Απόρρητο, Ασφάλεια και Συμμόρφωση

Για: εφαρμογές πλατφόρμας BROSH

Ασφάλεια Πληροφοριών

Στην BROSH, λαμβάνουμε σοβαρά υπόψη την ασφάλεια! Αντιστοιχίζουμε το πρόγραμμα ασφαλείας μας με τα βιομηχανικά πρότυπα όπως το ISO 27001 και τα CIS Critical Security Controls. Αναζητούμε συνεχώς τρόπους όχι μόνο να βελτιώσουμε την ασφάλεια για το προϊόν μας, αλλά και με τον τρόπο με τον οποίο δραστηριοποιούμαστε σε καθημερινή βάση.

Το να είσαι μια ευρέως κατανεμημένη ομάδα φέρνει τις δικές της προκλήσεις, γι' αυτό διασφαλίζουμε ότι κάθε εργαζόμενος κατανοεί τον ρόλο που διαδραματίζει στην ασφάλεια της BROSH. Χρησιμοποιούμε επίσης εργαλεία που μας βοηθούν να επιβάλλουμε τη συμμόρφωση με τις πολιτικές εσωτερικής ασφάλειας.

Συμμόρφωση

Το BROSH's είναι συμβατό με το διεθνές πρότυπο ISO 27001 και το πρότυπο SOC 2 όπως ορίζεται από την AICPA .

Οι επεξεργαστές πληρωμών μας στο διαδίκτυο, η Google και το PayPal είναι και οι δύο πιστοποιημένοι ως πάροχος υπηρεσιών επιπέδου 1 (PCI DSS). Η BROSH δεν έχει ποτέ πρόσβαση σε ευαίσθητα στοιχεία πληρωμής.

Το BROSH συμμορφώνεται με τους κανονισμούς CCPA και GDPR.

Νομικός

Όροι Παροχής Υπηρεσιών

Συνημμένο Προστασία Δεδομένων

Πολιτική cookie

Μυστικότητα

Ειδοποίηση CCPA

Μέτρα Εσωτερικής Ασφάλειας

Ασφάλεια Προσωπικού

Όλοι οι εργαζόμενοι ολοκληρώνουν ελέγχους ιστορικού και υποχρεούνται να αναγνωρίσουν την πολιτική ασφαλείας και να υπογράψουν μια συμφωνία εμπιστευτικότητας.

Διαχείριση Ταυτότητας και Πρόσβασης

Οι εργαζόμενοι έχουν μοναδικές συνδέσεις για όλα τα κρίσιμα για τις επιχειρήσεις συστήματα και ο έλεγχος ταυτότητας δύο παραγόντων επιβάλλεται όπου είναι δυνατόν. Διενεργούμε τακτικούς ελέγχους πρόσβασης και λειτουργούμε με βάση την αρχή του ελάχιστου προνομίου.

Ασφάλεια υλικού

Όλοι οι φορητοί υπολογιστές των εργαζομένων διαχειρίζονται, διαθέτουν κρυπτογραφημένους σκληρούς δίσκους και παρακολουθούνται με λογισμικό προστασίας από ιούς.

Φυσική Ασφάλεια

Το γραφείο της BROSH ασφαλίζεται με πόρτες πρόσβασης για μπρελόκ. Οι είσοδοι και οι έξοδοι παρατηρούνται και καταγράφονται σε κάμερα κλειστού κυκλώματος (CCTV). Το γραφείο παρακολουθείται και προστατεύεται από σύστημα συναγερμού.

Ασφάλεια Δικτύου

Το εσωτερικό δίκτυο είναι περιορισμένο, τμηματοποιημένο και προστατεύεται με κωδικό πρόσβασης.

Εκπαίδευση ασφάλειας

Ως μέρος της δέσμευσής μας να διασφαλίσουμε ότι κάθε μέλος της ομάδας μας κατανοεί τον ρόλο που διαδραματίζει όσον αφορά την ασφάλεια, παρέχουμε συνεχή εκπαίδευση σε θέματα ασφάλειας καθ' όλη τη διάρκεια του έτους, συμπεριλαμβανομένων περιοδικών δοκιμών phishing. Κάθε νέος υπάλληλος παρακολουθεί μια εκπαιδευτική συνεδρία Ασφάλειας εντός των πρώτων δύο εβδομάδων από την πρόσληψη για να τον βοηθήσει να μάθουν να εντοπίζουν απειλές όπως η κοινωνική μηχανική και το phishing.

