererste Version unseres iOS-SDK erstellten, traf unser Unternehmen die ausdrückliche Entscheidung, die eindeutige universelle Kennung (UUID) nicht zu erfassen, die mit jedem iOS-Gerät verknüpft ist und von zu verfolgenden Anwendungen gelesen werden kann einem Benutzer über verschiedene Anwendungen hinweg zu Werbezwecken. Wieso den? Wir waren der Überzeugung, dass eine zunehmend regulierte Zukunft und ein bevorstehender grundlegender Wandel der öffentlichen Meinung die Überprüfung mobiler Benutzerdaten verstärken würden. Und tatsächlich hat Apple die UUID mit iOS 5 als veraltet markiert, was viele Mobilfunkunternehmen vor eine Reihe von Herausforderungen gestellt hat – aber nicht für Braze.

Fakt ist, dass wir Sicherheits- und Datenschutzfragen schon immer bewusst und langfristig angegangen sind, wie unser Umgang mit der EU-Datenschutz-Grundverordnung (DSGVO) zeigt. Seit mehr als fünf Jahren hat Braze unabhängige Sicherheitsfirmen damit beauftragt, Penetrationstests von Drittanbietern durchzuführen, die eine externe Bestätigung der Sicherheit und der Kontrollen des Produkts liefern. Bereits 2016 haben wir mit externen Experten am US Health Insurance Portability and Accountability Act von 1996 (HIPAA) gearbeitet, um ein HIPAA-konformes Angebot unseres Produkts aufzubauen, und 2017 haben wir eine erfolgreiche Service Organization Control (SOC) durchgeführt. 2 Prüfung Typ 1. All diese Bemühungen sind Teil unseres Fokus auf kontinuierliche, inkrementelle Verbesserungen des Sicherheitsansatzes von Braze.

Und jetzt, nach einem langen und gründlichen Prozess, bin ich stolz, Ihnen mitteilen zu können, dass Braze sein SOC 2 Typ 2-Audit und seine ISO 27001-Zertifizierung im Kalenderjahr 2018 erfolgreich abgeschlossen hat. Diese wichtigen neuen Sicherheitsmaßnahmen bedeuten, dass unsere Kunden sich noch sicherer fühlen können, dass wir in Bezug auf unsere Sicherheitskontrollen das tun, was wir sagen.

Was ist SOC2?

Der SOC 2-Standard, der vom American Institute of Certified Public Accountants (AICPA) überwacht wird, legt Compliance-Anforderungen in Verbindung mit den Sicherheitskontrollen eines bestimmten Unternehmens fest und stellt sicher, dass das Unternehmen strenge Informationssicherheitsrichtlinien und -verfahren eingeführt hat, die fünf Vertrauensdienstprinzipien abdecken :

  • Verfügbarkeit
  • Sicherheit
  • Verarbeitungsintegrität
  • Vertraulichkeit
  • Privatsphäre

Wenn sich ein Unternehmen einem SOC 2-Audit unterzieht, wird es gebeten, darzulegen, wie seine Sicherheitsprozesse und -kontrollen gestaltet sind, um die Kriterien für ein bestimmtes Trust-Service-Prinzip zu erfüllen. Anschließend werden diese Kontrollen von einem externen Prüfer überprüft, um die Eignung dieser Sicherheitskontrollen in Bezug auf Design und Betriebseffizienz zu beurteilen. Letztendlich konzentriert sich der SOC 2-Compliance-Prozess darauf, wie eine bestimmte Organisation Informationssicherheitsrisiken angeht und wie sie sicherstellt, dass angemessene Kontrollen vorhanden sind, um diese Risiken auf ein akzeptables Maß zu mindern.

Der SOC 2-Prozess ist ein technisches Audit, bei dem der externe Prüfer einen Bescheinigungsbericht erstellt, der Aspekte der Sicherheitskontrolle des Unternehmens beschreibt. Der erste Teil des Audits, bekannt als SOC 2 Typ 1, ist ein sogenanntes „Point-in-Time“-Audit, bei dem die unabhängige Wirtschaftsprüfungsgesellschaft vorhandene Dokumentationen, Systeme und Kontrollen überprüft und um Nachweise für deren aktuelle Verwendung bittet. Wenn die von einem Unternehmen vorgelegten Nachweise zeigen, dass es über ein angemessen gestaltetes Informationssicherheits-Managementsystem verfügt, wird es im Allgemeinen das Typ-1-Audit absolvieren – Sie können sich Typ 1 so vorstellen, als würde jemand sagen: „Diese Sicherheitskontrollen sehen gut aus … und wenn diese Sicherheit Kontrollen tatsächlich verwendet werden, dann gehe ich davon aus, dass das Unternehmen das Informationsrisiko akzeptabel mindern wird.“

Das SOC 2 Typ 2 Audit hingegen erstreckt sich über einen längeren Zeitraum – mindestens sechs Monate. Der Prüfzeitraum für SOC 2 Typ 2 für Braze war der 1. Januar 2018 bis zum 30. Juni 2018. Während dieser Zeit arbeiteten die Mitarbeiter von Braze auf normale Weise im Tagesgeschäft, wobei die Kontrollen eingehalten wurden, die wir in Typ 1 beschrieben hatten .

