Un dévouement à la sécurité : Braze reçoit la certification ISO 27001 et passe avec succès l'audit SOC 2 Type 2

La sécurité et la confidentialité des données ont toujours été au centre de nos préoccupations chez Braze.

Dès 2011, lorsque nous construisions la toute première version de notre SDK iOS, notre société a pris la décision explicite de ne pas collecter l'identifiant universel unique (UUID) associé à chaque appareil iOS, qui pourrait être lu par les applications pour suivre un utilisateur à travers différentes applications à des fins publicitaires. Pourquoi? Nous étions convaincus qu'un avenir de plus en plus réglementé et un changement radical à venir de l'opinion publique augmenteraient l'examen des données des utilisateurs mobiles. Et bien sûr, Apple a déprécié l'UUID avec iOS 5, créant une multitude de défis pour de nombreuses entreprises de téléphonie mobile, mais pas pour Braze.

La vérité est que notre approche des questions de sécurité et de confidentialité des données a toujours été délibérée et orientée vers le long terme, comme en témoigne l'approche que nous avons adoptée vis-à-vis du règlement général sur la protection des données (RGPD) de l'UE. Depuis plus de cinq ans, Braze fait appel à des sociétés de sécurité indépendantes pour effectuer des tests d'intrusion tiers fournissant une attestation externe de la sécurité et des contrôles régissant le produit. En 2016, nous avons travaillé avec des experts tiers sur la loi américaine de 1996 sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) pour élaborer une offre de notre produit conforme à la HIPAA, et en 2017, nous avons réalisé avec succès un contrôle de l'organisation des services (SOC) 2 Examen de type 1. Tous ces efforts s'inscrivent dans le cadre de notre objectif d'amélioration continue et progressive de l'approche Braze en matière de sécurité.

Et maintenant, après un processus long et minutieux, je suis fier de partager que Braze a réussi son audit SOC 2 Type 2 et sa certification ISO 27001 au cours de l'année civile 2018. Ces nouvelles étapes de sécurité clés signifient que nos clients peuvent être encore plus confiants que nous faisons ce que nous disons que nous faisons en ce qui concerne nos contrôles de sécurité.

Qu'est-ce que le SOC 2 ?

La norme SOC 2, qui est supervisée par l'American Institute of Certified Public Accountants (AICPA), définit les exigences de conformité liées aux contrôles de sécurité d'une entreprise donnée, garantissant que l'entreprise a établi des politiques et des procédures strictes en matière de sécurité des informations qui couvrent cinq principes de service de confiance. :

• Disponibilité
• Sécurité
• Intégrité du traitement
• Confidentialité
• Intimité

Lorsqu'une entreprise subit un audit SOC 2, il lui est demandé de décrire comment ses processus et contrôles de sécurité sont conçus pour répondre aux critères d'un principe de service de confiance donné. Ensuite, ces contrôles sont examinés par un auditeur tiers pour évaluer la pertinence de ces contrôles de sécurité en termes de conception et d'efficacité opérationnelle. En fin de compte, le processus de conformité SOC 2 se concentre sur la manière dont une organisation donnée traite les risques de sécurité de l'information et sur la manière dont elle s'assure que des contrôles appropriés sont en place pour atténuer ces risques à des niveaux acceptables.

Le processus SOC 2 est un audit technique, où l'auditeur tiers produit un rapport d'attestation décrivant les aspects du contrôle de sécurité de l'entreprise. La première partie de l'audit, connue sous le nom de SOC 2 Type 1, est un audit dit « ponctuel », où le cabinet d'audit indépendant examine la documentation, les systèmes et les contrôles en place, et demande des preuves de leur utilisation actuelle. Si les preuves fournies par une entreprise démontrent qu'elle dispose d'un système de gestion de la sécurité de l'information conçu de manière appropriée, elle effectuera généralement l'audit de type 1 - vous pouvez considérer le type 1 comme quelqu'un qui dit : « Ces contrôles de sécurité ont l'air bien… et si ces contrôles de sécurité contrôles sont effectivement utilisés, je m'attends à ce que l'entreprise atténue de manière acceptable le risque lié à l'information. »

L'audit SOC 2 Type 2, en revanche, se déroule sur une période plus longue, au moins six mois. La période d'audit SOC 2 Type 2 pour Braze s'étendait du 1er janvier 2018 au 30 juin 2018. Pendant cette période, le personnel de Braze a opéré d'une manière quotidienne normale conforme aux contrôles que nous avions décrits dans le Type 1 .

