Privacy, sicurezza e conformità

Per: le app della piattaforma BROSH

01

Sicurezza delle informazioni

In BROSH, prendiamo la sicurezza seriamente! Mappiamo il nostro programma di sicurezza agli standard del settore come ISO 27001 e CIS Critical Security Controls. Siamo costantemente alla ricerca di modi per migliorare non solo la sicurezza del nostro prodotto, ma anche il modo in cui conduciamo gli affari quotidianamente.

Essere un team ampiamente distribuito comporta una serie di sfide, motivo per cui ci assicuriamo che ogni dipendente comprenda il ruolo che svolge nella protezione di BROSH. Utilizziamo anche strumenti per aiutarci a far rispettare la conformità alle nostre policy di sicurezza interna.

Conformità

BROSH è conforme allo standard internazionale ISO 27001 e allo standard SOC 2 definito dall'AICPA .

I nostri processori di pagamento online, Google e PayPal, sono entrambi certificati come Level 1 Service Provider (PCI DSS). BROSH non ha mai accesso a dettagli di pagamento sensibili.

BROSH è conforme alle normative CCPA e GDPR.

Legal

Termini di servizio

Allegato sulla protezione dei dati

Politica sui cookie

Riservatezza

Avviso CCPA

02

Misure di sicurezza interna

Sicurezza del personale

Tutti i dipendenti vengono sottoposti a controlli dei precedenti e sono tenuti a riconoscere la politica di sicurezza e a firmare un accordo di riservatezza.

Gestione dell'identità e dell'accesso

I dipendenti hanno accessi univoci per tutti i sistemi aziendali critici e l'autenticazione a due fattori è applicata ove possibile. Eseguiamo audit di accesso regolari e operiamo secondo il principio del privilegio minimo.

Sicurezza hardware

Tutti i computer portatili dei dipendenti sono gestiti, hanno dischi rigidi crittografati e sono monitorati con software antivirus.

Sicurezza fisica

L'ufficio di BROSH è protetto da porte di accesso con portachiavi. Gli ingressi e le uscite sono osservati e ripresi da una telecamera a circuito chiuso (CCTV). L'ufficio è monitorato e protetto da un sistema di allarme.

Sicurezza di rete

La rete interna è limitata, segmentata e protetta da password.

Formazione sulla sicurezza

Come parte del nostro impegno per garantire che ogni membro del nostro team comprenda il ruolo che svolge in materia di sicurezza, forniamo una formazione continua sulla sicurezza durante tutto l'anno, inclusi test periodici di phishing. Ogni nuovo dipendente partecipa a una sessione di formazione sulla sicurezza entro le prime due settimane dall'assunzione per aiutarlo a imparare a identificare minacce come l'ingegneria sociale e il phishing.

Inoltre, i dipendenti e i collaboratori con responsabilità di codifica sono tenuti a completare corsi di formazione sulla codifica sicura.


03

Sicurezza delle applicazioni BROSH

BROSH è ospitato su cloud pubblici come AWS e GOOGLE cloud, consentendoci di accedere ai vantaggi che offrono ai propri clienti, quali sicurezza fisica, ridondanza, scalabilità e gestione delle chiavi.

Oltre ai vantaggi offerti dal cloud pubblico, la nostra applicazione dispone di ulteriori funzionalità di sicurezza integrate:

  • Autorizzazioni basate sui ruoli
  • Automazione
  • Backup e controllo delle versioni
  • Autenticazione a due fattori *
  • Funzionalità SSO con G Suite *
  • Accesso singolo *
* le capacità variano in base al livello di abbonamento

Dati dei clienti e privacy

BROSH memorizza i seguenti dati dei clienti nel suo cloud:

  • Nomi
  • Nomi utente e indirizzi e-mail
  • Indirizzo e-mail di fatturazione
  • Cronologia dei pagamenti e fatture
  • Numero di telefono (facoltativo)
  • Indirizzo di fatturazione
  • Azienda (facoltativo)
  • Posizione (città, paese)
  • Titolo del lavoro (facoltativo)
  • Sito web personale (facoltativo)
  • Riferito da (persona facoltativa che ha indirizzato l'utente all'utilizzo di BROSH)

BROSH utilizza una gamma di fornitori di servizi terzi per assistere con l'elaborazione dei dati, l'impegno dei clienti e le attività analitiche. Il tipo di dati a cui il Subprocessor ha accesso è limitato solo a ciò che è ragionevolmente necessario per eseguire il servizio fornito. Si prega di fare riferimento alla nostra pagina Subprocessor per maggiori informazioni sull'elenco.