Dann kam im Juli 2018 ein externer Prüfer vor Ort, um die Beschreibung der Braze-Sicherheitskontrollen erneut zu überprüfen, und forderte eine Stichprobe von Beweisen für die Verwendung dieser Kontrollen in den letzten sechs Monaten an, um die Einhaltung zu überprüfen. Im Rahmen dieses Prozesses versucht der Prüfer sicherzustellen, dass das, was ein Unternehmen zu tun sagt, das widerspiegelt, was es tatsächlich tut: „Sie sagen, dass bei allen Neueinstellungen eine Überprüfung des kriminellen Hintergrunds durchgeführt wird? Geben Sie mir eine Liste der Neueinstellungen, und ich wähle zufällig ein paar aus, und wir werden sehen, ob Sie mir Beweise dafür liefern können, dass Sie ihre Zuverlässigkeitsüberprüfungen durchgeführt haben. Sie sagen, dass alle Codeänderungen überprüft werden, bevor sie in der Produktion bereitgestellt werden? Geben Sie mir eine Liste aller Code-Änderungen der letzten Monate, ich wähle zufällig ein paar aus und bitte Sie dann, mir einen Nachweis über die Genehmigungskette zu liefern.“

Es ist dieser Fokus darauf, wie die Sicherheitskontrollen eines Unternehmens tatsächlich funktionieren, im Vergleich zu dem, was das Unternehmen sagt, dass sie funktionieren, der SOC2 Typ 2 zu einer so starken Validierung der Prozesse eines Unternehmens macht.

Was ist ISO 27001?

Im Gegensatz zu SOC 2, bei dem es sich um einen Bescheinigungsbericht handelt, der Sicherheitskontrollen dokumentiert, bestätigt eine ISO 27001-Zertifizierung, dass eine Organisation eine umfassende Bewertung von Sicherheitsrisiken durchgeführt und ein Informationssicherheits-Managementsystem (ISMS) erstellt hat, das den darin festgelegten Anforderungen entspricht Der globale Informationssicherheitsmanagementstandard der International Organization for Standardization (ISO).

Ein ISMS ist ein Rahmenwerk und ein zugehöriger Satz von Richtlinien und Verfahren, die entwickelt wurden, um das Risiko, die vertraulichen Informationen und den Sicherheitsansatz einer Organisation zu verwalten. ISO 27001 bietet einen Überblick über obligatorische Anforderungen, die ein ISMS haben sollte, wie z. B. Kontrollen für physische Sicherheit und Umgebungssicherheit, Lieferantenbeziehungen, Zugangskontrolle, Personalsicherheit, Vorfallmanagement und mehr.

Unsere ISO 27001-Zertifizierung erfolgte im vierten Quartal 2018, als ein externer Prüfer eine gründliche Bewertung von Braze durchführte, um Folgendes zu bestätigen:

  • Braze hält sich an seine eigenen Sicherheitsrichtlinien, -ziele und -verfahren
  • Das Braze ISMS erfüllt alle Anforderungen der Norm ISO 27001
  • Das Braze ISMS erreicht erfolgreich alle von Braze festgelegten politischen Ziele im Zusammenhang mit dem Informationssicherheitsmanagement

Nach dem erfolgreichen Abschluss dieses Audits durch Dritte erhielt Braze Ende letzten Jahres eine akkreditierte ISO 27001-Zertifizierung.

Vorwärts gehen

Braze freut sich, Braze-Kunden auf Anfrage sowohl unseren SOC 2 Typ 2-Bericht, der die Ergebnisse unseres Typ 2-Audits beschreibt, als auch unsere ISO 27001-Zertifizierung zur Verfügung zu stellen.

Wir bewerten die Sicherheit bei Braze ständig und suchen nach zusätzlichen Möglichkeiten, um das hohe Maß an Engagement für Sicherheit und Datenschutz zu demonstrieren, für das unser Unternehmen bekannt ist und das unsere Kunden erwarten. Als Teil dieser Bemühungen hat sich Braze verpflichtet, sich jährlich dem SOC 2 Typ 2-Audit zu unterziehen, zusammen mit den Überwachungsaudits für ISO 27001 und unseren regelmäßigen Penetrationstests durch Dritte. Zukünftige Compliance-Bemühungen sind im Gange und wir freuen uns, sie 2019 mit Ihnen zu teilen.