O dedicație pentru securitate: Braze primește certificarea ISO 27001 și finalizează cu succes auditul SOC 2 de tip 2

Publicat: 2019-01-30

Securitatea și confidențialitatea datelor au fost întotdeauna un accent cheie pentru noi, la Braze.

În 2011, când construiam prima versiune a SDK-ului nostru iOS, compania noastră a luat o decizie explicită de a nu colecta identificatorul universal unic (UUID) asociat fiecărui dispozitiv iOS, care putea fi citit de aplicații pentru a-l urmări. un utilizator prin diferite aplicații în scopuri publicitare. De ce? Convingerea noastră a fost că un viitor reglementat în creștere și o schimbare radicală a opiniei publice ar spori controlul asupra datelor utilizatorilor de telefonie mobilă. Și destul de sigur, Apple a depreciat UUID-ul cu iOS 5, creând o serie de provocări pentru multe companii de telefonie mobilă, dar nu și pentru Braze.

Adevărul este că abordarea noastră față de problemele de securitate și confidențialitate a datelor a fost întotdeauna deliberată și orientată pe termen lung, așa cum demonstrează abordarea pe care am adoptat-o ​​față de Regulamentul general privind protecția datelor (GDPR) al UE. De mai bine de cinci ani, Braze a angajat firme de securitate independente pentru a efectua teste de penetrare de la terți, oferind atestare externă a securității și controalelor care guvernează produsul. În 2016, am lucrat cu experți terți cu privire la Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate din SUA din 1996 (HIPAA) pentru a construi o ofertă de conformitate cu HIPAA a produsului nostru, iar în 2017, am finalizat cu succes un control al organizației de servicii (SOC) 2 Examinare de tip 1. Toate aceste eforturi fac parte din focalizarea noastră asupra îmbunătățirilor continue și progresive ale abordării Braze în ceea ce privește securitatea.

Și acum, după un proces lung și amănunțit, sunt mândru să vă spun că Braze și-a finalizat cu succes auditul SOC 2 Type 2 și certificarea ISO 27001 în cursul anului calendaristic 2018. Acești pași cheie noi de securitate înseamnă că clienții noștri se pot simți și mai încrezători că facem ceea ce spunem că facem în ceea ce privește controalele noastre de securitate.

Ce este SOC 2?

Standardul SOC 2, care este supravegheat de Institutul American al Contabililor Publici Autorizați (AICPA), stabilește cerințele de conformitate în legătură cu controalele de securitate ale unei anumite companii, asigurându-se că firma a stabilit politici și proceduri stricte de securitate a informațiilor care acoperă cinci principii privind serviciile de încredere. :

  • Disponibilitate
  • Securitate
  • Integritatea procesării
  • Confidențialitate
  • Confidențialitate

Când o companie este supusă unui audit SOC 2, i se cere să sublinieze modul în care procesele și controalele sale de securitate sunt concepute pentru a îndeplini criteriile pentru un anumit principiu al serviciului de încredere. Apoi, aceste controale sunt revizuite de un auditor terț pentru a evalua adecvarea acelor controale de securitate atunci când vine vorba de proiectare și eficacitate în exploatare. În cele din urmă, procesul de conformitate cu SOC 2 se concentrează asupra modului în care o anumită organizație abordează riscurile de securitate a informațiilor și asupra modului în care se asigură că există controale adecvate pentru a atenua aceste riscuri la niveluri acceptabile.

Procesul SOC 2 este un audit tehnic, în care auditorul terț elaborează un raport de atestare care descrie aspecte ale controlului de securitate al companiei. Prima parte a auditului, cunoscută sub numele de SOC 2 Tip 1, este un așa-numit audit „punct în timp”, în care firma de audit independentă examinează documentația, sistemele și controalele existente și solicită dovezi ale utilizării lor curente. Dacă dovezile pe care o companie le furnizează demonstrează că are un sistem de management al securității informațiilor proiectat corespunzător, în general, va finaliza auditul de tip 1 – vă puteți gândi la tipul 1 ca pe cineva care spune: „Aceste controale de securitate arată bine... și dacă aceste controale de securitate controalele sunt de fapt utilizate, atunci mă aștept ca compania să atenueze în mod acceptabil riscul informațional.”

