隱私、安全與合規性
適用於:BROSH 的平台應用程式
資訊安全
在 BROSH,我們非常重視安全!我們將我們的安全計劃映射到 ISO 27001 和 CIS 關鍵安全控制等行業標準。我們不斷尋找方法,不僅提高我們產品的安全性,而且提高我們日常業務開展的方式。
作為一個分佈廣泛的團隊會帶來一系列挑戰,這就是為什麼我們確保每位員工都了解他們在保護 BROSH 方面所扮演的角色。我們也使用工具來幫助我們強制遵守我們的內部安全策略。
遵守
BROSH 符合國際 ISO 27001 標準和AICPA 定義的 SOC 2 標準。
我們的線上支付處理商Google和PayPal均獲得 1 級服務提供者 (PCI DSS) 認證。 BROSH 永遠無法存取敏感的付款詳細資訊。
BROSH 遵守 CCPA 和 GDPR 法規。
合法的
內部安全措施
人員安全
所有員工均需完成背景調查,並必須承認安全政策並簽署保密協議。
身分和存取管理
員工對所有業務關鍵系統都有唯一的登入名,並儘可能強制執行兩因素身份驗證。我們定期進行訪問審核並按照最小權限原則進行操作。
硬體安全
所有員工的筆記型電腦均受到管理,具有加密的硬碟,並透過防毒軟體進行監控。
實體安全
BROSH 的辦公室設有鑰匙圈門禁。入口和出口均由閉路 (CCTV) 攝影機觀察和捕捉。辦公室由警報系統監控和保護。
網路安全
內部網路受到限制、分段和密碼保護。
安全教育
作為我們承諾的一部分,確保我們團隊的每個成員都了解他們在安全方面所扮演的角色,我們全年提供持續的安全培訓,包括定期的網路釣魚測試。每位新員工都會在入職後的前兩週內參加安全培訓課程,以幫助他們學習識別社會工程和網路釣魚等威脅。
此外,負責編碼的員工和承包商必須完成安全代碼培訓課程。
BROSH 的應用程式安全性
BROSH 託管在AWS和 GOOGLE 雲端等公有雲中,使我們能夠享受他們為客戶提供的好處,例如實體安全性、冗餘、可擴展性和金鑰管理。
除了公有雲提供的優勢之外,我們的應用程式還具有其他內建安全功能:
客戶資料和隱私
BROSH 在其雲端儲存以下客戶資料:
BROSH 使用一系列第三方服務提供者來協助其資料處理、客戶參與和分析活動。子處理者有權存取的資料類型僅限於執行所提供服務合理必要的資料。請參閱我們的子處理者頁面,以了解有關該清單的更多資訊。
我們建議需要遵守 HIPAA 的客戶整合第三方表單提供者,而不是使用 BROSH 表單。
加密
整個 BROSH 都使用加密來保護 PII 和非公開資料免遭未經授權的存取。
在使用應用程式時,BROSH 使用者與 BROSH 提供的 Web 應用程式之間的所有通訊均使用 TLS 在傳輸過程中進行加密。
所有資料庫和資料庫備份均進行靜態加密。
資料保留
客戶可以要求所有數據,或透過發送電子郵件至support@brosh.io將其刪除,只要這些數據不受法律扣押或調查。
刪除帳戶或項目後,所有關聯資料(帳戶設定等)都會從系統中刪除。此操作是不可逆轉的。
存取數據
客戶資料僅限於那些需要存取才能履行其工作職責的角色。我們的支援團隊就是一個例子。
第三方子處理者
在 BROSH,我們使用第三方服務提供者來幫助分析、支付和託管我們的服務。
所有第三方服務都會經過盡職調查,以確保您的資料安全。提供給這些服務的資料僅限於履行其處理職責所需的最低限度。
基礎設施可用性
我們的後端基礎設施託管在公有雲 AWS/GOOGLE CLOUD/等中,並受到全面監控以偵測任何停機時間。
BROSH 託管和 BROSH 應用程式的 SLA 可透過 BROSH 企業計畫主服務協議取得。
筆測試和安全掃描
BROSH 至少每年進行一次第三方滲透測試。除了定期滲透測試外,我們還使用掃描工具來監控和偵測漏洞。探測、掃描或測試服務或任何內容或連接到服務的任何系統或網路的漏洞是違反 BROSH 的服務條款的。
負責任的揭露
如果您認為您發現了 BROSH 應用程式中的漏洞,請透過電子郵件向我們提交報告: support@brosh.io
BROSH 目前不參與公共錯誤賞金計劃,我們也不為公開報告的發現提供金錢獎勵。
如果您認為您的帳戶已被盜用或發現您的帳戶有可疑活動,請將其報告至: support@brosh.io
最佳實踐
接觸
如果您對安全性有任何其他疑問,請發送電子郵件至 support@brosh.io。對於企業客戶,請聯絡您的客戶經理以獲取有關我們安全計劃的更多資訊。