Конфиденциальность, безопасность и соответствие требованиям

Для: приложений платформы BROSH

01

Информационная безопасность

В BROSH мы относимся к безопасности серьезно! Мы сопоставляем нашу программу безопасности с отраслевыми стандартами, такими как ISO 27001 и CIS Critical Security Controls. Мы постоянно ищем способы не только улучшить безопасность нашего продукта, но и то, как мы ведем бизнес ежедневно.

Широко распределенная команда влечет за собой свои собственные проблемы, поэтому мы гарантируем, что каждый сотрудник понимает свою роль в обеспечении безопасности BROSH. Мы также используем инструменты, помогающие нам обеспечивать соблюдение наших внутренних политик безопасности.

Согласие

Продукция BROSH соответствует международному стандарту ISO 27001 и стандарту SOC 2, определенному AICPA .

Наши онлайн-платежные процессоры Google и PayPal сертифицированы как поставщики услуг уровня 1 (PCI DSS). BROSH никогда не имеет доступа к конфиденциальным платежным данным.

BROSH соблюдает правила CCPA и GDPR.

Юридический

Условия обслуживания

Приложение о защите данных

Политика использования файлов cookie

Конфиденциальность

Уведомление CCPA

02

Меры внутренней безопасности

Безопасность персонала

Все сотрудники проходят проверку биографических данных и обязаны соблюдать политику безопасности и подписывать соглашение о конфиденциальности.

Управление идентификацией и доступом

Сотрудники имеют уникальные логины для всех критически важных для бизнеса систем, и двухфакторная аутентификация применяется везде, где это возможно. Мы проводим регулярные проверки доступа и работаем по принципу наименьших привилегий.

Безопасность оборудования

Все ноутбуки сотрудников находятся под контролем, имеют зашифрованные жесткие диски и контролируются антивирусным программным обеспечением.

Физическая безопасность

Офис BROSH защищен дверями с брелоками. Входы и выходы отслеживаются и фиксируются камерой видеонаблюдения. Офис контролируется и защищен системой сигнализации.

Сетевая безопасность

Внутренняя сеть ограничена, сегментирована и защищена паролем.

Безопасность Образование

В рамках нашего обязательства гарантировать, что каждый член нашей команды понимает свою роль в вопросах безопасности, мы проводим постоянное обучение по безопасности в течение года, включая периодические тесты на фишинг. Каждый новый сотрудник посещает сессию обучения по безопасности в течение первых двух недель после найма, чтобы научиться определять такие угрозы, как социальная инженерия и фишинг.

Кроме того, сотрудники и подрядчики, имеющие обязанности по кодированию, обязаны проходить курсы обучения безопасному кодированию.


03

Безопасность приложений BROSH

BROSH размещается в публичном облаке, таком как AWS и GOOGLE, что дает нам доступ к преимуществам, которые они предоставляют своим клиентам, таким как физическая безопасность, избыточность, масштабируемость и управление ключами.

Помимо преимуществ, предоставляемых публичным облаком, наше приложение имеет дополнительные встроенные функции безопасности:

  • Разрешения на основе ролей
  • Автоматизация
  • Резервное копирование и управление версиями
  • Двухфакторная аутентификация *
  • Возможности единого входа с G Suite *
  • Единый вход *
* возможности различаются в зависимости от уровня подписки

Данные клиентов и конфиденциальность

BROSH хранит в своем облаке следующие данные клиентов:

  • Имена
  • Имена пользователей и адреса электронной почты
  • Адрес электронной почты для выставления счетов
  • История платежей и счета-фактуры
  • Номер телефона (необязательно)
  • Адрес для выставления счета
  • Компания (необязательно)
  • Местоположение (город, страна)
  • Должность (необязательно)
  • Персональный веб-сайт (необязательно)
  • Рекомендовано (необязательно, кто рекомендовал пользователю использовать BROSH)

BROSH использует ряд сторонних поставщиков услуг для обработки данных, взаимодействия с клиентами и аналитической деятельности. Тип данных, к которым имеет доступ субпроцессор, ограничен только тем, что разумно необходимо для выполнения предоставляемой услуги. Пожалуйста, обратитесь к нашей странице субпроцессора для получения дополнительной информации о списке.

