Brug Bookafy med tillid og deltag i over 15.000 virksomheder, der har tillid til Bookafy over hele verden.
Når bookafy er tilsluttet et tredjepartsprogram (icloud, google cal, outlook, exchange) importerer den kun kalenderemnelinjen, dato, tid og varighed for at blokere tiden i Bookafy for at forhindre dobbeltbookinger. Vi importerer, opbevarer eller opbevarer ikke personlige eller identificerbare oplysninger.
Bookafy har ikke adgang til oplysninger i din forbundne kalender eller e-mail-konto, herunder kontakter, e-mailadresse eller e-mails. E-mailadresser kan bruges til at godkende kontoejerskab i Bookafy, men vi indsamler ikke oplysninger om dine personlige data.
Alle tredjepartsintegrationer sker via Oath-godkendelse. Dette gør det muligt for Bookafy at oprette forbindelse til tredjepartsudbydere uden at se, indsamle eller gemme dine brugernavne eller adgangskoder. Bookafy er forbundet via en godkendelseskode, der leveres, når du opretter forbindelse via Oath.
Azure
Bookafy hostes på Azure. Du kan læse om Azure og AWS’ grundige sikkerhedsbestemmelser på deres websted.
Bookafy udnytter alle platformens indbyggede funktioner til sikkerhed, beskyttelse af personlige oplysninger og redundans. Azure overvåger løbende sine datacentre for risici og gennemgår vurderinger for at sikre overholdelse af branchestandarder. Azures datacenteroperationer er akkrediteret under: ISO 27001, SOC 1 og SOC 2/SSAE 16/ISAE 3402 (Tidligere SAS 70 Type II), PCI Level 1, FISMA Moderate og Sarbanes-Oxley (SOX).
Aws
Bookafy anvender AWS CDN til billeder. Bookafy udnytter alle platformens indbyggede funktioner til sikkerhed, beskyttelse af personlige oplysninger og redundans. AWS overvåger løbende sine datacentre for risici og gennemgår vurderinger for at sikre overholdelse af branchestandarder. AW’s datacenteroperationer er akkrediteret under: ISO 27001, SOC 1 og SOC 2/SSAE 16/ISAE 3402 (Tidligere SAS 70 Type II), PCI Level 1, FISMA Moderate og Sarbanes-Oxley (SOX).
Sikkerhedskopier
Bookafy kører sikkerhedskopiering af alle data og kodebase dagligt på redundante servere i 2 separate geografiske områder. Derudover hostes der også sikkerhedskopier af kode og data på Dropbox Cloud Storage.
Kryptering
Data, der passerer gennem Bookafy er krypteret, både i transit og i hvile. Alle forbindelser fra browseren til Bookafy-platformen krypteres under transport ved hjælp af TLS SHA-256 med RSA-kryptering. Bookafy kræver HTTPS for alle tjenester.
For følsomme data, hvor de oprindelige værdier ikke er nødvendige, såsom vores egne adgangskoder, hash vi data ved hjælp af BCrypt algoritme. Hvor de oprindelige værdier er nødvendige, såsom godkendelsesoplysninger for at få adgang til kalendere, krypteres værdierne ved hjælp af AES-256-GCM-algoritmen ved hjælp af et unikt, tilfældigt genereret salt for hvert sæt følsomme data.
Sikker overførsel til servere
Bookafy har ansat en datasikkerhedstjeneste til at godkende dataoverførsler mellem vores udviklingsteam og de virtuelle maskiner. Alle data er krypteret og sikret.
Datadeling og tredjepartsadgang
Bookafy sælger ikke kundedata til nogen. Vi deler ikke data til markedsføringsformål på tværs af kanaler. Bookafy giver ikke adgang til nogen tredjepartsudbyder, medmindre det sker via kontoforbindelse via Oath-godkendelse eller API-nøgle. Begge kan til enhver tid afbrydes fra Bookafy eller fra tredjepartsprogrammet. Ellers er der ingen tredjeparter, der får data, solgte data eller har data delt af en eller anden grund.
Baggrundstjek
Alle Bookafy medarbejdere går gennem en grundig baggrundskontrol før ansættelse.
Uddannelse
Selvom vi opbevarer en minimal mængde kundedata og begrænser intern adgang på need-to-know-basis, er alle medarbejdere uddannet i sikkerhed og datahåndtering for at sikre, at de opretholder vores strenge forpligtelse til beskyttelse af personlige oplysninger og sikkerhed af dine data.
Fortrolighed
Alle medarbejdere har underskrevet en fortrolighedsaftale og fortrolighedsaftale før ansættelse.
Adgang til data
Kun autoriserede medarbejdere får adgang til vores produktionsinfrastruktur og brug af password managers for at sikre stærke adgangskoder og to-faktor-godkendelse, når de er tilgængelige, er bemyndiget på tværs af virksomheden.
Katastrofe
Vi har planer for forretningskontinuitet og genoprettelse efter nedbrud, der replikerer vores database og sikkerhedskopierer dataene til flere cloudservere i forskellige geografiske områder og datacentre for at sikre høj tilgængelighed i tilfælde af en katastrofe.
Pålidelighed
Bookafy har oppetid historie på 99,3%
Nye funktioner
Bookafy udvikler nye funktioner i 3 ugers sprints. Vores installationer begynder på en udviklingsserver, derefter iscenesættelse, derefter at leve. Live server implementering sker søndag morgen PST.
QA og test
Bookafy kører automatiseret test sammen med manuel test før hver installation.
Udviklings- og mellemstation-serverQA
Før Bookafy udgives på live-servere, implementeres koden på mellemstationer og udviklingsservere under QA-processen. Når testen er fuldført, føjes koden til et lager til installation af live-servere på sprintcyklussens tidslinje.
