• 主頁
  • 文章
  • 營銷學
  • 致力於安全:Braze 獲得 ISO 27001 認證並成功完成 SOC 2 Type 2 審核

致力於安全:Braze 獲得 ISO 27001 認證並成功完成 SOC 2 Type 2 審核

已發表: 2019-01-30

安全和數據隱私一直是我們 Braze 關注的重點。

早在 2011 年,當我們構建 iOS SDK 的第一個版本時,我們公司明確決定不收集與每個 iOS 設備關聯的唯一通用標識符 (UUID),應用程序可以讀取該標識符以進行跟踪出於廣告目的跨不同應用程序的用戶。 為什麼? 我們相信,日益受到監管的未來和即將發生的輿論巨變將加強對移動用戶數據的審查。 果然,Apple 在 iOS 5 中棄用了 UUID,給許多移動公司帶來了一系列挑戰——但對 Braze 來說卻不是。

事實是,我們處理安全和數據隱私問題的方法一直是經過深思熟慮的,並著眼於長期,正如我們對歐盟通用數據保護條例 (GDPR) 採取的方法所證明的那樣。 五年多來,Braze 聘請了獨立的安全公司進行第三方滲透測試,為產品的安全和控制提供外部證明。 早在 2016 年,我們就與 1996 年美國健康保險流通與責任法案 (HIPAA) 的第三方專家合作,為我們的產品構建了符合 HIPAA 的產品,並在 2017 年成功完成了服務組織控制 (SOC) 2 第一類考試。 所有這些努力都是我們專注於對 Braze 安全方法進行持續、增量改進的一部分。

現在,經過漫長而徹底的過程,我很自豪地分享 Braze 在 2018 日曆年成功完成了其 SOC 2 Type 2 審核和 ISO 27001 認證。 這些關鍵的新安全步驟意味著我們的客戶可以更加自信地相信我們在安全控制方面言行一致。

什麼是 SOC 2?

由美國註冊會計師協會 (AICPA) 監督的 SOC 2 標準規定了與特定公司的安全控制相關的合規要求,確保公司製定了涵蓋五項信任服務原則的嚴格信息安全政策和程序:

  • 可用性
  • 安全
  • 處理完整性
  • 保密
  • 隱私

當一家公司接受 SOC 2 審計時,它被要求概述其安全流程和控制是如何設計的,以滿足給定的信任服務原則的標準。 然後這些控制由第三方審計師審查,以評估這些安全控制在設計和運營有效性方面的適用性。 最終,SOC 2 合規流程的重點是給定組織如何應對信息安全風險,以及如何確保採取適當的控制措施將這些風險降低到可接受的水平。

SOC 2 流程是一項技術審核,第三方審核員會生成一份證明報告,描述公司安全控制的各個方面。 審計的第一部分,稱為 SOC 2 Type 1,是所謂的“時間點”審計,獨立審計公司審查文件、系統和控制措施,並要求提供其當前使用的證據。 如果一家公司提供的證據表明他們有一個設計合理的信息安全管理系統,他們通常會完成第 1 類審計——你可以把第 1 類審計想像成有人說:“這些安全控制看起來不錯……如果這些安全如果實際使用了控制措施,那麼我預計公司會以可接受的方式降低信息風險。”

另一方面,SOC 2 Type 2 審核需要更長的時間——至少六個月。 Braze 的 SOC 2 第 2 類審核期為 2018 年 1 月 1 日至 2018 年 6 月 30 日。在此期間,Braze 員工以正常的日常方式運作,符合我們在第 1 類中概述的控制措施.

然後在 2018 年 7 月,一名外部審計員來到現場重新審查了 Braze 安全控制的描述,並要求對過去六個月使用這些控制的證據進行隨機抽樣,以驗證遵守情況。 在這個過程中,審計師希望確保公司所說的行為反映了它實際在做的事情:“你說所有新員工都進行了犯罪背景調查? 給我一份新員工的名單,我會隨機挑選一些,我們會看看你能否向我提供你做過背景調查的證據。 您說所有代碼更改在部署到生產之前都經過審查? 給我一份過去幾個月所有代碼更改的清單,我會隨機挑選一些,然後我會要求你提供批准鏈的證據。”

正是這種對公司安全控制實際運作方式與公司所說的運作方式的關注,使得 SOC2 Type 2 成為對公司流程的有力驗證。

什麼是 ISO 27001?

與記錄安全控制的證明報告 SOC 2 不同,ISO 27001 認證確認組織已對安全風險進行了全面評估,並創建了符合安全控制中規定的信息安全管理系統 (ISMS)國際標準化組織 (ISO) 的全球信息安全管理標準。

ISMS 是一個框架和相關的政策和程序集,旨在管理組織的風險、機密信息和安全方法。 ISO 27001 提供了 ISMS 應有的強制性要求大綱,例如物理和環境安全控制、供應商關係、訪問控制、人力資源安全、事件管理等。

我們的 ISO 27001 認證於 2018 年第四季度進行,當時第三方審核員對 Braze 進行了全面評估,以確認:

  • Braze 遵守自己的安全策略、對象和程序
  • Braze ISMS 符合 ISO 27001 標準的所有要求
  • Braze ISMS 成功實現了 Braze 制定的與信息安全管理相關的所有政策目標

在成功完成第三方審核後,Braze 在去年底獲得了經認可的 ISO 27001 認證。

往前走

Braze 很高興根據要求向 Braze 客戶提供描述我們的第 2 類審核結果的 SOC 2 第 2 類報告和我們的 ISO 27001 認證。

我們一直在評估 Braze 的安全性,並尋找其他方法來展示我們公司眾所周知的以及我們的客戶所期望的對安全和數據隱私的高度承諾。 作為這項工作的一部分,Braze 承諾每年接受 SOC 2 Type 2 審核,以及 ISO 27001 監督審核和我們定期的第三方滲透測試。 未來的合規工作正在進行中,我們很高興在 2019 年與您分享。