Privacy, beveiliging en naleving

Voor: BROSH's platform-apps

01

Informatiebeveiliging

Bij BROSH nemen we beveiliging serieus! We brengen ons beveiligingsprogramma in kaart volgens industrienormen zoals ISO 27001 en de CIS Critical Security Controls. We zijn voortdurend op zoek naar manieren om niet alleen de beveiliging van ons product te verbeteren, maar ook de manier waarop we dagelijks zakendoen.

Een wijdverspreid team zijn brengt zijn eigen uitdagingen met zich mee. Daarom zorgen we ervoor dat elke werknemer begrijpt welke rol hij of zij speelt bij het beveiligen van BROSH. We gebruiken ook tools om naleving van ons interne beveiligingsbeleid af te dwingen.

Naleving

BROSH voldoet aan de internationale ISO 27001-norm en aan de SOC 2-norm zoals gedefinieerd door de AICPA .

Onze online betalingsverwerkers, Google en PayPal, zijn beide gecertificeerd als Level 1 Service Provider (PCI DSS). BROSH heeft nooit toegang tot gevoelige betalingsgegevens.

BROSH voldoet aan de CCPA- en AVG-regelgeving.

Juridisch

Servicevoorwaarden

Bijlage Gegevensbescherming

Cookiebeleid

Privacy

CCPA-kennisgeving

02

Interne veiligheidsmaatregelen

Personeelsbeveiliging

Alle werknemers ondergaan een antecedentenonderzoek en moeten het beveiligingsbeleid accepteren en een geheimhoudingsverklaring ondertekenen.

Identiteits- en toegangsbeheer

Medewerkers hebben unieke logins voor alle bedrijfskritische systemen en two-factor authenticatie wordt waar mogelijk afgedwongen. We voeren regelmatig toegangsaudits uit en werken volgens het principe van least privilege.

Hardwarebeveiliging

Alle laptops van medewerkers worden beheerd, hebben gecodeerde harde schijven en worden bewaakt met antivirussoftware.

Fysieke beveiliging

Het kantoor van BROSH is beveiligd met key fob-toegangsdeuren. In- en uitgangen worden geobserveerd en vastgelegd op een gesloten circuit (CCTV) camera. Het kantoor wordt bewaakt en beschermd door een alarmsysteem.

Netwerkbeveiliging

Het interne netwerk is beperkt, gesegmenteerd en beveiligd met een wachtwoord.

Veiligheidsonderwijs

Als onderdeel van onze toewijding om ervoor te zorgen dat elk lid van ons team de rol begrijpt die ze spelen als het gaat om beveiliging, bieden we het hele jaar door voortdurende beveiligingstrainingen aan, inclusief periodieke phishingtests. Elke nieuwe werknemer volgt een beveiligingstrainingssessie binnen de eerste twee weken van indiensttreding om hen te helpen bedreigingen zoals social engineering en phishing te herkennen.

Daarnaast moeten werknemers en contractanten met coderingsverantwoordelijkheden cursussen over veilige codering volgen.


03

Toepassingsbeveiliging van BROSH

BROSH wordt gehost in publieke clouds zoals AWS en GOOGLE Cloud, waardoor wij toegang hebben tot de voordelen die zij hun klanten bieden, zoals fysieke beveiliging, redundantie, schaalbaarheid en sleutelbeheer.

Naast de voordelen die de publieke cloud biedt, beschikt onze applicatie over extra ingebouwde beveiligingsfuncties:

  • Op rollen gebaseerde machtigingen
  • Automatisering
  • Back-ups en versiebeheer
  • Twee-factor-authenticatie *
  • SSO-mogelijkheden met G Suite *
  • Eenmalige aanmelding *
* mogelijkheden variëren afhankelijk van abonnementsniveau

Klantgegevens en privacy

BROSH slaat de volgende klantgegevens op in haar cloud:

  • Namen
  • Gebruikersnamen en e-mailadressen
  • Facturatie e-mailadres
  • Betalingsgeschiedenis en facturen
  • Telefoonnummer (optioneel)
  • Factuuradres
  • Bedrijf (optioneel)
  • Locatie (stad, land)
  • Functietitel (optioneel)
  • Persoonlijke website (optioneel)
  • Verwezen door (optionele persoon die de gebruiker heeft verwezen om BROSH te gebruiken)

BROSH maakt gebruik van een reeks externe dienstverleners om te helpen met de gegevensverwerking, klantbetrokkenheid en analytische activiteiten. Het type gegevens waartoe de Subprocessor toegang heeft, is beperkt tot wat redelijkerwijs noodzakelijk is om de geleverde service uit te voeren. Raadpleeg onze Subprocessor-pagina voor meer informatie over de lijst.

