Zaangażowanie w bezpieczeństwo: Braze otrzymuje certyfikat ISO 27001 i pomyślnie przechodzi audyt SOC 2 typu 2

Opublikowany: 2019-01-30

Bezpieczeństwo i prywatność danych zawsze były dla nas kluczowe w Braze.

Już w 2011 roku, kiedy tworzyliśmy pierwszą wersję naszego iOS SDK, nasza firma podjęła wyraźną decyzję, aby nie gromadzić unikalnego uniwersalnego identyfikatora (UUID) powiązanego z każdym urządzeniem iOS, który może być odczytywany przez aplikacje do śledzenia użytkownika w różnych aplikacjach w celach reklamowych. Czemu? Wierzyliśmy, że coraz bardziej uregulowana przyszłość i nadchodząca zmiana opinii publicznej zwiększy kontrolę danych użytkowników mobilnych. I rzeczywiście, Apple wycofał UUID z iOS 5, tworząc lawinę wyzwań dla wielu firm mobilnych — ale nie dla Braze.

Prawda jest taka, że ​​nasze podejście do kwestii bezpieczeństwa i prywatności danych zawsze było przemyślane i ukierunkowane na dłuższą metę, czego dowodem jest podejście, jakie przyjęliśmy do unijnego ogólnego rozporządzenia o ochronie danych (RODO). Od ponad pięciu lat Braze zatrudnia niezależne firmy zajmujące się bezpieczeństwem do przeprowadzania zewnętrznych testów penetracyjnych, zapewniających zewnętrzne poświadczenie bezpieczeństwa i kontroli rządzących produktem. W 2016 r. współpracowaliśmy z ekspertami zewnętrznymi w zakresie amerykańskiej ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (HIPAA), aby stworzyć ofertę naszego produktu zgodną z HIPAA, a w 2017 r. pomyślnie przeszliśmy kontrolę organizacji usług (SOC) 2 Badanie typu 1. Wszystkie te wysiłki są częścią naszego skupienia się na ciągłych, przyrostowych ulepszeniach podejścia Braze do bezpieczeństwa.

A teraz, po długim i dokładnym procesie, z dumą mogę się podzielić, że firma Braze pomyślnie zakończyła audyt SOC 2 typu 2 i certyfikację ISO 27001 w roku kalendarzowym 2018. Te kluczowe nowe kroki w zakresie bezpieczeństwa oznaczają, że nasi klienci mogą czuć się jeszcze bardziej pewni, że robimy to, co mówimy, że robimy w odniesieniu do naszych kontroli bezpieczeństwa.

Co to jest SOC 2?

Standard SOC 2, który jest nadzorowany przez Amerykański Instytut Biegłych Rewidentów (AICPA), określa wymagania dotyczące zgodności w odniesieniu do kontroli bezpieczeństwa danej firmy, zapewniając, że firma ustanowiła surowe zasady i procedury bezpieczeństwa informacji, które obejmują pięć zasad usługi zaufania :

  • Dostępność
  • Bezpieczeństwo
  • Integralność przetwarzania
  • Poufność
  • Prywatność

Kiedy firma przechodzi audyt SOC 2, jest proszona o przedstawienie, w jaki sposób jej procesy bezpieczeństwa i mechanizmy kontrolne są zaprojektowane tak, aby spełniały kryteria danej Zasady Trust Service. Następnie kontrole te są sprawdzane przez zewnętrznego audytora, aby ocenić przydatność tych kontroli bezpieczeństwa, jeśli chodzi o projekt i skuteczność działania. Ostatecznie proces zgodności z SOC 2 koncentruje się na tym, w jaki sposób dana organizacja zajmuje się zagrożeniami dla bezpieczeństwa informacji oraz w jaki sposób zapewnia odpowiednie mechanizmy kontrolne w celu ograniczenia tych zagrożeń do akceptowalnego poziomu.

Proces SOC 2 to audyt techniczny, podczas którego zewnętrzny audytor sporządza raport atestacyjny opisujący aspekty kontroli bezpieczeństwa firmy. Pierwsza część audytu, znana jako SOC 2 Typ 1, to tak zwana kontrola „w określonym czasie”, podczas której niezależna firma audytorska dokonuje przeglądu istniejącej dokumentacji, systemów i kontroli oraz prosi o dowody ich bieżącego stosowania. Jeśli dowody dostarczone przez firmę wykażą, że posiada ona odpowiednio zaprojektowany system zarządzania bezpieczeństwem informacji, zazwyczaj przechodzą oni audyt typu 1 — możesz myśleć o typie 1 jako o kimś, kto mówi: „Te kontrole bezpieczeństwa wyglądają dobrze… i jeśli te zabezpieczenia kontrole są faktycznie stosowane, wtedy spodziewam się, że firma w akceptowalny sposób złagodzi ryzyko informacyjne”.

