• Anasayfa
  • Nesne
  • Pazarlama
  • Güvenliğe Adanmışlık: Braze, ISO 27001 Sertifikasını Aldı ve SOC 2 Tip 2 Denetimini Başarıyla Tamamladı

Güvenliğe Adanmışlık: Braze, ISO 27001 Sertifikasını Aldı ve SOC 2 Tip 2 Denetimini Başarıyla Tamamladı

Yayınlanan: 2019-01-30

Güvenlik ve veri gizliliği, Braze'de her zaman bizim için temel odak noktası olmuştur.

2011 yılında, iOS SDK'mızın ilk sürümünü oluştururken, şirketimiz, her iOS cihazıyla ilişkili ve takip etmek için uygulamalar tarafından okunabilen benzersiz evrensel tanımlayıcıyı (UUID) toplamama konusunda açık bir karar verdi. reklam amaçlı farklı uygulamalar arasında bir kullanıcı. Neden? Niye? Artan düzenlenmiş bir geleceğin ve yaklaşan bir kamuoyu değişikliğinin mobil kullanıcı verilerinin incelemesini artıracağına inanıyoruz. Ve tabii ki Apple, iOS 5 ile UUID'yi kullanımdan kaldırarak birçok mobil şirket için bir dizi zorluk yarattı, ancak Braze için değil.

Gerçek şu ki, AB'nin Genel Veri Koruma Tüzüğü'ne (GDPR) yönelik yaklaşımımızın da kanıtladığı gibi, güvenlik ve veri gizliliği konularına yaklaşımımız her zaman kasıtlı ve uzun vadeli olmuştur. Braze, beş yıldan fazla bir süredir, güvenlik ve ürünü yöneten kontroller için harici tasdik sağlayan üçüncü taraf sızma testleri gerçekleştirmesi için bağımsız güvenlik firmaları tuttu. 2016 yılında, ürünümüzün HIPAA uyumluluğu teklifini oluşturmak için 1996 ABD Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) konusunda üçüncü taraf uzmanlarla birlikte çalıştık ve 2017'de başarılı bir Hizmet Organizasyonu Kontrolünü (SOC) tamamladık. 2 Tip 1 muayene. Tüm bu çabalar, Braze'in güvenlik yaklaşımına yönelik sürekli ve kademeli iyileştirmelere odaklanmamızın bir parçasıdır.

Ve şimdi, uzun ve kapsamlı bir sürecin ardından, Braze'nin 2018 takvim yılında SOC 2 Tip 2 denetimini ve ISO 27001 sertifikasyonunu başarıyla tamamladığını paylaşmaktan gurur duyuyorum. Bu önemli yeni güvenlik adımları, müşterilerimizin güvenlik kontrollerimizle ilgili olarak yaptığımızı söylediğimiz şeyi yaptığımız konusunda daha fazla güven duyabilecekleri anlamına geliyor.

SOC2 nedir?

Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından denetlenen SOC 2 standardı, belirli bir şirketin güvenlik kontrolleriyle bağlantılı olarak uyumluluk gereksinimlerini belirleyerek, firmanın beş Güven Hizmeti İlkesini kapsayan katı bilgi güvenliği politikaları ve prosedürleri oluşturmasını sağlar. :

  • kullanılabilirlik
  • Güvenlik
  • İşleme Bütünlüğü
  • Gizlilik
  • Mahremiyet

Bir şirket bir SOC 2 denetiminden geçtiğinde, güvenlik süreçlerinin ve kontrollerinin belirli bir Güven Hizmeti İlkesi kriterlerini karşılamak üzere nasıl tasarlandığını ana hatlarıyla belirtmesi istenir. Ardından, tasarım ve işletim etkinliği söz konusu olduğunda bu güvenlik kontrollerinin uygunluğunu değerlendirmek için bu kontroller bir üçüncü taraf denetçi tarafından gözden geçirilir. Sonuç olarak, SOC 2 uyumluluk süreci, belirli bir kuruluşun bilgi güvenliği risklerini nasıl ele aldığına ve bu riskleri kabul edilebilir seviyelere indirmek için uygun kontrollerin nasıl uygulandığına odaklanır.

SOC 2 süreci, üçüncü taraf denetçinin şirketin güvenlik kontrolünün özelliklerini açıklayan bir tasdik raporu ürettiği teknik bir denetimdir. Denetimin SOC 2 Tip 1 olarak bilinen ilk kısmı, bağımsız denetim firmasının belgeleri, sistemleri ve kontrolleri yerinde incelediği ve mevcut kullanımlarına dair kanıt istediği “belirli bir nokta” denetimidir. Bir şirketin sağladığı kanıtlar, uygun şekilde tasarlanmış bir bilgi güvenliği yönetim sistemine sahip olduklarını gösteriyorsa, genellikle 1. Tip denetimi tamamlarlar; 1. Tip'i, "Bu güvenlik kontrolleri iyi görünüyor... kontroller gerçekten kullanılıyorsa, şirketin bilgi riskini kabul edilebilir bir şekilde azaltacağını umuyorum.”