Wij adviseren klanten die aan HIPAA moeten voldoen, om een externe formulierprovider te integreren in plaats van een BROSH-formulier te gebruiken.

Encryptie

In BROSH wordt gebruikgemaakt van encryptie om PII en niet-openbare gegevens te beschermen tegen ongeautoriseerde toegang.

Alle communicatie tussen BROSH-gebruikers en de door BROSH aangeboden webapplicatie wordt tijdens het gebruik van de applicatie versleuteld met behulp van TLS.

Alle databases en databaseback-ups worden gecodeerd opgeslagen.

Gegevensretentie

Klanten kunnen al hun gegevens opvragen of laten verwijderen door een e-mail te sturen naar support@brosh.io, op voorwaarde dat de gegevens niet onderhevig zijn aan een juridische bewaarplicht of een juridisch onderzoek.

Zodra een account of project is verwijderd, worden alle bijbehorende gegevens (accountinstellingen, etc.) uit het systeem verwijderd. Deze actie is onomkeerbaar.

Toegang tot gegevens

Klantgegevens zijn beperkt tot alleen degenen met rollen die toegang nodig hebben om hun taken uit te voeren. Een voorbeeld hiervan is ons Support-team.

Subverwerkers van derden

Bij BROSH maken we gebruik van externe dienstverleners die ons helpen met analyses, betalingen en het hosten van onze service.

Alle services van derden ondergaan een due diligence-controle om ervoor te zorgen dat uw gegevens veilig blijven. De gegevens die aan deze services worden verstrekt, zijn beperkt tot het minimum dat nodig is om hun verwerkingstaken uit te voeren.

Beschikbaarheid van infrastructuur

Onze backendinfrastructuur wordt gehost in een openbare cloud (AWS/GOOGLE CLOUD etc.) en wordt volledig bewaakt om downtime te detecteren.

SLA's voor BROSH Hosting en BROSH Application zijn beschikbaar via de BROSH Master Service Agreement voor Enterprise Plan.

Pentesten en beveiligingsscans

BROSH voert ten minste jaarlijks pentests van derden uit. Naast regelmatige pentests gebruiken we ook scantools om kwetsbaarheden te monitoren en te detecteren. Het is in strijd met de Servicevoorwaarden van BROSH om de kwetsbaarheid van de Service of enige Content, of enig systeem of netwerk dat is verbonden met de Service, te onderzoeken, scannen of testen.

Verantwoordelijke openbaarmaking

Als u denkt dat u een kwetsbaarheid in de applicatie van BROSH hebt ontdekt, kunt u een rapport bij ons indienen door een e-mail te sturen naar support@brosh.io

BROSH neemt op dit moment niet deel aan een openbaar bug bounty-programma en we bieden ook geen financiële beloningen voor openbaar gerapporteerde bevindingen.

Als u denkt dat uw account is gehackt of als u verdachte activiteiten op uw account ziet, meld dit dan aan: support@brosh.io

04

Beste praktijken

  • Geef nooit, maar dan ook nooit, de inloggegevens van een andere persoon voor uw account.
  • Maak een lang en sterk wachtwoord (aanbevolen wordt 12+ tekens, inclusief hoofdletters, kleine letters, cijfers en speciale tekens).
  • Zorg ervoor dat u gebruikmaakt van Multi-Factor Authentication of Single Sign On (indien mogelijk)
  • Deel nooit gevoelige accountgegevens, zoals betalings- of gebruikersnaamgegevens, met derden
05

Contact

Als u nog vragen hebt over beveiliging, stuur ons dan een e-mail naar support@brosh.io. Voor Enterprise-klanten, neem contact op met uw Account Executive voor meer informatie over ons Security Program.


      We gebruiken cookies om content en advertenties te personaliseren, om social media functies te bieden en om ons verkeer te analyseren. Lees voor meer informatie ons Cookiebeleid