• โฮมเพจ
  • บทความ
  • การตลาด
  • การอุทิศตนเพื่อความปลอดภัย: Braze ได้รับการรับรอง ISO 27001 และผ่านการตรวจสอบ SOC 2 Type 2 เรียบร้อยแล้ว

การอุทิศตนเพื่อความปลอดภัย: Braze ได้รับการรับรอง ISO 27001 และผ่านการตรวจสอบ SOC 2 Type 2 เรียบร้อยแล้ว

เผยแพร่แล้ว: 2019-01-30

ความปลอดภัยและความเป็นส่วนตัวของข้อมูลเป็นจุดสนใจหลักสำหรับเราที่ Braze มาโดยตลอด

ย้อนกลับไปในปี 2011 เมื่อเราสร้าง iOS SDK เวอร์ชันแรก บริษัทของเราได้ตัดสินใจอย่างชัดเจนที่จะไม่รวบรวม Universal Identifier (UUID) ที่ไม่ซ้ำกันซึ่งเชื่อมโยงกับอุปกรณ์ iOS แต่ละเครื่อง ซึ่งแอปพลิเคชันสามารถอ่านได้ ผู้ใช้ในแอปพลิเคชันต่างๆ เพื่อวัตถุประสงค์ในการโฆษณา ทำไม เป็นความเชื่อของเราที่ว่าอนาคตที่มีการควบคุมที่เพิ่มขึ้นและการเปลี่ยนแปลงความคิดเห็นของประชาชนที่กำลังจะเกิดขึ้นจะเพิ่มการตรวจสอบข้อมูลผู้ใช้มือถือ และแน่นอนว่า Apple เลิกใช้ UUID กับ iOS 5 ทำให้เกิดความท้าทายมากมายสำหรับบริษัทอุปกรณ์พกพาหลายแห่ง แต่ไม่ใช่สำหรับ Braze

ความจริงก็คือ วิธีการของเราในการรักษาความปลอดภัยและปัญหาความเป็นส่วนตัวของข้อมูลได้รับการพิจารณาและมุ่งสู่ระยะยาวมาโดยตลอด ดังที่เห็นได้จากแนวทางที่เราปฏิบัติตามกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป เป็นเวลากว่าห้าปีที่ Braze ได้ว่าจ้างบริษัทรักษาความปลอดภัยอิสระเพื่อดำเนินการทดสอบการเจาะระบบโดยบุคคลที่สาม โดยให้การรับรองความปลอดภัยและการควบคุมจากภายนอกที่ควบคุมผลิตภัณฑ์ ย้อนกลับไปในปี 2016 เราทำงานร่วมกับผู้เชี่ยวชาญบุคคลที่สามเกี่ยวกับกฎหมายว่าด้วยความสามารถในการพกพาและความรับผิดชอบในการประกันสุขภาพของสหรัฐอเมริกาปี 1996 (HIPAA) เพื่อสร้างข้อเสนอการปฏิบัติตามข้อกำหนด HIPAA สำหรับผลิตภัณฑ์ของเรา และในปี 2017 เราประสบความสำเร็จในการควบคุมองค์กรบริการ (SOC) ที่ประสบความสำเร็จ 2 แบบทดสอบ 1 ความพยายามทั้งหมดเหล่านี้เป็นส่วนหนึ่งของการมุ่งเน้นที่การปรับปรุงอย่างต่อเนื่องและเพิ่มขึ้นเรื่อยๆ สำหรับแนวทางการรักษาความปลอดภัยของ Braze

หลังจากผ่านกระบวนการที่ยาวนานและละเอียดถี่ถ้วนแล้ว ฉันภูมิใจที่จะแจ้งให้ทราบว่า Braze ได้เสร็จสิ้นการตรวจสอบ SOC 2 Type 2 และการรับรอง ISO 27001 ในช่วงปีปฏิทิน 2018 เรียบร้อยแล้ว ขั้นตอนการรักษาความปลอดภัยใหม่ที่สำคัญเหล่านี้ทำให้ลูกค้าของเรารู้สึกมั่นใจมากขึ้นว่าเราทำในสิ่งที่เราพูดเกี่ยวกับการควบคุมความปลอดภัยของเรา

SOC2 คืออะไร?

