Datenschutz, Sicherheit und Compliance

Für: BROSHs Plattform-Apps

01

Informationssicherheit

Bei BROSH nehmen wir Sicherheit ernst! Wir orientieren uns bei unserem Sicherheitsprogramm an Branchenstandards wie ISO 27001 und den CIS Critical Security Controls. Wir suchen ständig nach Möglichkeiten, nicht nur die Sicherheit unseres Produkts, sondern auch die Art und Weise, wie wir täglich unsere Geschäfte abwickeln, zu verbessern.

Ein weit verteiltes Team bringt seine eigenen Herausforderungen mit sich. Deshalb stellen wir sicher, dass jeder Mitarbeiter seine Rolle bei der Sicherheit von BROSH versteht. Wir verwenden auch Tools, die uns dabei helfen, die Einhaltung unserer internen Sicherheitsrichtlinien durchzusetzen.

Einhaltung

BROSH entspricht dem internationalen Standard ISO 27001 und dem vom AICPA definierten Standard SOC 2 .

Unsere Online-Zahlungsabwickler Google und PayPal sind beide als Level 1 Service Provider (PCI DSS) zertifiziert. BROSH hat niemals Zugriff auf vertrauliche Zahlungsdaten.

BROSH hält sich an die CCPA- und DSGVO-Vorschriften.

Rechtliches

Servicebedingungen

Anhang zum Datenschutz

Cookie-Richtlinie

Privatsphäre

CCPA-Hinweis

02

Interne Sicherheitsmaßnahmen

Personalsicherheit

Alle Mitarbeiter werden einer Hintergrundüberprüfung unterzogen, müssen die Sicherheitsrichtlinie anerkennen und eine Vertraulichkeitsvereinbarung unterzeichnen.

Identitäts- und Zugriffsverwaltung

Mitarbeiter haben eindeutige Logins für alle geschäftskritischen Systeme und wo immer möglich wird eine Zwei-Faktor-Authentifizierung erzwungen. Wir führen regelmäßige Zugriffsprüfungen durch und arbeiten nach dem Prinzip der geringsten Privilegien.

Hardware-Sicherheit

Alle Laptops der Mitarbeiter werden verwaltet, verfügen über verschlüsselte Festplatten und werden mit Antivirensoftware überwacht.

Physische Sicherheit

Das Büro von BROSH ist durch Türen mit Schlüsselanhänger gesichert. Ein- und Ausgänge werden beobachtet und von einer Überwachungskamera aufgezeichnet. Das Büro wird durch ein Alarmsystem überwacht und geschützt.

Netzwerksicherheit

Das interne Netzwerk ist eingeschränkt, segmentiert und passwortgeschützt.

Sicherheitsschulung

Im Rahmen unserer Verpflichtung, sicherzustellen, dass jedes Mitglied unseres Teams seine Rolle in Sachen Sicherheit versteht, bieten wir das ganze Jahr über fortlaufende Sicherheitsschulungen an, darunter auch regelmäßige Phishing-Tests. Jeder neue Mitarbeiter nimmt innerhalb der ersten zwei Wochen nach seiner Einstellung an einer Sicherheitsschulung teil, um zu lernen, Bedrohungen wie Social Engineering und Phishing zu erkennen.

Darüber hinaus müssen Mitarbeiter und Auftragnehmer mit Codierungsverantwortung Schulungen zum sicheren Code absolvieren.


03

BROSHs Anwendungssicherheit

BROSH wird in öffentlichen Clouds wie AWS und GOOGLE Cloud gehostet und bietet uns Zugriff auf die Vorteile, die diese ihren Kunden bieten, wie etwa physische Sicherheit, Redundanz, Skalierbarkeit und Schlüsselverwaltung.

Zusätzlich zu den Vorteilen, die die öffentliche Cloud bietet, verfügt unsere Anwendung über weitere integrierte Sicherheitsfunktionen:

  • Rollenbasierte Berechtigungen
  • Automatisierung
  • Backups und Versionierung
  • Zwei-Faktor-Authentifizierung *
  • SSO-Funktionen mit G Suite *
  • Einmalige Anmeldung *
* Die Funktionen variieren je nach Abonnementstufe

Kundendaten und Datenschutz

BROSH speichert folgende Kundendaten in seiner Cloud:

  • Namen
  • Benutzernamen und E-Mail-Adressen
  • Rechnungs-E-Mail-Adresse
  • Zahlungshistorie und Rechnungen
  • Telefonnummer (optional)
  • Rechnungsadresse
  • Firma (optional)
  • Standort (Stadt, Land)
  • Berufsbezeichnung (optional)
  • Persönliche Website (optional)
  • Empfohlen von (optional: Person, die den Benutzer zur Nutzung von BROSH empfohlen hat)

BROSH nutzt eine Reihe von Drittdienstleistern zur Unterstützung bei der Datenverarbeitung, Kundenbindung und Analyse. Der Unterauftragsverarbeiter hat nur Zugriff auf die Daten, die für die Erbringung der Dienstleistung erforderlich sind. Weitere Informationen zur Liste finden Sie auf unserer Unterauftragsverarbeiter-Seite .

