Privacidad, seguridad y cumplimiento normativo

Para: Aplicaciones de la plataforma BROSH

01

Seguridad de la información

En BROSH, nos tomamos la seguridad muy en serio. Nuestro programa de seguridad se basa en estándares de la industria como ISO 27001 y los controles de seguridad críticos del CIS. Buscamos constantemente formas de mejorar no solo la seguridad de nuestro producto, sino también la forma en que llevamos a cabo nuestras actividades comerciales a diario.

Ser un equipo ampliamente distribuido conlleva sus propios desafíos, por lo que nos aseguramos de que cada empleado comprenda el papel que desempeña en la seguridad de BROSH. También utilizamos herramientas que nos ayudan a hacer cumplir nuestras políticas de seguridad internas.

Cumplimiento

BROSH cumple con el estándar internacional ISO 27001 y con el estándar SOC 2 según lo define la AICPA .

Nuestros procesadores de pago en línea, Google y PayPal, están certificados como proveedores de servicios de nivel 1 (PCI DSS). BROSH nunca tiene acceso a detalles de pago confidenciales.

BROSH cumple con las regulaciones CCPA y GDPR.

Legal

Condiciones de servicio

Anexo de Protección de Datos

Política de cookies

Privacidad

Aviso de la CCPA

02

Medidas de seguridad interna

Seguridad del personal

Todos los empleados completan verificaciones de antecedentes y deben reconocer la política de seguridad y firmar un acuerdo de confidencialidad.

Gestión de identidad y acceso

Los empleados tienen credenciales de inicio de sesión únicas para todos los sistemas críticos de la empresa y se aplica la autenticación de dos factores siempre que es posible. Realizamos auditorías de acceso periódicas y operamos según el principio del mínimo privilegio.

Seguridad del hardware

Todas las computadoras portátiles de los empleados están administradas, tienen discos duros encriptados y están monitoreadas con software antivirus.

Seguridad física

La oficina de BROSH está protegida por puertas de acceso con llavero. Las entradas y salidas se vigilan y capturan con una cámara de circuito cerrado (CCTV). La oficina está vigilada y protegida por un sistema de alarma.

Seguridad de la red

La red interna está restringida, segmentada y protegida con contraseña.

Educación en seguridad

Como parte de nuestro compromiso de garantizar que cada miembro de nuestro equipo comprenda el papel que desempeña en materia de seguridad, brindamos capacitación en seguridad continua durante todo el año, incluidas pruebas periódicas de phishing. Cada empleado nuevo asiste a una sesión de capacitación en seguridad dentro de las primeras dos semanas de contratación para ayudarlo a aprender a identificar amenazas como la ingeniería social y el phishing.

Además, los empleados y contratistas con responsabilidades de codificación deben completar cursos de capacitación sobre códigos seguros.


03

Seguridad de aplicaciones de BROSH

BROSH está alojado en nubes públicas como AWS y GOOGLE Cloud, lo que nos da acceso a los beneficios que brindan a sus clientes, como seguridad física, redundancia, escalabilidad y administración de claves.

Además de los beneficios que ofrece la nube pública, nuestra aplicación cuenta con funciones de seguridad integradas adicionales:

  • Permisos basados en roles
  • Automatización
  • Copias de seguridad y control de versiones
  • Autenticación de dos factores *
  • Capacidades de SSO con G Suite *
  • Inicio de sesión único *
* Las capacidades varían según el nivel de suscripción.

Datos del cliente y privacidad

BROSH almacena los siguientes datos de clientes en su nube:

  • Nombres
  • Nombres de usuario y direcciones de correo electrónico
  • Dirección de correo electrónico de facturación
  • Historial de pagos y facturas
  • Número de teléfono (opcional)
  • Dirección de Envio
  • Empresa (opcional)
  • Ubicación (ciudad, país)
  • Título del puesto (opcional)
  • Sitio web personal (opcional)
  • Recomendado por (persona opcional que recomendó al usuario utilizar BROSH)

BROSH utiliza una variedad de proveedores de servicios externos para ayudar con el procesamiento de datos, la interacción con el cliente y las actividades analíticas. El tipo de datos a los que tiene acceso el subprocesador se limita únicamente a lo que es razonablemente necesario para realizar el servicio prestado. Consulte nuestra página de subprocesadores para obtener más información sobre la lista.