Puis, en juillet 2018, un auditeur externe s'est rendu sur place pour réexaminer la description des contrôles de sécurité de Braze et a demandé un échantillon aléatoire de preuves de l'utilisation de ces contrôles au cours des six mois précédents pour vérifier le respect. Dans le cadre de ce processus, l'auditeur cherche à s'assurer que ce qu'une entreprise dit qu'elle fait reflète ce qu'elle fait réellement : « Vous dites que toutes les nouvelles recrues font l'objet d'une vérification des antécédents criminels ? Donnez-moi une liste de nouvelles recrues et j'en choisirai quelques-unes au hasard, et nous verrons si vous pouvez me fournir la preuve que vous avez vérifié leurs antécédents. Vous dites que toutes les modifications de code sont examinées avant d'être déployées en production ? Donnez-moi une liste de tous les changements de code des derniers mois, j'en choisirai quelques-uns au hasard, puis je vous demanderai de me fournir une preuve de la chaîne d'approbation.

C'est cette concentration sur le fonctionnement réel des contrôles de sécurité d'une entreprise par rapport à la façon dont l'entreprise dit qu'ils fonctionnent qui fait de SOC2 Type 2 une validation si solide des processus d'une entreprise.

Qu'est-ce qu'ISO 27001 ?

Contrairement au SOC 2, qui est un rapport d'attestation qui documente les contrôles de sécurité, une certification ISO 27001 affirme qu'une organisation a effectué une évaluation complète des risques de sécurité et a créé un système de gestion de la sécurité de l'information (ISMS) conforme aux exigences énoncées dans le Norme internationale de gestion de la sécurité de l'information de l'Organisation internationale de normalisation (ISO).

Un SMSI est un cadre et un ensemble connexe de politiques et de procédures conçues pour gérer les risques, les informations confidentielles et l'approche de sécurité d'une organisation. ISO 27001 fournit un aperçu des exigences obligatoires qu'un SMSI devrait avoir, telles que les contrôles de la sécurité physique et environnementale, les relations avec les fournisseurs, le contrôle d'accès, la sécurité des ressources humaines, la gestion des incidents, etc.

Notre certification ISO 27001 a eu lieu au cours du quatrième trimestre 2018, lorsqu'un auditeur tiers a effectué une évaluation approfondie de Braze pour confirmer que :

• Braze adhère à ses propres politiques, objets et procédures de sécurité
• Le Braze ISMS est conforme à toutes les exigences de la norme ISO 27001
• Le Braze ISMS atteint avec succès tous les objectifs de politique fixés par Braze en matière de gestion de la sécurité de l'information

Suite à la réussite de cet audit tiers, Braze a reçu une certification ISO 27001 accréditée à la fin de l'année dernière.

Aller de l'avant

Braze a le plaisir de mettre à la fois son rapport SOC 2 Type 2, qui décrit les résultats de notre audit de Type 2, et notre certification ISO 27001 à la disposition des clients Braze sur demande.

Nous évaluons constamment la sécurité chez Braze et recherchons d'autres moyens de mettre en valeur le haut niveau d'engagement en matière de sécurité et de confidentialité des données pour lequel notre entreprise est connue et que nos clients attendent. Dans le cadre de cet effort, Braze s'est engagé à se soumettre à l'audit SOC 2 Type 2 sur une base annuelle, ainsi qu'aux audits de surveillance pour ISO 27001 et à nos tests de pénétration réguliers effectués par des tiers. De futurs efforts de conformité sont en cours et nous sommes ravis de les partager avec vous en 2019.