Wir empfehlen Kunden, die HIPAA einhalten müssen, die Integration eines Drittanbieter-Formularanbieters anstelle der Verwendung eines BROSH-Formulars.

Verschlüsselung

Um PII und nicht öffentliche Daten vor unberechtigtem Zugriff zu schützen, wird bei BROSH überall Verschlüsselung eingesetzt.

Die gesamte Kommunikation zwischen BROSH-Benutzern und der von BROSH bereitgestellten Webanwendung wird während der Verwendung der Anwendung während der Übertragung mit TLS verschlüsselt.

Alle Datenbanken und Datenbanksicherungen werden im Ruhezustand verschlüsselt.

Datenaufbewahrung

Kunden können alle ihre Daten anfordern oder löschen lassen, indem sie eine E-Mail an support@brosh.io senden, sofern diese nicht Gegenstand einer rechtlichen Sperre oder Untersuchung sind.

Sobald ein Konto oder Projekt gelöscht wird, werden alle zugehörigen Daten (Kontoeinstellungen usw.) aus dem System entfernt. Diese Aktion ist irreversibel.

Zugriff auf Daten

Der Zugriff auf Kundendaten ist ausschließlich denjenigen vorbehalten, die zur Erfüllung ihrer Aufgaben Zugriff benötigen. Ein Beispiel hierfür ist unser Support-Team.

Unterauftragsverarbeiter von Drittanbietern

Bei BROSH nutzen wir Drittanbieter, die uns bei Analysen, Zahlungen und dem Hosting unseres Dienstes unterstützen.

Alle Dienste von Drittanbietern werden einer sorgfältigen Prüfung unterzogen, um sicherzustellen, dass Ihre Daten sicher bleiben. Die diesen Diensten zur Verfügung gestellten Daten sind auf das für die Erfüllung ihrer Verarbeitungsaufgaben erforderliche Minimum beschränkt.

Verfügbarkeit der Infrastruktur

Unsere Backend-Infrastruktur wird in einer öffentlichen Cloud AWS/GOOGLE CLOUD/usw. gehostet und vollständig überwacht, um Ausfallzeiten zu erkennen.

SLAs für BROSH-Hosting und BROSH-Anwendung sind über den BROSH Master Service Agreement für den Enterprise-Plan verfügbar.

Pen-Tests und Sicherheitsscans

BROSH führt mindestens einmal jährlich Penetrationstests durch Dritte durch. Zusätzlich zu den regelmäßigen Penetrationstests verwenden wir auch Scan-Tools, um Schwachstellen zu überwachen und zu erkennen. Es verstößt gegen die Servicebedingungen von BROSH, die Schwachstellen des Dienstes oder eines Inhalts oder eines mit dem Dienst verbundenen Systems oder Netzwerks zu untersuchen, zu scannen oder zu testen.

Verantwortungsvolle Offenlegung

Wenn Sie glauben, eine Schwachstelle in der Anwendung von BROSH entdeckt zu haben, senden Sie uns bitte einen Bericht per E-Mail an support@brosh.io

BROSH nimmt derzeit nicht an einem öffentlichen Bug-Bounty-Programm teil und bietet auch keine finanziellen Belohnungen für öffentlich gemeldete Ergebnisse.

Wenn Sie glauben, dass Ihr Konto kompromittiert wurde oder Sie verdächtige Aktivitäten auf Ihrem Konto feststellen, melden Sie dies bitte an: support@brosh.io

04

Bewährte Methoden

  • Geben Sie unter keinen Umständen einer anderen Person die Anmeldedaten für Ihr Konto.
  • Erstellen Sie ein langes und sicheres Passwort (empfohlen 12+ Zeichen, einschließlich Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen).
  • Stellen Sie sicher, dass Sie die Multi-Faktor-Authentifizierung oder Single Sign-On verwenden (falls möglich).
  • Geben Sie niemals vertrauliche Kontodaten wie Zahlungs- oder Benutzernameninformationen an Dritte weiter.
05

Kontakt

Wenn Sie weitere Fragen zur Sicherheit haben, senden Sie uns bitte eine E-Mail an support@brosh.io. Enterprise-Kunden wenden sich bitte an ihren Account Executive, um weitere Informationen zu unserem Sicherheitsprogramm zu erhalten.


      Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Social-Media-Funktionen bereitzustellen und unseren Datenverkehr zu analysieren. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.