Recomendamos a los clientes que necesitan cumplir con HIPAA que integren un proveedor de formularios de terceros en lugar de utilizar un formulario BROSH.

Encriptación

En BROSH se utiliza cifrado para proteger la información personal identificable y los datos no públicos del acceso no autorizado.

Toda comunicación entre los usuarios de BROSH y la aplicación web proporcionada por BROSH se cifra en tránsito mediante TLS mientras se usa la aplicación.

Todas las bases de datos y copias de seguridad de bases de datos están cifradas en reposo.

Retención de datos

Los clientes pueden solicitar todos sus datos o eliminarlos enviando un correo electrónico a: support@brosh.io siempre que no estén sujetos a una retención o investigación legal.

Una vez que se elimina una cuenta o un proyecto, todos los datos asociados (configuración de la cuenta, etc.) se eliminan del sistema. Esta acción es irreversible.

Acceso a los datos

Los datos de los clientes se limitan a aquellos que tienen funciones que requieren acceso para realizar sus tareas laborales. Un ejemplo de esto es nuestro equipo de soporte.

Subprocesadores de terceros

En BROSH, utilizamos proveedores de servicios externos para ayudarnos con el análisis, los pagos y el alojamiento de nuestro servicio.

Todos los servicios de terceros se someten a una verificación de diligencia debida para garantizar que sus datos se mantengan seguros. Los datos proporcionados a estos servicios se limitan al mínimo necesario para realizar sus tareas de procesamiento.

Disponibilidad de infraestructura

Nuestra infraestructura de backend está alojada en una nube pública AWS/GOOGLE CLOUD/etc. y está totalmente monitoreada para detectar cualquier tiempo de inactividad.

Los SLA para el alojamiento de BROSH y la aplicación BROSH están disponibles a través del Acuerdo de servicio maestro de BROSH para el plan empresarial.

Pruebas de penetración y análisis de seguridad

BROSH realiza pruebas de penetración de terceros al menos una vez al año. Además de las pruebas de penetración habituales, también utilizamos herramientas de escaneo para monitorear y detectar vulnerabilidades. Sondear, escanear o probar la vulnerabilidad del Servicio o de cualquier Contenido, o de cualquier sistema o red conectada al Servicio va en contra de los Términos de servicio de BROSH.

Divulgación responsable

Si cree que ha descubierto una vulnerabilidad dentro de la aplicación de BROSH, envíenos un informe enviando un correo electrónico a support@brosh.io

BROSH no participa en un programa público de recompensas por errores en este momento, ni ofrecemos recompensas monetarias por hallazgos informados públicamente.

Si cree que su cuenta ha sido comprometida o ve actividad sospechosa en su cuenta, infórmelo a: support@brosh.io

04

Mejores prácticas

  • Nunca, bajo ninguna circunstancia proporcione a otra persona las credenciales de su cuenta.
  • Cree una contraseña larga y segura (se recomiendan 12 caracteres o más, incluidas letras mayúsculas y minúsculas, números y caracteres especiales).
  • Asegúrese de utilizar la autenticación multifactor o el inicio de sesión único (si es posible)
  • Nunca comparta detalles confidenciales de la cuenta, como información de pago o nombre de usuario, con terceros.
05

Contacto

Si tiene alguna pregunta adicional sobre seguridad, envíenos un correo electrónico a support@brosh.io. Los clientes empresariales pueden comunicarse con su ejecutivo de cuenta para obtener más información sobre nuestro programa de seguridad.


      Utilizamos cookies para personalizar el contenido y los anuncios, proporcionar funciones de redes sociales y analizar nuestro tráfico. Para obtener más información, lea nuestra Política de cookies