Brave为其Brave Search API获得SOC 2 Type II认证

Brave的使命是构建一个用户至上的网络——我们所做的一切都建立在最强大的安全和隐私原则之上。这包括我们开发面向终端用户的工具，如Brave浏览器和Brave搜索引擎。在这些工具中，我们应用严格的控制和最高的内部安全标准，以确保用户得到保护，甚至免受我们自身的影响。

这一高标准也延伸至我们的商业产品，包括Brave Search API。这是一个开发者工具，用于利用源自Brave独立搜索索引的网络数据构建应用程序。

近期，Brave Search API经历了一次彻底的外部审计，并获得了我们的首份SOC 2 Type II鉴证报告。SOC 2将使Brave Search API客户确信，他们所依赖的主要数据源之一，其运营安全已根据行业标准基准得到独立验证。

什么是SOC 2？

SOC 2是由美国注册会计师协会制定的一项自愿性合规标准，旨在帮助像Brave这样的服务提供组织保护客户数据并管理内部控制。SOC 2通过一个名为“信任服务标准”的评估体系来评判组织保障数据的能力，这些标准包括：安全性、可用性、处理完整性、保密性和隐私性。

客户和合作伙伴通常要求获得SOC 2合规性，以确保实施了强有力的数据保护实践。这有助于客户（在此指使用Brave Search API构建AI和搜索应用程序等产品的合作伙伴）评估与我们服务相关的风险。

获得SOC 2鉴证的过程是怎样的？

为了完成审计并获得SOC 2 Type II鉴证，我们无需改变日常工作或开发方式。相反，我们需要记录我们日常已经在使用的安全控制措施，包括：我们如何管理对内部系统和代码仓库的访问；如何响应事件和中断；如何监控系统和基础设施；以及如何持续监控和评估我们服务面临的新风险和威胁。

审计（在三个月的观察期内进行）审查了我们的安全实践在实际系统中运行的效果。这包括与Brave员工会面、检查我们的技术流程以及审查我们的文档。此项工作由科技行业知名的独立审计公司Prescient Security监督。为准备审计，Brave Search API还接受了由Secure Network执行的外部网络渗透测试和Web服务渗透测试。他们发现了一个低严重性问题，并已得到修复。

总之，我们的内部安全实践经过了严格审查，并被认为达到了我们所追求的同样安全、稳定和具有韧性的水平。

SOC 2对Brave Search API客户为何重要？

许多企业客户要求SOC 2合规——它使安全和隐私尽职调查的过程更加顺畅，并更易于依据客观的第三方标准进行验证。对Brave而言，SOC 2通过独立审计师的审查，验证了我们搜索API的安全控制措施。

获得认证需要多长时间？Brave Search API将多久接受一次审计？

独立审计师在三个月的观察期内对我们的安全控制措施进行了验证。此后，我们将每年接受一次审计，以确保持续的SOC 2 Type II合规。

最终的SOC 2报告包含什么内容？在哪里可以查看Brave的SOC 2审计报告？

Brave的SOC 2最终报告可根据我们的信任中心，在签订保密协议后应要求提供。我们还将把鉴证详情添加到搜索API仪表板的安全页面，供所有搜索API客户查看。