פרטיות, אבטחה ותאימות

עבור: אפליקציות הפלטפורמה של BROSH

01

אבטחת מידע

ב-BROSH, אנו מתייחסים לאבטחה ברצינות! אנו ממפים את תוכנית האבטחה שלנו לתקנים בתעשייה כגון ISO 27001 ובקרות האבטחה הקריטיות של CIS. אנו מחפשים כל הזמן דרכים לא רק לשפר את האבטחה של המוצר שלנו, אלא גם עם האופן שבו אנו מנהלים עסקים על בסיס יומי.

היותו צוות בתפוצה רחבה מביאה למערכת אתגרים משלו, וזו הסיבה שאנו מבטיחים שכל עובד מבין את התפקיד שהוא ממלא באבטחת BROSH. אנחנו גם משתמשים בכלים כדי לעזור לנו לאכוף ציות למדיניות האבטחה הפנימית שלנו.

הַתאָמָה

BROSH's תואם לתקן הבינלאומי ISO 27001 ולתקן SOC 2 כפי שהוגדר על ידי ה-AICPA .

מעבדי התשלומים המקוונים שלנו, Google ו- PayPal, מוסמכים שניהם כספק שירות ברמה 1 (PCI DSS). ל-BROSH לעולם אין גישה לפרטי תשלום רגישים.

BROSH עומד בתקנות CCPA ו-GDPR.

מִשׁפָּטִי

תנאים והגבלות

קובץ מצורף להגנה על נתונים

מדיניות עוגיות

פְּרָטִיוּת

הודעת CCPA

02

אמצעי ביטחון פנימי

אבטחת כוח אדם

כל העובדים ממלאים בדיקות רקע ונדרשים להכיר במדיניות האבטחה ולחתום על הסכם סודיות.

ניהול זהות וגישה

לעובדים יש כניסות ייחודיות לכל המערכות הקריטיות לעסק ואימות דו-שלבי נאכף בכל מקום אפשרי. אנו עורכים ביקורת גישה קבועה ופועלים על פי עקרון המינימום הזכויות.

אבטחת חומרה

כל המחשבים הניידים של העובדים מנוהלים, בעלי כוננים קשיחים מוצפנים ומנוטרים באמצעות תוכנת אנטי וירוס.

אבטחה פיזית

המשרד של BROSH מאובטח באמצעות דלתות גישה עם שלט מפתח. כניסות ויציאות נצפות ונקלטות במצלמת מעגל סגור (CCTV). המשרד מפוקח ומוגן על ידי מערכת אזעקה.

אבטחת רשת

הרשת הפנימית מוגבלת, מפולחת ומוגנת בסיסמה.

חינוך לביטחון

כחלק מהמחויבות שלנו להבטיח שכל חבר בצוות שלנו יבין את התפקיד שהוא ממלא בכל הנוגע לאבטחה, אנו מספקים הדרכות אבטחה שוטפות לאורך כל השנה, כולל בדיקות דיוג תקופתיות. כל עובד חדש משתתף באימון אבטחה במהלך השבועיים הראשונים של קבלת העסקתו כדי לעזור להם ללמוד לזהות איומים כמו הנדסה חברתית ודיוג.

בנוסף, עובדים וקבלנים בעלי אחריות קידוד נדרשים להשלים קורסי הכשרת קוד מאובטח.


03

אבטחת האפליקציות של BROSH

BROSH מתארח בענן ציבורי כגון AWS ו- GOOGLE ענן, מה שנותן לנו גישה ליתרונות שהם מספקים ללקוחותיהם כגון אבטחה פיזית, יתירות, מדרגיות וניהול מפתחות.

בנוסף ליתרונות שמספק הענן הציבורי, לאפליקציה שלנו יש תכונות אבטחה מובנות נוספות:

  • הרשאות מבוססות תפקידים
  • אוטומציה
  • גיבויים וניהול גרסאות
  • אימות דו-גורמי *
  • יכולות SSO עם G Suite *
  • כניסה יחידה *
* היכולות משתנות בהתאם לשכבת המנוי

נתוני לקוחות ופרטיות

BROSH מאחסנת את נתוני הלקוחות הבאים בענן שלה:

  • שמות
  • שמות משתמש וכתובות מייל
  • כתובת אימייל לחיוב
  • היסטוריית תשלומים וחשבוניות
  • מספר טלפון (אופציונלי)
  • כתובת לחיוב
  • חברה (לא חובה)
  • מיקום (עיר, מדינה)
  • תואר עבודה (אופציונלי)
  • אתר אישי (אופציונלי)
  • מופנה על ידי (אדם אופציונלי שהפנה את המשתמש להשתמש ב-BROSH)

BROSH משתמשת במגוון של ספקי שירותים של צד שלישי כדי לסייע בעיבוד הנתונים, מעורבות הלקוחות והפעילויות האנליטיות שלה. סוג הנתונים שאליהם יש למעבד המשנה מוגבל רק למה שנחוץ באופן סביר לביצוע השירות שניתן. אנא עיין בדף מעבד המשנה שלנו למידע נוסף על הרשימה.

