• Beranda
  • Artikel
  • Pemasaran
  • Dedikasi untuk Keamanan: Braze Menerima Sertifikasi ISO 27001 dan Berhasil Menyelesaikan Audit SOC 2 Tipe 2

Dedikasi untuk Keamanan: Braze Menerima Sertifikasi ISO 27001 dan Berhasil Menyelesaikan Audit SOC 2 Tipe 2

Diterbitkan: 2019-01-30

Keamanan dan privasi data selalu menjadi fokus utama kami di Braze.

Sepanjang tahun 2011, ketika kami sedang membangun versi pertama SDK iOS kami, perusahaan kami membuat keputusan eksplisit untuk tidak mengumpulkan pengenal universal unik (UUID) yang terkait dengan setiap perangkat iOS, yang dapat dibaca oleh aplikasi untuk dilacak pengguna di berbagai aplikasi untuk tujuan periklanan. Mengapa? Kami berkeyakinan bahwa masa depan yang lebih teratur dan perubahan opini publik yang akan datang akan meningkatkan pengawasan terhadap data pengguna seluler. Dan tentu saja, Apple menghentikan UUID dengan iOS 5, menciptakan banyak tantangan bagi banyak perusahaan seluler—tetapi tidak untuk Braze.

Sebenarnya, pendekatan kami terhadap masalah keamanan dan privasi data selalu disengaja dan diarahkan untuk jangka panjang, sebagaimana dibuktikan oleh pendekatan yang kami ambil terhadap Peraturan Perlindungan Data Umum (GDPR) UE. Selama lebih dari lima tahun, Braze telah menyewa perusahaan keamanan independen untuk melakukan tes penetrasi pihak ketiga yang memberikan pengesahan eksternal untuk keamanan dan kontrol yang mengatur produk. Kembali pada tahun 2016, kami bekerja dengan pakar pihak ketiga pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan AS tahun 1996 (HIPAA) untuk membangun penawaran kepatuhan HIPAA untuk produk kami, dan pada tahun 2017, kami menyelesaikan Kontrol Organisasi Layanan (SOC) yang sukses. 2 Jenis 1 pemeriksaan. Semua upaya ini adalah bagian dari fokus kami pada peningkatan berkelanjutan dan bertahap pada pendekatan Braze terhadap keamanan.

Dan sekarang, setelah proses yang panjang dan menyeluruh, dengan bangga saya sampaikan bahwa Braze telah berhasil menyelesaikan audit SOC 2 Tipe 2 dan sertifikasi ISO 27001 selama tahun kalender 2018. Langkah-langkah keamanan baru yang penting ini berarti bahwa pelanggan kami dapat merasa lebih percaya diri bahwa kami melakukan apa yang kami katakan sehubungan dengan kontrol keamanan kami.

Apa itu SOC2?

Standar SOC 2, yang diawasi oleh American Institute of Certified Public Accountants (AICPA), menetapkan persyaratan kepatuhan sehubungan dengan kontrol keamanan perusahaan tertentu, memastikan bahwa perusahaan telah menetapkan kebijakan dan prosedur keamanan informasi yang ketat yang mencakup lima Prinsip Layanan Kepercayaan :

  • Ketersediaan
  • Keamanan
  • Integritas Pemrosesan
  • Kerahasiaan
  • Pribadi

Ketika sebuah perusahaan menjalani audit SOC 2, perusahaan diminta untuk menguraikan bagaimana proses dan kontrol keamanannya dirancang untuk memenuhi kriteria untuk Prinsip Layanan Kepercayaan yang diberikan. Kemudian kontrol ini ditinjau oleh auditor pihak ketiga untuk menilai kesesuaian kontrol keamanan tersebut dalam hal desain dan efektivitas operasi. Pada akhirnya, proses kepatuhan SOC 2 difokuskan pada bagaimana organisasi tertentu menangani risiko keamanan informasi, dan bagaimana memastikan bahwa kontrol yang tepat diterapkan untuk mengurangi risiko tersebut ke tingkat yang dapat diterima.

Proses SOC 2 adalah audit teknis, di mana auditor pihak ketiga menghasilkan laporan pengesahan yang menjelaskan aspek kontrol keamanan perusahaan. Bagian pertama dari audit, yang dikenal sebagai SOC 2 Tipe 1, adalah apa yang disebut audit "titik waktu", di mana perusahaan audit independen meninjau dokumentasi, sistem, dan kontrol yang ada, dan meminta bukti penggunaannya saat ini. Jika bukti yang diberikan perusahaan menunjukkan bahwa mereka memiliki sistem manajemen keamanan informasi yang dirancang dengan tepat, umumnya mereka akan menyelesaikan audit Tipe 1—Anda dapat menganggap Tipe 1 sebagai seseorang yang mengatakan, “Kontrol keamanan ini terlihat bagus… kontrol benar-benar digunakan, maka saya berharap perusahaan akan dapat mengurangi risiko informasi.”

