Una dedicación a la seguridad: Braze recibe la certificación ISO 27001 y completa con éxito la auditoría SOC 2 Tipo 2

Publicado: 2019-01-30

La seguridad y la privacidad de los datos siempre han sido un enfoque clave para nosotros en Braze.

Allá por 2011, cuando estábamos construyendo la primera versión de nuestro SDK de iOS, nuestra empresa tomó la decisión explícita de no recopilar el identificador universal único (UUID) asociado con cada dispositivo iOS, que las aplicaciones podrían leer para rastrear un usuario a través de diferentes aplicaciones con fines publicitarios. ¿Por qué? Creíamos que un futuro cada vez más regulado y un cambio radical de opinión pública que se avecina aumentaría el escrutinio de los datos de los usuarios móviles. Y, por supuesto, Apple desechó el UUID con iOS 5, lo que generó una serie de desafíos para muchas empresas de telefonía móvil, pero no para Braze.

La verdad es que nuestro enfoque de los problemas de seguridad y privacidad de datos siempre ha sido deliberado y orientado hacia el largo plazo, como lo demuestra el enfoque que adoptamos para el Reglamento General de Protección de Datos (RGPD) de la UE. Durante más de cinco años, Braze ha contratado empresas de seguridad independientes para realizar pruebas de penetración de terceros que brindan una certificación externa de la seguridad y los controles que rigen el producto. En 2016, trabajamos con expertos externos en la Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU. de 1996 (HIPAA) para desarrollar una oferta de cumplimiento de HIPAA de nuestro producto, y en 2017, completamos con éxito un Control de Organización de Servicios (SOC) 2 Examen tipo 1. Todos estos esfuerzos son parte de nuestro enfoque en mejoras continuas e incrementales del enfoque de seguridad de Braze.

Y ahora, después de un proceso largo y minucioso, me enorgullece compartir que Braze completó con éxito su auditoría SOC 2 Tipo 2 y la certificación ISO 27001 durante el año calendario 2018. Estos nuevos pasos clave de seguridad significan que nuestros clientes pueden sentirse aún más seguros de que hacemos lo que decimos que hacemos con respecto a nuestros controles de seguridad.

¿Qué es el SOC 2?

El estándar SOC 2, supervisado por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA), establece requisitos de cumplimiento en relación con los controles de seguridad de una empresa determinada, lo que garantiza que la empresa haya establecido políticas y procedimientos estrictos de seguridad de la información que cubren cinco Principios de servicio de confianza. :

  • Disponibilidad
  • Seguridad
  • Integridad de procesamiento
  • Confidencialidad
  • Privacidad

Cuando una empresa se somete a una auditoría SOC 2, se le pide que describa cómo sus procesos y controles de seguridad están diseñados para cumplir con los criterios de un Principio de servicio de confianza determinado. Luego, estos controles son revisados ​​por un auditor externo para evaluar la idoneidad de esos controles de seguridad en lo que respecta al diseño y la eficacia operativa. En última instancia, el proceso de cumplimiento de SOC 2 se centra en cómo una organización determinada aborda los riesgos de seguridad de la información y cómo garantiza que se implementen los controles adecuados para mitigar esos riesgos a niveles aceptables.

El proceso SOC 2 es una auditoría técnica, donde el auditor externo produce un informe de atestación que describe aspectos del control de seguridad de la empresa. La primera parte de la auditoría, conocida como SOC 2 Tipo 1, es la llamada auditoría de "punto en el tiempo", donde la firma de auditoría independiente revisa la documentación, los sistemas y los controles existentes y solicita evidencia de su uso actual. Si la evidencia que proporciona una empresa demuestra que tiene un sistema de administración de seguridad de la información diseñado adecuadamente, generalmente completará la auditoría Tipo 1; puede pensar en el Tipo 1 como alguien que dice: "Estos controles de seguridad se ven bien... y si estos controles de seguridad los controles se utilizan realmente, entonces espero que la empresa mitigue aceptablemente el riesgo de información”.

La auditoría SOC 2 Tipo 2, por otro lado, se lleva a cabo durante un período más largo, al menos seis meses. El período de auditoría SOC 2 Tipo 2 para Braze fue del 1 de enero de 2018 al 30 de junio de 2018. Durante este tiempo, el personal de Braze operó de manera normal día a día y cumplió con los controles que habíamos descrito en el Tipo 1 .

Luego, en julio de 2018, un auditor externo vino al lugar para volver a revisar la descripción de los controles de seguridad de Braze y solicitó una muestra aleatoria de evidencia del uso de esos controles durante los seis meses anteriores para verificar el cumplimiento. Bajo este proceso, el auditor busca asegurarse de que lo que una empresa dice que está haciendo refleja lo que realmente está haciendo: “¿Usted dice que a todos los nuevos empleados se les realiza una verificación de antecedentes penales? Dame una lista de nuevos empleados y elegiré algunos al azar, y veremos si puedes proporcionarme evidencia de que hiciste sus verificaciones de antecedentes. ¿Dices que todos los cambios de código se revisan antes de implementarlos en producción? Dame una lista de todos los cambios de código de los últimos meses, elegiré algunos al azar y luego te pediré que me proporciones evidencia de la cadena de aprobación".

Es este enfoque en cómo funcionan realmente los controles de seguridad de una empresa frente a cómo la empresa dice que funcionan lo que hace que SOC2 Tipo 2 sea una validación tan fuerte de los procesos de una empresa.

¿Qué es ISO 27001?

A diferencia de SOC 2, que es un informe de atestación que documenta los controles de seguridad, una certificación ISO 27001 afirma que una organización ha realizado una evaluación integral de los riesgos de seguridad y ha creado un Sistema de gestión de seguridad de la información (SGSI) que cumple con los requisitos establecidos en el Estándar de gestión de seguridad de la información global de la Organización Internacional para la Estandarización (ISO).

Un SGSI es un marco y un conjunto relacionado de políticas y procedimientos diseñados para gestionar el riesgo, la información confidencial y el enfoque de seguridad de una organización. ISO 27001 proporciona un resumen de los requisitos obligatorios que debe tener un SGSI, como controles de seguridad física y ambiental, relaciones con proveedores, control de acceso, seguridad de recursos humanos, gestión de incidentes y más.

Nuestra certificación ISO 27001 tuvo lugar durante el cuarto trimestre de 2018, cuando un auditor externo realizó una evaluación exhaustiva de Braze para confirmar que:

  • Braze se adhiere a sus propias políticas, objetos y procedimientos de seguridad.
  • El SGSI de Braze cumple con todos los requisitos de la norma ISO 27001
  • Braze ISMS logra con éxito todos los objetivos de política establecidos por Braze en relación con la gestión de la seguridad de la información.

Luego de completar con éxito esa auditoría de terceros, Braze recibió una certificación ISO 27001 acreditada a fines del año pasado.

Avanzando

Braze se complace en poner nuestro Informe SOC 2 Tipo 2, que describe los resultados de nuestra auditoría Tipo 2, y nuestra certificación ISO 27001 a disposición de los clientes de Braze que lo soliciten.

Evaluamos constantemente la seguridad en Braze y buscamos formas adicionales de mostrar el alto nivel de compromiso con la seguridad y la privacidad de los datos que caracteriza a nuestra empresa y que nuestros clientes esperan. Como parte de ese esfuerzo, Braze se ha comprometido a someterse a la auditoría SOC 2 Tipo 2 anualmente, junto con las auditorías de vigilancia para ISO 27001 y nuestras pruebas regulares de penetración de terceros. Los futuros esfuerzos de cumplimiento están en marcha y nos complace compartirlos con usted en 2019.