Sécurité de l'information

Chez BROSH, nous prenons la sécurité au sérieux ! Nous adaptons notre programme de sécurité aux normes industrielles telles que la norme ISO 27001 et les contrôles de sécurité critiques du CIS. Nous recherchons constamment des moyens d'améliorer non seulement la sécurité de notre produit, mais également la manière dont nous menons nos activités au quotidien.

Le fait d'être une équipe largement dispersée entraîne son lot de défis, c'est pourquoi nous veillons à ce que chaque employé comprenne le rôle qu'il joue dans la sécurisation de BROSH. Nous utilisons également des outils pour nous aider à faire respecter nos politiques de sécurité internes.

Conformité

BROSH est conforme à la norme internationale ISO 27001 et à la norme SOC 2 telle que définie par l'AICPA .

Nos processeurs de paiement en ligne, Google et PayPal, sont tous deux certifiés comme fournisseur de services de niveau 1 (PCI DSS). BROSH n'a jamais accès aux informations de paiement sensibles.

BROSH est conforme aux réglementations CCPA et GDPR.

Légal

Conditions d'utilisation

Annexe sur la protection des données

Politique de cookies

Confidentialité

Avis CCPA

Mesures de sécurité intérieure

Sécurité du personnel

Tous les employés subissent une vérification des antécédents et sont tenus de reconnaître la politique de sécurité et de signer un accord de confidentialité.

Gestion des identités et des accès

Les employés disposent d'identifiants uniques pour tous les systèmes critiques de l'entreprise et l'authentification à deux facteurs est appliquée dans la mesure du possible. Nous effectuons des audits d'accès réguliers et fonctionnons selon le principe du moindre privilège.

Sécurité matérielle

Tous les ordinateurs portables des employés sont gérés, disposent de disques durs cryptés et sont surveillés avec un logiciel antivirus.

Sécurité physique

Les bureaux de BROSH sont sécurisés par des portes d'accès à clé électronique. Les entrées et les sorties sont surveillées et enregistrées par une caméra en circuit fermé (CCTV). Le bureau est surveillé et protégé par un système d'alarme.

Sécurité du réseau

Le réseau interne est restreint, segmenté et protégé par mot de passe.

Éducation en matière de sécurité

Dans le cadre de notre engagement à garantir que chaque membre de notre équipe comprenne le rôle qu'il joue en matière de sécurité, nous proposons une formation continue en matière de sécurité tout au long de l'année, y compris des tests de phishing périodiques. Chaque nouvel employé participe à une session de formation sur la sécurité dans les deux premières semaines suivant son embauche pour l'aider à apprendre à identifier les menaces telles que l'ingénierie sociale et le phishing.

De plus, les employés et les entrepreneurs ayant des responsabilités en matière de codage sont tenus de suivre des cours de formation sur le code sécurisé.

Sécurité des applications de BROSH

BROSH est hébergé dans un cloud public tel qu'AWS et GOOGLE Cloud, ce qui nous donne accès aux avantages qu'ils offrent à leurs clients tels que la sécurité physique, la redondance, l'évolutivité et la gestion des clés.

En plus des avantages offerts par le cloud public, notre application dispose de fonctionnalités de sécurité intégrées supplémentaires :

• Autorisations basées sur les rôles
• Automation
• Sauvegardes et gestion des versions
  
• Authentification à deux facteurs *
• Fonctionnalités SSO avec G Suite *
• Authentification unique *

Données clients et confidentialité

BROSH stocke les données clients suivantes dans son cloud :

• Noms
• Noms d'utilisateur et adresses e-mail
• Adresse e-mail de facturation
• Historique des paiements et factures
• Numéro de téléphone (facultatif)
• Adresse de facturation
• Entreprise (facultatif)
• Localisation (ville, pays)
• Intitulé du poste (facultatif)
• Site Web personnel (facultatif)
• Référé par (personne facultative qui a recommandé à l'utilisateur d'utiliser BROSH)
  

BROSH fait appel à un ensemble de prestataires de services tiers pour l'assister dans le traitement de ses données, dans ses activités d'engagement client et dans ses activités d'analyse. Le type de données auxquelles le sous-traitant a accès est limité à ce qui est raisonnablement nécessaire pour exécuter le service fourni. Veuillez consulter notre page Sous-traitant pour plus d'informations sur la liste.

Nous recommandons aux clients qui doivent se conformer à la loi HIPAA d'intégrer un fournisseur de formulaires tiers plutôt que d'utiliser un formulaire BROSH.

Cryptage

Le cryptage est utilisé dans tout BROSH pour protéger les données personnelles et non publiques contre tout accès non autorisé.

Toutes les communications entre les utilisateurs de BROSH et l'application Web fournie par BROSH sont cryptées en transit à l'aide de TLS lors de l'utilisation de l'application.

Toutes les bases de données et les sauvegardes de bases de données sont cryptées au repos.

Conservation des données

Les clients peuvent demander toutes leurs données ou les faire supprimer en envoyant un e-mail à : support@brosh.io à condition qu'elles ne fassent pas l'objet d'une conservation ou d'une enquête légale.

Une fois qu'un compte ou un projet est supprimé, toutes les données associées (paramètres du compte, etc.) sont supprimées du système. Cette action est irréversible.

Accès aux données

Les données client sont limitées aux personnes dont les fonctions nécessitent un accès pour effectuer leurs tâches. Notre équipe d'assistance en est un exemple.

Sous-traitants tiers

Chez BROSH, nous utilisons des fournisseurs de services tiers pour nous aider dans les analyses, les paiements et pour héberger notre service.

Tous les services tiers sont soumis à un contrôle préalable pour garantir la sécurité de vos données. Les données fournies à ces services sont limitées au minimum requis pour effectuer leurs tâches de traitement.

Disponibilité des infrastructures

Notre infrastructure backend est hébergée dans un cloud public AWS/GOOGLE CLOUD/etc et est entièrement surveillée pour détecter tout temps d'arrêt.

Les SLA pour l'hébergement BROSH et l'application BROSH sont disponibles via le contrat de service principal BROSH pour le plan Entreprise.

Tests d'intrusion et analyses de sécurité

BROSH effectue des tests d'intrusion par des tiers au moins une fois par an. En plus des tests d'intrusion réguliers, nous utilisons également des outils d'analyse pour surveiller et détecter les vulnérabilités. Il est contraire aux Conditions d'utilisation de BROSH de sonder, d'analyser ou de tester la vulnérabilité du Service ou de tout Contenu, ou de tout système ou réseau connecté au Service.

Divulgation responsable

Si vous pensez avoir découvert une vulnérabilité dans l'application BROSH, veuillez nous envoyer un rapport en envoyant un e-mail à support@brosh.io

BROSH ne participe pas à un programme public de recherche de bugs pour le moment, et nous ne fournissons pas de récompenses monétaires pour les découvertes rapportées publiquement.

Si vous pensez que votre compte a été compromis ou si vous constatez une activité suspecte sur votre compte, veuillez le signaler à : support@brosh.io

Bonnes pratiques

• Ne donnez jamais, en aucun cas, les informations d'identification de votre compte à une autre personne.
• Créez un mot de passe long et fort (recommandé 12 + caractères comprenant des majuscules et des minuscules, des chiffres et des caractères spéciaux).
• Assurez-vous que vous utilisez l'authentification multifacteur ou l'authentification unique (si possible)
• Ne partagez jamais les informations sensibles du compte, telles que les informations de paiement ou le nom d'utilisateur, avec des tiers.