มาตรฐาน SOC 2 ซึ่งดูแลโดย American Institute of Certified Public Accountants (AICPA) กำหนดข้อกำหนดในการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับการควบคุมความปลอดภัยของบริษัทที่กำหนด เพื่อให้มั่นใจว่าบริษัทได้กำหนดนโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลที่เข้มงวดซึ่งครอบคลุมหลักการบริการความน่าเชื่อถือห้าประการ :

  • มีจำหน่าย
  • ความปลอดภัย
  • ความสมบูรณ์ในการประมวลผล
  • การรักษาความลับ
  • ความเป็นส่วนตัว

เมื่อบริษัทผ่านการตรวจสอบ SOC 2 บริษัทจะขอให้สรุปว่ากระบวนการและการควบคุมความปลอดภัยได้รับการออกแบบให้ตรงตามเกณฑ์สำหรับหลักการการบริการที่เชื่อถือได้อย่างไร จากนั้นการควบคุมเหล่านี้จะได้รับการตรวจสอบโดยผู้ตรวจสอบที่เป็นบุคคลที่สามเพื่อประเมินความเหมาะสมของการควบคุมความปลอดภัยเหล่านั้น ในด้านการออกแบบและประสิทธิภาพในการปฏิบัติงาน ในท้ายที่สุด กระบวนการปฏิบัติตาม SOC 2 จะมุ่งเน้นไปที่วิธีที่องค์กรหนึ่งๆ จัดการกับความเสี่ยงด้านความปลอดภัยของข้อมูล และวิธีที่ทำให้มั่นใจได้ว่ามีการควบคุมที่เหมาะสมเพื่อลดความเสี่ยงเหล่านั้นให้อยู่ในระดับที่ยอมรับได้

กระบวนการ SOC 2 คือการตรวจสอบทางเทคนิค ซึ่งผู้ตรวจสอบบุคคลที่สามจะสร้างรายงานการรับรองที่อธิบายแง่มุมต่างๆ ของการควบคุมความปลอดภัยของบริษัท ส่วนแรกของการตรวจสอบหรือที่เรียกว่า SOC 2 Type 1 คือการตรวจสอบที่เรียกว่า "จุดในเวลา" ซึ่งสำนักงานตรวจสอบอิสระตรวจสอบเอกสาร ระบบ และการควบคุมในสถานที่ และขอหลักฐานการใช้งานในปัจจุบัน หากหลักฐานที่บริษัทให้มาแสดงให้เห็นว่าพวกเขามีระบบการจัดการความปลอดภัยของข้อมูลที่ออกแบบมาอย่างเหมาะสม โดยทั่วไปแล้วพวกเขาจะทำการตรวจสอบประเภท 1 ให้เสร็จสิ้น—คุณสามารถนึกถึงประเภทที่ 1 ว่าเป็นคนที่พูดว่า “การควบคุมความปลอดภัยเหล่านี้ดูดี…และหากความปลอดภัยเหล่านี้ มีการใช้การควบคุมจริง ดังนั้นฉันคาดว่าบริษัทจะยอมรับความเสี่ยงด้านข้อมูลได้”

ในทางกลับกัน การตรวจสอบ SOC 2 Type 2 จะเกิดขึ้นในระยะเวลานานขึ้น—อย่างน้อยหกเดือน ระยะเวลาการตรวจสอบ SOC 2 Type 2 สำหรับ Braze คือวันที่ 1 มกราคม 2018 ถึง 30 มิถุนายน 2018 ในช่วงเวลานี้ พนักงานของ Braze ดำเนินการตามปกติในแต่ละวันที่สอดคล้องกับการควบคุมที่เราได้สรุปไว้ในประเภทที่ 1 .

จากนั้นในเดือนกรกฎาคม 2018 ผู้ตรวจสอบภายนอกเข้ามาในสถานที่เพื่อตรวจสอบคำอธิบายของการควบคุมความปลอดภัยของ Braze อีกครั้ง และขอให้สุ่มตัวอย่างหลักฐานของการใช้การควบคุมเหล่านั้นในช่วง 6 เดือนที่ผ่านมาเพื่อยืนยันการปฏิบัติตาม ภายใต้กระบวนการนี้ ผู้ตรวจสอบบัญชีกำลังมองหาเพื่อให้แน่ใจว่าสิ่งที่บริษัทกล่าวว่ากำลังดำเนินการอยู่นั้นสะท้อนถึงสิ่งที่บริษัททำอยู่จริง: “คุณบอกว่าพนักงานใหม่ทุกคนมีการตรวจสอบประวัติอาชญากรรมหรือไม่ ขอรายชื่อพนักงานใหม่มา แล้วฉันจะสุ่มเลือกมาสองสามอย่าง แล้วเราจะมาดูกันว่าคุณจะให้หลักฐานไหมว่าคุณได้ตรวจสอบภูมิหลังของพวกเขาแล้ว คุณบอกว่าการเปลี่ยนแปลงโค้ดทั้งหมดได้รับการตรวจสอบก่อนที่จะนำไปใช้กับการผลิตหรือไม่ ขอรายการการเปลี่ยนแปลงรหัสทั้งหมดในช่วงหลายเดือนที่ผ่านมา ฉันจะสุ่มเลือกสองสามรายการ จากนั้นขอให้คุณแสดงหลักฐานของการอนุมัติอย่างต่อเนื่อง”