אנו ממליצים ללקוחות שצריכים לציית ל-HIPAA לשלב ספק טפסים של צד שלישי במקום להשתמש בטופס BROSH.

הצפנה

נעשה שימוש בהצפנה בכל רחבי BROSH כדי להגן על PII ונתונים שאינם ציבוריים מפני גישה לא מורשית.

כל התקשורת בין משתמשי BROSH לאפליקציית האינטרנט המסופקת על ידי BROSH מוצפנת במעבר באמצעות TLS בזמן השימוש באפליקציה.

כל מסדי הנתונים וגיבויים של מסדי הנתונים מוצפנים במצב מנוחה.

שמירת נתונים

לקוחות יכולים לבקש את כל הנתונים שלהם, או למחוק אותם על ידי שליחת אימייל לכתובת: support@brosh.io כל עוד הם אינם כפופים להחזקה או חקירה משפטית.

לאחר מחיקת חשבון או פרויקט, כל הנתונים המשויכים (הגדרות חשבון וכו') מוסרים מהמערכת. פעולה זו היא בלתי הפיכה.

גישה לנתונים

נתוני לקוחות מוגבלים רק לאלה בעלי תפקידים הדורשים גישה לביצוע תפקידם. דוגמה לכך היא צוות התמיכה שלנו.

מעבדי משנה של צד שלישי

ב-BROSH, אנו משתמשים בספקי שירותים של צד שלישי כדי לעזור בניתוח, תשלומים ולאירוח השירות שלנו.

כל שירותי הצד השלישי עוברים בדיקת נאותות כדי להבטיח שהנתונים שלך נשארים מאובטחים. הנתונים הנמסרים לשירותים אלה מוגבלים למינימום הנדרש לביצוע חובות העיבוד שלהם.

זמינות תשתית

תשתית הקצה האחורי שלנו מתארחת בענן ציבורי AWS/GOOGLE CLOUD/וכו' ומנוטרת במלואה כדי לזהות כל השבתה.

SLAs עבור BROSH Hosting ו-BROSH Application זמינים באמצעות BROSH Master Agreement for Enterprise Plan.

בדיקת עט וסריקות אבטחה

BROSH עורך מבחני עט של צד שלישי לפחות מדי שנה. בנוסף לבדיקות עט רגילות, אנו משתמשים גם בכלי סריקה כדי לנטר ולאתר נקודות תורפה. זה נוגד את תנאי השירות של BROSH לחקור, לסרוק או לבדוק את הפגיעות של השירות או כל תוכן, או כל מערכת או רשת המחוברת לשירות.

גילוי אחראי

אם אתה מאמין שגילית פגיעות ביישום של BROSH, אנא שלח לנו דוח בדוא"ל support@brosh.io

BROSH אינו משתתף בשלב זה בתוכנית פרס של באגים ציבורית, ואינו מספקים תגמולים כספיים עבור ממצאים שדווחו בפומבי.

אם אתה סבור שחשבונך נפרץ או שאתה רואה פעילות חשודה בחשבונך, דווח על כך לכתובת: support@brosh.io

04

שיטות עבודה מומלצות

  • לעולם, בשום מקרה, אל תיתן לאדם אחר אישורים עבור חשבונך.
  • צור סיסמה ארוכה וחזקה (מומלץ 12 + תווים כולל אותיות גדולות וקטנות, מספרים ותווים מיוחדים).
  • ודא שאתה משתמש באימות מרובה גורמים או כניסה יחידה (אם אפשר)
  • לעולם אל תשתף פרטי חשבון רגישים כגון פרטי תשלום או שם משתמש עם צדדים שלישיים
05

מַגָע

אם יש לך שאלות נוספות בנוגע לאבטחה, שלח לנו דוא"ל לכתובת support@brosh.io. עבור לקוחות ארגוניים, אנא פנה למנהל החשבון שלך כדי לקבל מידע נוסף על תוכנית האבטחה שלנו.


      אנו משתמשים בקובצי Cookie כדי להתאים אישית תוכן ומודעות, כדי לספק תכונות מדיה חברתית ולנתח את התנועה שלנו. למידע נוסף, אנא קרא את מדיניות העוגיות שלנו