Consigliamo ai clienti che devono conformarsi all'HIPAA di integrare un modulo di terze parti anziché utilizzare un modulo BROSH.

Crittografia

La crittografia viene utilizzata in tutto il BROSH per proteggere i dati PII e non pubblici da accessi non autorizzati.

Tutte le comunicazioni tra gli utenti BROSH e l'applicazione web fornita da BROSH vengono crittografate durante il transito tramite TLS durante l'utilizzo dell'applicazione.

Tutti i database e i backup dei database sono crittografati a riposo.

Conservazione dei dati

I clienti possono richiedere tutti i loro dati o farli cancellare inviando un'e-mail a support@brosh.io, a condizione che non siano soggetti a conservazione legale o indagine.

Una volta eliminato un account o un progetto, tutti i dati associati (impostazioni account, ecc.) vengono rimossi dal sistema. Questa azione è irreversibile.

Accesso ai dati

I dati dei clienti sono limitati solo a coloro che hanno ruoli che richiedono l'accesso per svolgere le proprie mansioni lavorative. Un esempio di questo è il nostro team di supporto.

Sub-responsabili terzi

In BROSH ci avvaliamo di fornitori di servizi terzi per l'analisi, i pagamenti e l'hosting del nostro servizio.

Tutti i servizi di terze parti vengono sottoposti a un controllo di due diligence per garantire la sicurezza dei tuoi dati. I dati forniti a questi servizi sono limitati al minimo necessario per svolgere i loro compiti di elaborazione.

Disponibilità dell'infrastruttura

La nostra infrastruttura backend è ospitata su un cloud pubblico AWS/GOOGLE CLOUD/ecc. ed è completamente monitorata per rilevare eventuali tempi di inattività.

Gli SLA per BROSH Hosting e BROSH Application sono disponibili tramite il BROSH Master Service Agreement per il piano Enterprise.

Test di penetrazione e scansioni di sicurezza

BROSH conduce pen-test di terze parti almeno una volta all'anno. Oltre ai normali pen-test, utilizziamo anche strumenti di scansione per monitorare e rilevare le vulnerabilità. È contro i Termini di servizio di BROSH sondare, scansionare o testare la vulnerabilità del Servizio o di qualsiasi Contenuto, o di qualsiasi sistema o rete connessa al Servizio.

Divulgazione responsabile

Se ritieni di aver scoperto una vulnerabilità nell'applicazione BROSH, inviaci una segnalazione tramite e-mail a support@brosh.io

Al momento BROSH non partecipa ad alcun programma pubblico di bug bounty, né offre ricompense in denaro per le scoperte segnalate pubblicamente.

Se ritieni che il tuo account sia stato compromesso o noti attività sospette sul tuo account, segnalalo a: support@brosh.io

04

Buone pratiche

  • Non fornire mai, in nessun caso, le credenziali del tuo account a un'altra persona.
  • Crea una password lunga e complessa (si consiglia di avere almeno 12 caratteri, tra cui lettere maiuscole e minuscole, numeri e caratteri speciali).
  • Assicurati di utilizzare l'autenticazione a più fattori o l'accesso Single Sign-On (se possibile)
  • Non condividere mai con terze parti i dettagli sensibili dell'account, come informazioni di pagamento o nome utente
05

Contatto

Se hai altre domande sulla sicurezza, inviaci un'e-mail a support@brosh.io. Per i clienti Enterprise, contatta il tuo Account Executive per ottenere maggiori informazioni sul nostro Security Program.


      Utilizziamo i cookie per personalizzare contenuti e annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Per maggiori informazioni, leggi la nostra Politica sui cookie