SOC 2 Tip 2 denetimi ise daha uzun bir süreyi kapsar - en az altı ay. Braze için SOC 2 Tip 2 denetim dönemi 1 Ocak 2018 ile 30 Haziran 2018 arasındaydı. Bu süre zarfında Braze personeli, Tip 1'de ana hatlarıyla belirttiğimiz kontrollere uygun olarak normal bir günlük şekilde çalıştı. .

Ardından, Temmuz 2018'de, Braze güvenlik kontrollerinin açıklamasını yeniden gözden geçirmek için saha dışından bir denetçi geldi ve uyumu doğrulamak için bu kontrollerin önceki altı aydaki kullanımına ilişkin kanıtların rastgele bir örneklemesini istedi. Bu süreçte denetçi, bir şirketin yaptığını söylediği şeyin gerçekte ne yaptığını yansıttığından emin olmaya çalışır: “Tüm yeni işe alınanların sabıka kaydının kontrol edildiğini mi söylüyorsunuz? Bana yeni işe alınanların bir listesini verin, ben de rastgele birkaç tane seçeyim, bakalım onların geçmişini kontrol ettiğinize dair kanıt sunabilecek misiniz? Tüm kod değişikliklerinin üretime dağıtılmadan önce gözden geçirildiğini mi söylüyorsunuz? Bana son aylardaki tüm kod değişikliklerinin bir listesini verin, birkaçını rastgele seçeceğim ve sonra sizden bana onay zincirinin kanıtını sağlamanızı isteyeceğim.”

SOC2 Type 2'yi bir şirketin süreçlerinin bu kadar güçlü bir doğrulamasını yapan şey, bir şirketin güvenlik kontrollerinin gerçekte nasıl çalıştığına karşı şirketin nasıl çalıştığını söylediğine odaklanmasıdır.

ISO 27001 nedir?

Güvenlik kontrollerini belgeleyen bir doğrulama raporu olan SOC 2'den farklı olarak, bir ISO 27001 sertifikası, bir kuruluşun kapsamlı bir güvenlik riskleri değerlendirmesi gerçekleştirdiğini ve içinde belirtilen gereksinimlerle uyumlu bir Bilgi Güvenliği Yönetim Sistemi (BGYS) oluşturduğunu onaylar. Uluslararası Standardizasyon Örgütü'nün (ISO) küresel bilgi güvenliği yönetimi standardı.

BGYS, bir kuruluşun riskini, gizli bilgilerini ve güvenlik yaklaşımını yönetmek için tasarlanmış bir çerçeve ve ilgili politikalar ve prosedürler dizisidir. ISO 27001, fiziksel ve çevresel güvenlik, tedarikçi ilişkileri, erişim kontrolü, insan kaynakları güvenliği, olay yönetimi ve daha fazlası için kontroller gibi bir BGYS'nin sahip olması gereken zorunlu gereksinimlerin bir taslağını sağlar.

ISO 27001 Sertifikasyonumuz, üçüncü taraf bir denetçinin aşağıdakileri doğrulamak için Braze'in kapsamlı bir değerlendirmesini yaptığı 2018'in 4. çeyreğinde gerçekleşti:

  • Braze kendi güvenlik politikalarına, nesnelerine ve prosedürlerine bağlı kalır
  • Braze ISMS, ISO 27001 standardının tüm gereksinimlerine uygundur
  • Braze ISMS, Braze tarafından bilgi güvenliği yönetimi ile bağlantılı olarak belirlenen tüm politika hedeflerini başarıyla gerçekleştirir.

Bu üçüncü taraf denetiminin başarıyla tamamlanmasının ardından Braze, geçen yılın sonunda akredite bir ISO 27001 sertifikası aldı.

İleriye gidiyor

Braze, hem Tip 2 denetimimizin sonuçlarını açıklayan SOC 2 Tip 2 Raporumuzu hem de ISO 27001 sertifikamızı talep üzerine Braze müşterilerine sunmaktan mutluluk duyar.

Braze'de güvenliği sürekli olarak değerlendiriyoruz ve şirketimizin bilindiği ve müşterilerimizin beklediği yüksek düzeyde güvenlik ve veri gizliliği taahhüdünü sergilemek için ek yollar arıyoruz. Bu çabanın bir parçası olarak Braze, ISO 27001 için gözetim denetimleri ve düzenli üçüncü taraf sızma testlerimizin yanı sıra yıllık bazda SOC 2 Tip 2 denetiminden geçmeyi taahhüt etmiştir. Gelecekteki uyumluluk çalışmaları devam etmektedir ve bunları 2019'da sizinle paylaşmaktan heyecan duyuyoruz.