Приверженность безопасности: Braze получает сертификат ISO 27001 и успешно проходит аудит SOC 2 Type 2

Опубликовано: 2019-01-30

Безопасность и конфиденциальность данных всегда были в центре внимания Braze.

Еще в 2011 году, когда мы создавали самую первую версию нашего iOS SDK, наша компания приняла явное решение не собирать уникальный универсальный идентификатор (UUID), связанный с каждым устройством iOS, который мог быть прочитан приложениями для отслеживания пользователя в различных приложениях в рекламных целях. Почему? Мы были уверены, что растущее регулируемое будущее и грядущие кардинальные изменения общественного мнения повысят уровень контроля над данными мобильных пользователей. И, конечно же, Apple отказалась от использования UUID в iOS 5, что создало множество проблем для многих мобильных компаний, но не для Braze.

Правда в том, что наш подход к вопросам безопасности и конфиденциальности данных всегда был обдуманным и ориентированным на долгосрочную перспективу, о чем свидетельствует наш подход к Общему регламенту ЕС по защите данных (GDPR). Уже более пяти лет Braze нанимает независимые фирмы по обеспечению безопасности для проведения сторонних тестов на проникновение, обеспечивающих внешнее подтверждение безопасности и средств контроля, регулирующих продукт. Еще в 2016 году мы работали со сторонними экспертами над Законом США о переносимости и подотчетности медицинского страхования от 1996 года (HIPAA), чтобы создать предложение нашего продукта, соответствующее HIPAA, а в 2017 году мы успешно завершили контроль сервисной организации (SOC). 2 Экспертиза 1 типа. Все эти усилия являются частью нашего стремления к постоянным постепенным улучшениям подхода Braze к безопасности.

И теперь, после долгого и тщательного процесса, я с гордостью сообщаю, что Braze успешно завершила аудит SOC 2 Type 2 и сертификацию ISO 27001 в течение 2018 календарного года. Эти ключевые новые меры безопасности означают, что наши клиенты могут чувствовать себя еще более уверенными в том, что мы делаем то, о чем говорим, в отношении наших средств контроля безопасности.

Что такое СОК 2?

Стандарт SOC 2, который контролируется Американским институтом сертифицированных бухгалтеров (AICPA), устанавливает требования соответствия в отношении мер безопасности данной компании, гарантируя, что фирма установила строгие политики и процедуры информационной безопасности, которые охватывают пять принципов доверительного обслуживания. :

  • Доступность
  • Безопасность
  • Целостность обработки
  • Конфиденциальность
  • Конфиденциальность

Когда компания проходит аудит SOC 2, ее просят указать, как ее процессы и средства обеспечения безопасности разработаны для соответствия критериям заданного принципа обслуживания доверия. Затем эти средства контроля проверяются сторонним аудитором для оценки пригодности этих средств безопасности с точки зрения дизайна и операционной эффективности. В конечном счете, процесс соответствия SOC 2 сосредоточен на том, как данная организация справляется с рисками информационной безопасности и как она обеспечивает наличие надлежащих средств контроля для снижения этих рисков до приемлемого уровня.

Процесс SOC 2 представляет собой технический аудит, в ходе которого сторонний аудитор составляет отчет об аттестации, описывающий аспекты контроля безопасности компании. Первая часть аудита, известная как SOC 2 Тип 1, представляет собой так называемый аудит «на момент времени», когда независимая аудиторская фирма проверяет документацию, системы и средства контроля и запрашивает доказательства их текущего использования. Если доказательства, которые предоставляет компания, демонстрируют, что у них есть надлежащим образом разработанная система управления информационной безопасностью, как правило, они завершают аудит типа 1 — вы можете думать о типе 1 как о том, что кто-то говорит: «Эти средства управления безопасностью выглядят хорошо… и если эти меры безопасности средства контроля действительно используются, то я ожидаю, что компания приемлемо снизит информационный риск».

С другой стороны, аудит SOC 2 типа 2 занимает более длительный период — не менее шести месяцев. Период аудита SOC 2 Типа 2 для Braze проходил с 1 января 2018 г. по 30 июня 2018 г. В течение этого времени персонал Braze работал в обычном режиме, соблюдая меры контроля, которые мы изложили в Типе 1. .

Затем, в июле 2018 года, на место приехал внешний аудитор, чтобы пересмотреть описание средств контроля безопасности Braze, и запросил случайную выборку свидетельств использования этих средств управления в течение предыдущих шести месяцев для проверки их соблюдения. В рамках этого процесса аудитор стремится удостовериться, что то, что компания говорит о своих действиях, отражает то, что она делает на самом деле: «Вы говорите, что все новые сотрудники проходят проверку на наличие судимостей? Дайте мне список новых сотрудников, и я случайным образом выберу нескольких, и мы посмотрим, сможете ли вы предоставить мне доказательства того, что вы проверили их биографические данные. Вы говорите, что все изменения кода проверяются перед внедрением в производство? Дайте мне список всех изменений кода за последние месяцы, я выберу несколько наугад, а затем попрошу вас предоставить мне доказательства цепочки согласований».

Именно это внимание к тому, как на самом деле работают средства безопасности компании, а не к тому, как компания говорит, что они работают, делает SOC2 Type 2 такой надежной проверкой процессов компании.

Что такое ИСО 27001?

В отличие от SOC 2, который представляет собой аттестационный отчет, в котором документируются меры безопасности, сертификация ISO 27001 подтверждает, что организация провела всестороннюю оценку рисков безопасности и создала Систему управления информационной безопасностью (ISMS), которая соответствует требованиям, изложенным в Глобальный стандарт управления информационной безопасностью Международной организации по стандартизации (ISO).

СМИБ представляет собой структуру и связанный с ней набор политик и процедур, предназначенных для управления рисками организации, конфиденциальной информацией и подходом к обеспечению безопасности. ISO 27001 содержит перечень обязательных требований, которые должна иметь СМИБ, таких как средства контроля физической и экологической безопасности, отношения с поставщиками, контроль доступа, безопасность человеческих ресурсов, управление инцидентами и многое другое.

Наша сертификация по стандарту ISO 27001 была проведена в четвертом квартале 2018 года, когда сторонний аудитор провел тщательную оценку Braze, чтобы подтвердить следующее:

  • Braze придерживается собственных политик безопасности, объектов и процедур.
  • СМИБ Braze соответствует всем требованиям стандарта ISO 27001
  • СМИБ Braze успешно достигает всех целей политики, установленных Braze в связи с управлением информационной безопасностью.

После успешного завершения этого независимого аудита в конце прошлого года компания Braze получила аккредитованный сертификат ISO 27001.

Идти вперед

Компания Braze рада предоставить как наш отчет SOC 2 Type 2, в котором описаны результаты нашего аудита Type 2, так и нашу сертификацию ISO 27001, доступную для клиентов Braze по запросу.

Мы постоянно оцениваем безопасность в Braze и ищем дополнительные способы продемонстрировать высокий уровень приверженности безопасности и конфиденциальности данных, которым славится наша компания и которого ожидают наши клиенты. В рамках этих усилий Braze обязалась ежегодно проходить аудит SOC 2 Type 2, а также надзорные аудиты на соответствие ISO 27001 и наши регулярные сторонние тесты на проникновение. Будущие усилия по соблюдению требований находятся в стадии реализации, и мы рады поделиться ими с вами в 2019 году.