Επιπλέον, οι υπάλληλοι και οι εργολάβοι με αρμοδιότητες κωδικοποίησης υποχρεούνται να ολοκληρώσουν εκπαιδευτικά προγράμματα ασφαλούς κώδικα.

Ασφάλεια Εφαρμογών BROSH

Το BROSH φιλοξενείται σε δημόσιο cloud όπως το AWS και το GOOGLE cloud, δίνοντάς μας πρόσβαση στα οφέλη που παρέχουν στους πελάτες του, όπως φυσική ασφάλεια, πλεονασμός, επεκτασιμότητα και διαχείριση κλειδιών.

Εκτός από τα πλεονεκτήματα που παρέχει το δημόσιο νέφος, η εφαρμογή μας διαθέτει επιπλέον ενσωματωμένα χαρακτηριστικά ασφαλείας:

Άδειες βασισμένες σε ρόλους
Αυτοματοποίηση
Δημιουργία αντιγράφων ασφαλείας και έκδοση εκδόσεων
Έλεγχος ταυτότητας δύο παραγόντων *
Δυνατότητες SSO με το G Suite *
Ενιαία σύνδεση *

* οι δυνατότητες ποικίλλουν ανάλογα με το επίπεδο συνδρομής

Δεδομένα Πελατών και Απόρρητο

Η BROSH αποθηκεύει τα ακόλουθα δεδομένα πελατών στο cloud της:

Ονόματα
Ονόματα χρήστη και διευθύνσεις email
Διεύθυνση email χρέωσης
Ιστορικό πληρωμών και τιμολόγια
Αριθμός τηλεφώνου (προαιρετικό)
Διεύθυνση χρέωσης
Εταιρεία (προαιρετικό)
Τοποθεσία (πόλη, χώρα)
Τίτλος εργασίας (προαιρετικό)
Προσωπικός ιστότοπος (προαιρετικό)
Παραπομπή από (προαιρετικό άτομο που παρέπεμψε τον χρήστη να χρησιμοποιήσει το BROSH)

Η BROSH χρησιμοποιεί μια σειρά τρίτων παρόχων υπηρεσιών για να βοηθήσει με την επεξεργασία δεδομένων, τη δέσμευση πελατών και τις αναλυτικές της δραστηριότητες. Ο τύπος δεδομένων στα οποία έχει πρόσβαση ο Υποεπεξεργαστής περιορίζεται μόνο σε ό,τι είναι ευλόγως απαραίτητο για την εκτέλεση της παρεχόμενης υπηρεσίας. Ανατρέξτε στη σελίδα Υποεπεξεργαστής μας για περισσότερες πληροφορίες σχετικά με τη λίστα.

Συνιστούμε στους πελάτες που πρέπει να συμμορφώνονται με το HIPAA να ενσωματώσουν έναν πάροχο φόρμας τρίτου μέρους αντί να χρησιμοποιούν μια φόρμα BROSH.

Κρυπτογράφηση

Η κρυπτογράφηση χρησιμοποιείται σε όλο το BROSH για την προστασία PII και μη δημόσια δεδομένα από μη εξουσιοδοτημένη πρόσβαση.

Όλη η επικοινωνία μεταξύ των χρηστών BROSH και της εφαρμογής Ιστού που παρέχεται από το BROSH κρυπτογραφείται κατά τη μεταφορά χρησιμοποιώντας TLS κατά τη χρήση της εφαρμογής.

Όλες οι βάσεις δεδομένων και τα αντίγραφα ασφαλείας των βάσεων δεδομένων κρυπτογραφούνται σε κατάσταση ηρεμίας.

Διατήρηση Δεδομένων

Οι πελάτες μπορούν να ζητήσουν όλα τα δεδομένα τους ή να τα διαγράψουν στέλνοντας ένα email στη διεύθυνση: support@brosh.io, εφόσον δεν υπόκεινται σε νομική παρακράτηση ή έρευνα.

Μόλις διαγραφεί ένας λογαριασμός ή ένα έργο, όλα τα σχετικά δεδομένα (ρυθμίσεις λογαριασμού, κ.λπ.) αφαιρούνται από το σύστημα. Αυτή η ενέργεια είναι μη αναστρέψιμη.

