安全和數據隱私一直是一個關鍵焦點為我們在Braze。
早在2011年,當我們開發iOS SDK的第一個版本時,我們公司就明確決定不收集與每個iOS設備相關的唯一通用標識符(UUID),因為應用程序可以讀取UUID,從而在不同的應用程序中追蹤用戶,從而達到廣告目的。為什麼?我們相信,越來越規範的未來和即將到來的輿論巨變將加強對移動用戶數據的審查。果不其然,蘋果在iOS 5中棄用了UUID,創造了一係列的挑戰對許多移動公司來說是這樣,但對Braze來說不是。
事實是,我們在安全和數據隱私問題上的做法一直是深思熟慮的,並麵向長期的我們對歐盟《一般數據保護條例》采取的措施(GDPR)。五年多來,Braze聘請了獨立的安全公司進行第三方滲透測試,為產品的安全和控製提供外部認證。早在2016年,我們就與第三方專家就美國醫療保險可攜性與責任法案(HIPAA)合作,為我們的產品構建符合HIPAA的產品,並在2017年成功完成SOC (Service Organization Control) 2類型1檢查。所有這些努力都是我們專注於持續、漸進地改進Braze安全方法的一部分。
現在,經過漫長而徹底的過程,我很自豪地與大家分享,Braze已經成功完成了2018年的SOC 2 Type 2審核和ISO 27001認證。這些關鍵的新安全措施意味著我們的客戶可以更有信心,我們說到做到,尊重我們的manbetx万博全站客户端安全控製.
SOC 2是什麼?
SOC 2標準,它由美國注冊會計師協會(AICPA)規定了與給定公司安全控製相關的合規性要求,確保公司建立了嚴格的信息安全政策和程序,涵蓋五項信任服務原則:
- 可用性
- 安全
- 處理完整性
- 保密
- 隱私
當公司進行SOC 2審計時,它被要求概述其安全流程和控製是如何設計的,以滿足給定的信任服務原則的標準。然後由第三方審計員對這些控製進行審查,以評估這些安全控製在設計和運行有效性方麵的適用性。最終,SOC 2遵從過程的重點是給定的組織如何處理信息安全風險,以及如何確保適當的控製到位,將這些風險降低到可接受的水平。
SOC 2過程是一種技術審計,其中第三方審核員生成一份描述公司安全控製方麵的認證報告。審計的第一部分,稱為SOC 2類型1,是所謂的“時間點”審計,在此獨立審計公司審查文件、係統和控製到位,並要求其當前使用的證據。如果一家公司提供的證據表明他們有一個設計合理的信息安全管理係統,通常他們會完成第1類審計——你可以把第1類審計想象成某人說,“這些安全控製看起來不錯……如果這些安全控製真的被使用了,那麼我預計該公司將可接受地降低信息風險。”
另一方麵,SOC 2類型2審計需要更長的時間——至少6個月。Braze的SOC 2 Type 2審計期為2018年1月1日至2018年6月30日。在此期間,Braze的工作人員按照我們在第1型中概述的控製方式進行日常操作。
然後在2018年7月,一名外部審計師來到現場,重新審查Braze安全控製的描述,並要求對這些控製在過去6個月使用的證據進行隨機抽樣,以驗證遵守性。在這一過程中,審計人員要確保公司的口實相符:“你說所有新員工都進行過犯罪背景調查?給我一份新員工的名單,我會隨機挑選幾個,然後看你能不能提供證據證明你對他們做了背景調查。您是說所有的代碼更改都要在部署到生產環境之前進行檢查?給我一份過去幾個月所有代碼更改的清單,我會隨機挑選一些,然後我會要求你提供審批鏈的證據。”
正是這種對公司安全控製的實際操作方式與公司聲稱的操作方式的關注,使SOC2 Type 2成為對公司流程的強大驗證。
什麼是iso27001 ?
與SOC 2不同的是,SOC 2是記錄安全控製的認證報告ISO 27001認證確認組織已經對安全風險進行了全麵的評估,並創建了符合《信息安全管理體係》中規定的要求的信息安全管理體係(ISMS)國際標準化組織(ISO)的全球信息安全管理標準。
ISMS是一個框架和一組相關的策略和過程,旨在管理組織的風險、機密信息和安全方法。ISO 27001提供了ISMS應具備的強製性要求的大綱,如對物理和環境安全的控製、供應商關係、訪問控製、人力資源安全、事件管理等。
我們的ISO 27001認證是在2018年第四季度進行的,當時第三方審核員對Braze進行了徹底的評估,確認:
- Braze堅持自己的安全策略、對象和過程
- 釺焊ISMS符合ISO 27001標準的所有要求
- Braze ISMS成功實現了Braze在信息安全管理方麵製定的所有政策目標
在成功完成第三方審核後,Braze於去年年底獲得了ISO 27001認證。
展望未來
Braze很高興將我們的SOC 2類型2報告(描述了我們的2類型審計的結果)和我們的ISO 27001認證根據要求提供給Braze客戶。manbetx万博全站客户端
我們一直在評估Braze的安全性,並尋找其他方式來展示我們公司在安全和數據隱私方麵的高水平承諾,這是我們公司眾所周知的,也是我們客戶所期望的。manbetx万博全站客户端作為這一努力的一部分,Braze承諾每年進行SOC 2 Type 2審計,以及ISO 27001的監督審計和我們定期的第三方滲透測試。未來的合規工作正在進行中,我們很高興能在2019年與大家分享。