นี่คือการมุ่งเน้นที่วิธีการควบคุมความปลอดภัยของบริษัท เทียบกับวิธีที่บริษัทกล่าวว่าพวกเขาดำเนินการซึ่งทำให้ SOC2 Type 2 เป็นการตรวจสอบกระบวนการของบริษัทอย่างเข้มงวด

ISO 27001 คืออะไร?

แตกต่างจาก SOC 2 ซึ่งเป็นรายงานการรับรองที่จัดทำเอกสารการควบคุมความปลอดภัย การรับรอง ISO 27001 ยืนยันว่าองค์กรได้ดำเนินการประเมินความเสี่ยงด้านความปลอดภัยอย่างครอบคลุมและได้สร้างระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ที่สอดคล้องกับข้อกำหนดที่กำหนดไว้ภายใน มาตรฐานการจัดการความปลอดภัยของข้อมูลระดับโลกขององค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO)

ISMS คือกรอบงานและชุดนโยบายและขั้นตอนที่เกี่ยวข้องซึ่งออกแบบมาเพื่อจัดการความเสี่ยง ข้อมูลที่เป็นความลับ และวิธีการรักษาความปลอดภัยขององค์กร ISO 27001 ให้โครงร่างของข้อกำหนดบังคับซึ่งมากกว่าที่ ISMS ควรมี เช่น การควบคุมความปลอดภัยทางกายภาพและสิ่งแวดล้อม ความสัมพันธ์กับซัพพลายเออร์ การควบคุมการเข้าถึง ความปลอดภัยของทรัพยากรบุคคล การจัดการเหตุการณ์ และอื่นๆ

การรับรอง ISO 27001 ของเราเกิดขึ้นในช่วงไตรมาสที่ 4 ปี 2018 เมื่อผู้ตรวจสอบที่เป็นบุคคลที่สามทำการประเมิน Braze อย่างละเอียดเพื่อยืนยันว่า:

  • Braze ปฏิบัติตามนโยบาย วัตถุ และขั้นตอนความปลอดภัยของตัวเอง
  • Braze ISMS เป็นไปตามข้อกำหนดทั้งหมดของมาตรฐาน ISO 27001
  • Braze ISMS ประสบความสำเร็จในการบรรลุวัตถุประสงค์ของนโยบายทั้งหมดที่กำหนดโดย Braze ซึ่งเกี่ยวข้องกับการจัดการความปลอดภัยของข้อมูล

หลังจากการตรวจสอบโดยบุคคลที่สามเสร็จเรียบร้อยแล้ว Braze ได้รับการรับรอง ISO 27001 เมื่อปลายปีที่แล้ว

ดำเนินต่อไป

Braze ยินดีที่จะจัดทำทั้งรายงาน SOC 2 Type 2 ของเรา ซึ่งอธิบายผลการตรวจสอบประเภท 2 ของเรา และการรับรอง ISO 27001 ของเราพร้อมให้บริการแก่ลูกค้า Braze เมื่อมีการร้องขอ

เรากำลังประเมินความปลอดภัยที่ Braze อย่างต่อเนื่อง และมองหาวิธีเพิ่มเติมในการแสดงความมุ่งมั่นในระดับสูงในการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่บริษัทของเราเป็นที่รู้จัก และลูกค้าของเราคาดหวัง ส่วนหนึ่งของความพยายามดังกล่าว Braze มุ่งมั่นที่จะรับการตรวจสอบ SOC 2 Type 2 เป็นประจำทุกปี ควบคู่ไปกับการตรวจสอบการเฝ้าระวังสำหรับ ISO 27001 และการทดสอบการเจาะระบบโดยบุคคลที่สามตามปกติของเรา ความพยายามในการปฏิบัติตามข้อกำหนดในอนาคตกำลังดำเนินการอยู่ และเรารู้สึกตื่นเต้นที่จะแบ่งปันสิ่งเหล่านี้กับคุณในปี 2019