隐私、安全与合规
适用于:BROSH 的平台应用程序
信息安全
在 BROSH,我们非常重视安全!我们将我们的安全计划与 ISO 27001 和 CIS 关键安全控制等行业标准相结合。我们一直在寻找方法,不仅提高我们产品的安全性,而且改善我们日常开展业务的方式。
作为一支分布广泛的团队,我们面临着一系列挑战,因此我们确保每位员工都了解他们在保护 BROSH 方面所扮演的角色。我们还使用工具来帮助我们强制遵守内部安全政策。
遵守
BROSH 符合国际 ISO 27001 标准以及AICPA 定义的 SOC 2 标准。
我们的在线支付处理器Google和PayPal均已获得 1 级服务提供商 (PCI DSS) 认证。BROSH 永远不会访问敏感的支付详细信息。
BROSH 遵守 CCPA 和 GDPR 法规。
合法的
内部安全措施
人员安全
所有员工都完成背景调查,并被要求了解安全政策并签署保密协议。
身份和访问管理
员工在所有关键业务系统中均拥有唯一的登录名,并尽可能实施双重身份验证。我们定期进行访问审核,并遵循最小权限原则。
硬件安全
所有员工的笔记本电脑都受到管理,配有加密硬盘并受到防病毒软件的监控。
物理安全
BROSH 的办公室采用钥匙卡门禁系统。出入口均由闭路电视 (CCTV) 摄像机监控和拍摄。办公室受到警报系统的监控和保护。
网络安全
内部网络受到限制、分段和密码保护。
安全教育
为了确保团队中的每一位成员都了解他们在安全方面所扮演的角色,我们承诺全年提供持续的安全培训,包括定期的网络钓鱼测试。每位新员工在入职后的前两周内都会参加一次安全培训课程,以帮助他们学会识别社交工程和网络钓鱼等威胁。
此外,负责编码的员工和承包商必须完成安全代码培训课程。
BROSH 的应用程序安全
BROSH 托管在AWS和 GOOGLE 云等公共云上,使我们能够享受它们为客户提供的优势,例如物理安全、冗余、可扩展性和密钥管理。
除了公共云提供的好处之外,我们的应用程序还具有额外的内置安全功能:
客户数据和隐私
BROSH 在其云中存储以下客户数据:
BROSH 使用一系列第三方服务提供商来协助其数据处理、客户参与和分析活动。子处理器可以访问的数据类型仅限于执行所提供服务所合理必要的数据类型。请参阅我们的子处理器页面以获取有关列表的更多信息。
我们建议需要遵守 HIPAA 的客户集成第三方表单提供商,而不是使用 BROSH 表单。
加密
BROSH 始终采用加密技术来保护 PII 和非公开数据免遭未经授权的访问。
在使用该应用程序时,BROSH 用户与 BROSH 提供的 Web 应用程序之间的所有通信均使用 TLS 进行传输加密。
所有数据库和数据库备份均处于静态加密状态。
数据保留
客户可以通过发送电子邮件至: support@brosh.io请求获取其所有数据或将其删除,只要这些数据不受法律保留或调查。
一旦删除帐户或项目,所有相关数据(帐户设置等)都将从系统中删除。此操作不可逆转。
访问数据
客户数据仅限于那些需要访问才能履行工作职责的角色。例如我们的支持团队。
第三方子处理器
在 BROSH,我们使用第三方服务提供商来帮助分析、支付和托管我们的服务。
所有第三方服务均经过尽职调查,以确保您的数据安全。提供给这些服务的数据仅限于执行其处理任务所需的最低限度。
基础设施可用性
我们的后端基础设施托管在公共云 AWS/GOOGLE CLOUD/等中,并受到全面监控以检测任何停机时间。
可通过企业计划的 BROSH 主服务协议获得 BROSH 托管和 BROSH 应用程序的 SLA。
渗透测试和安全扫描
BROSH 每年至少进行一次第三方渗透测试。除了定期渗透测试外,我们还使用扫描工具来监控和检测漏洞。探测、扫描或测试服务或任何内容或与服务相关的任何系统或网络的漏洞违反了 BROSH 的服务条款。
负责任的披露
如果您认为您在 BROSH 的应用程序中发现了漏洞,请通过电子邮件support@brosh.io向我们提交报告
BROSH 目前不参与公共漏洞赏金计划,也不对公开报告的漏洞提供金钱奖励。
如果您认为您的帐户已被盗用或发现帐户中有可疑活动,请报告至: support@brosh.io
最佳实践
接触
如果您对安全性有任何其他疑问,请发送电子邮件至 support@brosh.io。对于企业客户,请联系您的客户经理以获取有关我们的安全计划的更多信息。