Πρόσβαση στα Δεδομένα

Τα δεδομένα πελατών περιορίζονται μόνο σε όσους έχουν ρόλους που απαιτούν πρόσβαση για την εκτέλεση των εργασιακών τους καθηκόντων. Ένα παράδειγμα αυτού είναι η ομάδα υποστήριξής μας.

Τρίτοι Υπεπεξεργαστές

Στη BROSH, χρησιμοποιούμε παρόχους υπηρεσιών τρίτων για να βοηθήσουμε με τα αναλυτικά στοιχεία, τις πληρωμές και τη φιλοξενία της υπηρεσίας μας.

Όλες οι υπηρεσίες τρίτων υποβάλλονται σε έλεγχο δέουσας επιμέλειας για να διασφαλιστεί ότι τα δεδομένα σας παραμένουν ασφαλή. Τα δεδομένα που παρέχονται σε αυτές τις υπηρεσίες περιορίζονται στο ελάχιστο που απαιτείται για την εκτέλεση των καθηκόντων επεξεργασίας τους.

Διαθεσιμότητα υποδομής

Η υποδομή υποστήριξης φιλοξενείται σε δημόσιο cloud AWS/GOOGLE CLOUD/κ.λπ. και παρακολουθείται πλήρως για τον εντοπισμό τυχόν διακοπής λειτουργίας.

Οι SLA για τη φιλοξενία BROSH και την εφαρμογή BROSH είναι διαθέσιμες μέσω της Βασικής Συμφωνίας Υπηρεσιών BROSH για το Επιχειρηματικό Πρόγραμμα.

Δοκιμές στυλό και σαρώσεις ασφαλείας

Το BROSH διεξάγει δοκιμές πένας τρίτων τουλάχιστον ετησίως. Εκτός από τις τακτικές δοκιμές με στυλό, χρησιμοποιούμε επίσης εργαλεία σάρωσης για την παρακολούθηση και τον εντοπισμό τρωτών σημείων. Η διερεύνηση, σάρωση ή δοκιμή της ευπάθειας της Υπηρεσίας ή οποιουδήποτε Περιεχομένου ή οποιουδήποτε συστήματος ή δικτύου που είναι συνδεδεμένο με την Υπηρεσία, αντίκειται στους Όρους Παροχής Υπηρεσιών της BROSH.

Υπεύθυνη Αποκάλυψη

Εάν πιστεύετε ότι έχετε ανακαλύψει μια ευπάθεια στην εφαρμογή της BROSH, υποβάλετε μια αναφορά σε εμάς στέλνοντας email στο support@brosh.io

Η BROSH δεν συμμετέχει σε ένα δημόσιο πρόγραμμα επιβράβευσης σφαλμάτων αυτήν τη στιγμή, ούτε παρέχουμε χρηματικές ανταμοιβές για ευρήματα που αναφέρονται δημόσια.

Εάν πιστεύετε ότι ο λογαριασμός σας έχει παραβιαστεί ή βλέπετε ύποπτη δραστηριότητα στον λογαριασμό σας, αναφέρετέ το στη διεύθυνση: support@brosh.io

Βέλτιστες πρακτικές

Ποτέ και σε καμία περίπτωση μην δώσετε διαπιστευτήρια σε άλλο άτομο για τον λογαριασμό σας.
Δημιουργήστε έναν μακρύ και ισχυρό κωδικό πρόσβασης (συνιστάται 12 + χαρακτήρες, συμπεριλαμβανομένων κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων).
Βεβαιωθείτε ότι χρησιμοποιείτε έλεγχο ταυτότητας πολλαπλών παραγόντων ή απλή σύνδεση (εάν είναι δυνατόν)
Ποτέ μην μοιράζεστε ευαίσθητα στοιχεία λογαριασμού, όπως πληροφορίες πληρωμής ή όνομα χρήστη με τρίτους

Επαφή

Εάν έχετε επιπλέον ερωτήσεις σχετικά με την ασφάλεια, στείλτε μας ένα email στη διεύθυνση support@brosh.io. Για πελάτες Enterprise, επικοινωνήστε με το Account Executive για να λάβετε περισσότερες πληροφορίες σχετικά με το Πρόγραμμα Ασφάλειας.