Audit SOC 2 Tipe 2, di sisi lain, berlangsung dalam periode yang lebih lama—setidaknya enam bulan. Periode audit SOC 2 Tipe 2 untuk Braze adalah 1 Januari 2018 hingga 30 Juni 2018. Selama waktu tersebut, staf Braze beroperasi dengan cara normal sehari-hari yang mematuhi kontrol yang kami uraikan di Tipe 1 .

Kemudian pada Juli 2018, auditor luar datang ke lokasi untuk meninjau ulang deskripsi kontrol keamanan Braze dan meminta sampel acak dari bukti penggunaan kontrol tersebut selama enam bulan sebelumnya untuk memverifikasi kepatuhan. Di bawah proses ini, auditor ingin memastikan bahwa apa yang dikatakan perusahaan mencerminkan apa yang sebenarnya dilakukannya: “Anda mengatakan semua karyawan baru telah melakukan pemeriksaan latar belakang kriminal? Beri saya daftar karyawan baru dan saya akan memilih beberapa secara acak, dan kami akan melihat apakah Anda dapat memberi saya bukti bahwa Anda melakukan pemeriksaan latar belakang mereka. Anda mengatakan semua perubahan kode ditinjau sebelum digunakan untuk produksi? Beri saya daftar semua perubahan kode dari beberapa bulan terakhir, saya akan memilih beberapa secara acak, dan kemudian saya akan meminta Anda untuk memberi saya bukti rantai persetujuan.

Fokus pada bagaimana kontrol keamanan perusahaan benar-benar beroperasi versus bagaimana perusahaan mengatakan bahwa mereka beroperasi yang membuat SOC2 Tipe 2 menjadi validasi yang kuat dari proses perusahaan.

Apa itu ISO 27001?

Tidak seperti SOC 2, yang merupakan laporan pengesahan yang mendokumentasikan kontrol keamanan, sertifikasi ISO 27001 menegaskan bahwa organisasi telah melakukan penilaian risiko keamanan yang komprehensif dan telah menciptakan Sistem Manajemen Keamanan Informasi (ISMS) yang sesuai dengan persyaratan yang ditetapkan dalam Standar manajemen keamanan informasi global dari International Organization for Standardization (ISO).

SMKI adalah kerangka kerja dan serangkaian kebijakan dan prosedur terkait yang dirancang untuk mengelola risiko organisasi, informasi rahasia, dan pendekatan keamanan. ISO 27001 memberikan garis besar persyaratan wajib daripada yang harus dimiliki SMKI, seperti kontrol untuk keamanan fisik dan lingkungan, hubungan pemasok, kontrol akses, keamanan sumber daya manusia, manajemen insiden, dan banyak lagi.

Sertifikasi ISO 27001 kami berlangsung selama Q4 2018, ketika auditor pihak ketiga melakukan penilaian menyeluruh terhadap Braze untuk mengonfirmasi bahwa:

  • Braze mematuhi kebijakan, objek, dan prosedur keamanannya sendiri
  • ISMS Braze sesuai dengan semua persyaratan standar ISO 27001
  • SMKI Braze berhasil mencapai semua tujuan kebijakan yang ditetapkan oleh Braze sehubungan dengan manajemen keamanan informasi

Setelah berhasil menyelesaikan audit pihak ketiga itu, Braze menerima sertifikasi ISO 27001 terakreditasi pada akhir tahun lalu.

Maju

Braze dengan senang hati membuat Laporan SOC 2 Tipe 2 kami, yang menjelaskan hasil audit Tipe 2 kami, dan sertifikasi ISO 27001 kami tersedia untuk pelanggan Braze berdasarkan permintaan.

Kami terus mengevaluasi keamanan di Braze dan mencari cara tambahan untuk menunjukkan komitmen tingkat tinggi terhadap keamanan dan privasi data yang dikenal oleh perusahaan kami, dan diharapkan oleh pelanggan kami. Sebagai bagian dari upaya itu, Braze telah berkomitmen untuk menjalani audit SOC 2 Tipe 2 setiap tahun, bersama dengan audit pengawasan untuk ISO 27001 dan tes penetrasi pihak ketiga reguler kami. Upaya kepatuhan di masa depan sedang berlangsung, dan kami sangat senang untuk membagikannya kepada Anda di tahun 2019.