Z drugiej strony audyt SOC 2 typu 2 trwa przez dłuższy okres – co najmniej sześć miesięcy. Okres audytu SOC 2 Typu 2 dla Braze trwał od 1 stycznia 2018 r. do 30 czerwca 2018 r. W tym czasie personel Braze działał w normalny sposób na co dzień, zgodny z kontrolami opisanymi w Typie 1 .

Następnie, w lipcu 2018 r., na miejscu pojawił się audytor zewnętrzny, aby ponownie przejrzeć opis kontroli bezpieczeństwa Braze i zażądał losowej próbki dowodów użycia tych kontroli w ciągu ostatnich sześciu miesięcy w celu zweryfikowania przestrzegania. W ramach tego procesu audytor stara się upewnić, że to, co mówi firma, odzwierciedla to, co faktycznie robi: „Mówisz, że wszyscy nowo zatrudnieni przeszli kontrolę przeszłości kryminalnej? Daj mi listę nowo zatrudnionych, a wybiorę losowo kilku i zobaczymy, czy możesz dostarczyć mi dowody, że sprawdziłeś ich przeszłość. Mówisz, że wszystkie zmiany w kodzie są sprawdzane przed wdrożeniem do produkcji? Podaj mi listę wszystkich zmian w kodzie z ostatnich miesięcy, wybiorę kilka na chybił trafił, a potem poproszę o dostarczenie mi dowodów potwierdzających łańcuch aprobat.

To właśnie skupienie się na tym, jak faktycznie działają kontrole bezpieczeństwa firmy, w porównaniu z tym, jak firma twierdzi, że działa, sprawia, że ​​SOC2 Typ 2 jest tak silną walidacją procesów firmy.

Co to jest ISO 27001?

W przeciwieństwie do SOC 2, który jest raportem atestacyjnym dokumentującym kontrole bezpieczeństwa, certyfikacja ISO 27001 potwierdza, że ​​organizacja przeprowadziła kompleksową ocenę zagrożeń bezpieczeństwa i stworzyła System Zarządzania Bezpieczeństwem Informacji (ISMS), który jest zgodny z wymaganiami określonymi w Globalny standard zarządzania bezpieczeństwem informacji Międzynarodowej Organizacji Normalizacyjnej (ISO).

SZBI to struktura i powiązany zestaw zasad i procedur zaprojektowanych do zarządzania ryzykiem organizacji, informacjami poufnymi i podejściem do bezpieczeństwa. ISO 27001 zawiera zarys obowiązkowych wymagań, jakie powinien mieć SZBI, takich jak mechanizmy kontroli bezpieczeństwa fizycznego i środowiskowego, relacje z dostawcami, kontrola dostępu, bezpieczeństwo zasobów ludzkich, zarządzanie incydentami i inne.

Nasza certyfikacja ISO 27001 miała miejsce w IV kwartale 2018 r., kiedy zewnętrzny audytor przeprowadził dokładną ocenę Braze, aby potwierdzić, że:

  • Braze przestrzega własnych zasad bezpieczeństwa, obiektów i procedur
  • Braze ISMS spełnia wszystkie wymagania normy ISO 27001
  • Braze ISMS z powodzeniem realizuje wszystkie cele polityki ustalone przez Braze w związku z zarządzaniem bezpieczeństwem informacji

Po pomyślnym zakończeniu tego zewnętrznego audytu, Braze otrzymał pod koniec zeszłego roku akredytowany certyfikat ISO 27001.

Iść naprzód

Braze z przyjemnością udostępnia na żądanie zarówno nasz raport SOC 2 typu 2, który opisuje wyniki naszego audytu typu 2, jak i certyfikat ISO 27001 dla klientów Braze.

Nieustannie oceniamy bezpieczeństwo w Braze i szukamy dodatkowych sposobów na pokazanie wysokiego poziomu zaangażowania w bezpieczeństwo i prywatność danych, z którego znana jest nasza firma i czego oczekują nasi klienci. W ramach tych wysiłków firma Braze zobowiązała się do poddawania się corocznemu audytowi SOC 2 typu 2, wraz z audytami nadzoru ISO 27001 i naszymi regularnymi testami penetracyjnymi innych firm. Trwają przyszłe działania na rzecz zapewnienia zgodności i cieszymy się, że możemy się nimi z Tobą podzielić w 2019 roku.