Auditul SOC 2 de tip 2, pe de altă parte, are loc pe o perioadă mai lungă – cel puțin șase luni. Perioada de audit SOC 2 de tip 2 pentru Braze a fost 1 ianuarie 2018 până la 30 iunie 2018. În acest timp, personalul Braze a funcționat într-o manieră zilnică normală, care a respectat controalele pe care le-am subliniat în tipul 1. .

Apoi, în iulie 2018, un auditor extern a venit la fața locului pentru a reexamina descrierea controalelor de securitate Braze și a solicitat o eșantionare aleatorie a dovezilor privind utilizarea acelor controale în ultimele șase luni pentru a verifica respectarea. În cadrul acestui proces, auditorul caută să se asigure că ceea ce o companie spune că face reflectă ceea ce face de fapt: „Spuneți că toți angajații noi au o verificare a antecedentelor penale? Dă-mi o listă de noi angajați și voi alege câțiva la întâmplare și vom vedea dacă îmi poți oferi dovezi că le-ai verificat antecedentele. Spuneți că toate modificările codului sunt revizuite înainte de a fi implementate în producție? Dă-mi o listă cu toate modificările codului din ultimele luni, voi alege câteva la întâmplare și apoi îți voi cere să-mi oferi dovezi ale lanțului de aprobare.”

Această concentrare asupra modului în care controalele de securitate ale unei companii funcționează de fapt față de modul în care compania spune că funcționează face ca SOC2 Type 2 să fie o validare atât de puternică a proceselor unei companii.

Ce este ISO 27001?

Spre deosebire de SOC 2, care este un raport de atestare care documentează controalele de securitate, o certificare ISO 27001 afirmă că o organizație a efectuat o evaluare cuprinzătoare a riscurilor de securitate și a creat un Sistem de management al securității informațiilor (ISMS) care respectă cerințele stabilite în Standardul global de management al securității informațiilor al Organizației Internaționale de Standardizare (ISO).

Un ISMS este un cadru și un set aferent de politici și proceduri concepute pentru a gestiona riscul unei organizații, informațiile confidențiale și abordarea de securitate. ISO 27001 oferă o schiță a cerințelor obligatorii decât ar trebui să aibă un ISMS, cum ar fi controale pentru securitatea fizică și de mediu, relațiile cu furnizorii, controlul accesului, securitatea resurselor umane, managementul incidentelor și multe altele.

Certificarea noastră ISO 27001 a avut loc în trimestrul IV 2018, când un auditor terță parte a efectuat o evaluare amănunțită a Braze pentru a confirma că:

  • Braze aderă la propriile sale politici de securitate, obiecte și proceduri
  • Braze ISMS respectă toate cerințele standardului ISO 27001
  • Braze ISMS atinge cu succes toate obiectivele de politică stabilite de Braze în legătură cu managementul securității informațiilor

După finalizarea cu succes a auditului terță parte, Braze a primit o certificare acreditată ISO 27001 la sfârșitul anului trecut.

Mergand inainte

Braze este încântat să pună la dispoziția clienților Braze atât Raportul SOC 2 de tip 2, care descrie rezultatele auditului nostru de tip 2, cât și certificarea noastră ISO 27001.

Evaluăm în mod constant securitatea la Braze și căutăm modalități suplimentare de a prezenta nivelul ridicat de angajament față de securitate și confidențialitatea datelor pentru care compania noastră este cunoscută și clienții noștri au ajuns să se aștepte. Ca parte a acestui efort, Braze s-a angajat să fie supus auditului SOC 2 de tip 2 anual, împreună cu auditurile de supraveghere pentru ISO 27001 și testele noastre regulate de penetrare de la terți. Eforturile viitoare de conformitate sunt în desfășurare și suntem încântați să le împărtășim cu dvs. în 2019.