Uma dedicação à segurança: Braze recebe certificação ISO 27001 e conclui com sucesso a auditoria SOC 2 Tipo 2

Publicados: 2019-01-30

Segurança e privacidade de dados sempre foram um foco importante para nós na Braze.

Em 2011, quando estávamos construindo a primeira versão de nosso SDK para iOS, nossa empresa tomou uma decisão explícita de não coletar o identificador universal exclusivo (UUID) associado a cada dispositivo iOS, que poderia ser lido por aplicativos para rastrear um usuário em diferentes aplicativos para fins de publicidade. Por quê? Acreditávamos que um futuro cada vez mais regulamentado e uma mudança radical na opinião pública aumentariam o escrutínio dos dados dos usuários móveis. E com certeza, a Apple desativou o UUID com o iOS 5, criando uma enxurrada de desafios para muitas empresas de telefonia móvel, mas não para a Braze.

A verdade é que nossa abordagem às questões de segurança e privacidade de dados sempre foi deliberada e voltada para o longo prazo, conforme evidenciado pela abordagem que adotamos ao Regulamento Geral de Proteção de Dados da UE (GDPR). Por mais de cinco anos, a Braze contratou empresas de segurança independentes para realizar testes de penetração de terceiros fornecendo atestado externo à segurança e aos controles que regem o produto. Em 2016, trabalhamos com especialistas terceirizados na Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA de 1996 (HIPAA) para criar uma oferta de conformidade com HIPAA de nosso produto e, em 2017, concluímos um Service Organization Control (SOC) bem-sucedido. 2 Exame tipo 1. Todos esses esforços fazem parte do nosso foco em melhorias contínuas e incrementais na abordagem de segurança da Braze.

E agora, após um processo longo e completo, tenho orgulho de compartilhar que a Braze concluiu com sucesso sua auditoria SOC 2 Tipo 2 e certificação ISO 27001 durante o ano civil de 2018. Essas novas etapas importantes de segurança significam que nossos clientes podem se sentir ainda mais confiantes de que fazemos o que dizemos que fazemos em relação aos nossos controles de segurança.

O que é SOC 2?

O padrão SOC 2, que é supervisionado pelo Instituto Americano de Contadores Públicos Certificados (AICPA), estabelece os requisitos de conformidade em relação aos controles de segurança de uma determinada empresa, garantindo que a empresa tenha estabelecido políticas e procedimentos rigorosos de segurança da informação que abrangem cinco Princípios de Serviço de Confiança :

  • Disponibilidade
  • Segurança
  • Integridade do Processamento
  • Confidencialidade
  • Privacidade

Quando uma empresa passa por uma auditoria SOC 2, é solicitado que ela descreva como seus processos e controles de segurança são projetados para atender aos critérios de um determinado Princípio de Serviço de Confiança. Em seguida, esses controles são revisados ​​por um auditor terceirizado para avaliar a adequação desses controles de segurança quando se trata de design e eficácia operacional. Em última análise, o processo de conformidade SOC 2 está focado em como uma determinada organização aborda os riscos de segurança da informação e como ela garante que os controles adequados sejam implementados para mitigar esses riscos a níveis aceitáveis.

O processo SOC 2 é uma auditoria técnica, onde o auditor terceirizado produz um relatório de atestado descrevendo aspectos do controle de segurança da empresa. A primeira parte da auditoria, conhecida como SOC 2 Tipo 1, é a chamada auditoria “point in time”, em que a empresa de auditoria independente revisa a documentação, os sistemas e os controles em vigor e solicita evidências de seu uso atual. Se a evidência fornecida por uma empresa demonstrar que ela possui um sistema de gerenciamento de segurança da informação adequadamente projetado, geralmente ela concluirá a auditoria Tipo 1 - você pode pensar no Tipo 1 como alguém dizendo: "Esses controles de segurança parecem bons... e se esses controles de segurança controles são realmente usados, então espero que a empresa mitigue de forma aceitável o risco de informações.”

A auditoria SOC 2 Tipo 2, por outro lado, ocorre por um período mais longo – pelo menos seis meses. O período de auditoria SOC 2 Tipo 2 para a Braze foi de 1º de janeiro de 2018 a 30 de junho de 2018. Durante esse período, a equipe da Braze operou de maneira normal no dia-a-dia, em conformidade com os controles que descrevemos no Tipo 1 .

Então, em julho de 2018, um auditor externo veio ao local para revisar novamente a descrição dos controles de segurança da Braze e solicitou uma amostragem aleatória de evidências do uso desses controles nos seis meses anteriores para verificar a adesão. Nesse processo, o auditor procura certificar-se de que o que uma empresa diz que está fazendo reflete o que está realmente fazendo: “Você diz que todos os novos contratados têm uma verificação de antecedentes criminais realizada? Dê-me uma lista de novos contratados e eu escolherei alguns aleatoriamente, e veremos se você pode me fornecer evidências de que você fez suas verificações de antecedentes. Você diz que todas as alterações de código são revisadas antes de serem implantadas na produção? Dê-me uma lista de todas as alterações de código dos últimos meses, escolherei algumas aleatoriamente e depois pedirei que você me forneça evidências da cadeia de aprovação.”

É esse foco em como os controles de segurança de uma empresa realmente operam versus como a empresa diz que operam que torna o SOC2 Tipo 2 uma validação tão forte dos processos de uma empresa.

O que é a ISO 27001?

Ao contrário do SOC 2, que é um relatório de atestado que documenta os controles de segurança, uma certificação ISO 27001 afirma que uma organização realizou uma avaliação abrangente dos riscos de segurança e criou um Sistema de Gerenciamento de Segurança da Informação (ISMS) que atende aos requisitos estabelecidos no Padrão global de gerenciamento de segurança da informação da International Organization for Standardization (ISO).

Um SGSI é uma estrutura e um conjunto relacionado de políticas e procedimentos projetados para gerenciar o risco, as informações confidenciais e a abordagem de segurança de uma organização. A ISO 27001 fornece um esboço dos requisitos obrigatórios que um SGSI deve ter, como controles de segurança física e ambiental, relacionamentos com fornecedores, controle de acesso, segurança de recursos humanos, gerenciamento de incidentes e muito mais.

Nossa certificação ISO 27001 ocorreu durante o quarto trimestre de 2018, quando um auditor terceirizado realizou uma avaliação completa da Braze para confirmar que:

  • A Braze adere às suas próprias políticas, objetos e procedimentos de segurança
  • O Braze ISMS está em conformidade com todos os requisitos do padrão ISO 27001
  • O Braze ISMS atinge com sucesso todos os objetivos de política estabelecidos pela Braze em relação ao gerenciamento de segurança da informação

Após a conclusão bem-sucedida dessa auditoria de terceiros, a Braze recebeu uma certificação ISO 27001 acreditada no final do ano passado.

Daqui para frente

A Braze tem o prazer de disponibilizar nosso Relatório SOC 2 Tipo 2, que descreve os resultados de nossa auditoria Tipo 2, e nossa certificação ISO 27001 disponível para os clientes da Braze mediante solicitação.

Estamos constantemente avaliando a segurança na Braze e procurando maneiras adicionais de mostrar o alto nível de compromisso com a segurança e a privacidade de dados pelo qual nossa empresa é conhecida e que nossos clientes esperam. Como parte desse esforço, a Braze se comprometeu a se submeter à auditoria SOC 2 Tipo 2 anualmente, juntamente com as auditorias de vigilância para a ISO 27001 e nossos testes regulares de penetração de terceiros. Esforços de conformidade futuros estão em andamento e estamos entusiasmados em compartilhá-los com você em 2019.