Мы рекомендуем клиентам, которым необходимо соблюдать HIPAA, интегрировать стороннего поставщика форм вместо использования формы BROSH.

Шифрование

Шифрование используется во всей системе BROSH для защиты персональных данных и конфиденциальных данных от несанкционированного доступа.

Все коммуникации между пользователями BROSH и веб-приложением BROSH шифруются при передаче с использованием TLS во время использования приложения.

Все базы данных и резервные копии баз данных шифруются при хранении.

Хранение данных

Клиенты могут запросить все свои данные или удалить их, отправив электронное письмо по адресу: support@brosh.io, при условии, что они не подлежат юридическому удержанию или расследованию.

После удаления учетной записи или проекта все связанные с ними данные (настройки учетной записи и т. д.) удаляются из системы. Это действие необратимо.

Доступ к данным

Данные клиентов ограничены только теми, чьи роли требуют доступа для выполнения их должностных обязанностей. Примером этого является наша служба поддержки.

Сторонние субпроцессоры

В BROSH мы пользуемся услугами сторонних поставщиков услуг для аналитики, платежей и хостинга нашего сервиса.

Все сторонние сервисы проходят проверку благонадежности, чтобы гарантировать безопасность ваших данных. Данные, предоставляемые этим сервисам, ограничиваются минимумом, необходимым для выполнения их обязанностей по обработке.

Наличие инфраструктуры

Наша внутренняя инфраструктура размещена в публичном облаке AWS/GOOGLE CLOUD и т. д. и полностью контролируется для обнаружения любых простоев.

Соглашения об уровне обслуживания для хостинга BROSH и приложения BROSH доступны в рамках Генерального соглашения об обслуживании BROSH для корпоративного плана.

Пентестинг и сканирование безопасности

BROSH проводит сторонние тесты на проникновение не реже одного раза в год. Помимо регулярных тестов на проникновение, мы также используем инструменты сканирования для мониторинга и обнаружения уязвимостей. Проверка, сканирование или тестирование уязвимости Сервиса или любого Контента, или любой системы или сети, подключенной к Сервису, противоречит Условиям обслуживания BROSH.

Ответственное раскрытие информации

Если вы считаете, что обнаружили уязвимость в приложении BROSH, отправьте нам отчет по электронной почте support@brosh.io

В настоящее время BROSH не участвует в публичной программе вознаграждения за обнаруженные ошибки и не предоставляет денежных вознаграждений за публично сообщенные результаты.

Если вы считаете, что ваш аккаунт был взломан или вы заметили подозрительную активность в своем аккаунте, сообщите об этом по адресу: support@brosh.io

04

Лучшие практики

  • Никогда и ни при каких обстоятельствах не передавайте другим лицам данные своей учетной записи.
  • Создайте длинный и надежный пароль (рекомендуется 12+ символов, включая заглавные и строчные буквы, цифры и специальные символы).
  • Убедитесь, что вы используете многофакторную аутентификацию или единый вход (если это возможно)
  • Никогда не передавайте третьим лицам конфиденциальные данные учетной записи, такие как платежная информация или имя пользователя.
05

Контакт

Если у вас есть дополнительные вопросы по безопасности, отправьте нам письмо по адресу support@brosh.io. Для корпоративных клиентов, пожалуйста, свяжитесь с вашим менеджером по работе с клиентами, чтобы получить дополнительную информацию о нашей программе безопасности.


      Мы используем файлы cookie для персонализации контента и рекламы, для предоставления функций социальных сетей и для анализа нашего трафика. Для получения дополнительной информации, пожалуйста, прочтите нашу политику использования файлов cookie