Live overvågning
Når koden er frigivet til vores produktionsserver, kører vores QA-team automatiserede tests, manuel test og bruger ekstern software til at overvåge vores tjenester. Den eksterne software kører 24/7 med advarsler, der automatisk sendes til vores udviklingsteam med eventuelle problemer. Disse advarsler overvåges 24/7 og sendes via sms og e-mail til vores team.
Firewall
Bookafy hostes på Azure-servere og bruger Azures Next Generation Firewall Service, som findes bag Azures Web Application Gateway-tjeneste. Denne tjeneste omfatter beskyttelse mod ting, f.eks.
Forebyggelse af malware og virus
Alle vores medarbejdere arbejder fra firmaejede maskiner, der kører anti-malware og virus beskyttelse software. Vores kontorserver er beskyttet af en firewall til ekstern penetrationsbeskyttelse.
Scanning
Vores interne server, medarbejder maskiner og data hosting løbende køre sårbarhed scanning software.
Beskyttelse af logonoplysninger
For vores eksterne applikationer, der arbejder med Bookafy, gemmer/indsamler Bookafy ikke adgangskoder. Al Bookafy-godkendelse bruger en sikker Oath-forbindelse til at give adgang til Bookafy med et sikkert token, der bruges til den enkelte brugers konto. Som eksempler kan nævnes: Zoom, Stripe, Authorize.net, Google kalender, Exchange, Office365, Outlook.com, Icloud, mailchimp og meget mere. Alle 3.
Afbrydelse
Når en konto annulleres eller nedgraderes til fri, afbrydes alle Oath-forbindelser automatisk fra Bookafy til dine tredjepartsprogrammer.
API-adgang
Al adgang til data via Bookafy er udtrykkeligt godkendt via en OAuth-tilladelsesmekanisme, der giver adgangstokens, der kan tilbagekaldes når som helst.
GDPR
Vi har indarbejdet GDPR-standarder i datapraksis for at sikre, at alle vores kunder understøttes og overholder GDPR. Læs mere om
Bookafy GDPR
.
Ofte stillede spørgsmål om sikkerhed
Har nogen væsentlige brud på sikkerheden eller hændelser fundet sted i de seneste 5 år?
Nej.
Er privilegeret og generisk kontoadgang stramt kontrolleret og revideret med jævne mellemrum, i det mindste
Årligt?
Ja.
Hvilke data indsamles om brugeren?
Softwaren indsamler data om kontoejeren og slutkunden. Begge sæt data er baseret på de data, der er leveret af kontoejeren og slutkunden. Vi indsamler ingen data ud over de frivillige data, som slutbrugeren eller kontoejeren har givet os.
Kontoejeren kan oprette tekstfelter til at indsamle forskellige data ved booking, men kunden er fuldt ud klar over de data, der indsamles, da slutbrugeren indtaster dataene i felterne. Slutbrugeren eller kontoejeren kan til enhver tid anmode om sletning af data ved at sende en e-mail til data@bookafy.com
Til hvilke formål bruger appen dataene?
Appdataene bruges kun til den transaktion, som slutkunden har tilmeldt sig. Hvis du bruger en tredjepartsapp til at logge ind med SSO, f.eks. Facebook eller Google, bruger vi kun denne forbindelse til kontoadgang. Vi bruger ikke data fra kontoen, f.eks. kontakter, begivenheder og e-mails, og vi sender ikke indlæg på dine vegne eller deltager i nogen aktivitet på din konto. Det bruges kun til login.
Hvad er brugerens rettigheder til sletning af data, og hvordan kan brugeren anmode om at få data slettet?
Vi bruger de data, der indsamles fra kontoejeren (vores kunde), til at levere en bedre oplevelse til kontoejeren. Dette omfatter alle steder, som AO har siddet fast, besøgt mange gange, har spørgsmål eller har en fejl. Vi bruger disse data til at kommunikere med vores kunder (kontoejere) på det rigtige tidspunkt med det rigtige budskab.
For slutbrugeren, vores kunders kunde … bruger vi kun disse data til transaktionen (booking) med kontoejeren. Vi markedsfører ikke disse kunder og bruger ikke deres data på nogen anden måde. Deres data bliver ikke solgt eller lånt… de bliver i vores system.
Både AO og slutkunden kan til enhver tid få slettet deres data. AO kan sende en e-mail til data@bookafy.com og anmode om, at deres konto og data fjernes. Slutkunden kan anmode AO om at få sine data fjernet.
Er delte brugerkonti forbudt for medarbejdere? Hvad med kunder?
Medarbejderne har deres egne dedikerede konti. Kunderne har også deres egne dedikerede konti, kun med adgang til deres data.
Er din adgangskode konstruktion kræver flere styrke krav, dvs stærke adgangskoder og udnytter en tilfældig sekvens af alfa, numeriske og specielle tegn?
Vi kræver mindst 6 tegn i adgangskoder på det grundlæggende niveau til administration af adgangskoder. OWASP og NIST SP 800-63-3 password politikmuligheder kan være tilgængelige i det kommende år.
Er netværksgrænsen beskyttet med en firewall med indtrængning og udgangsfiltrering?
Ja. Alle firewalls og belastningsjusteringsfaciliteter leveres af Azure og Amazon AWS.
Er offentlige overfor servere i en veldefineret De-militariseret Zone (DMZ)?
Ja, dette er arvet fra Azures standardinfrastrukturzonering, og Bookafy har regionale servere spredt over hele verden.
Bruges intern netværkssegmentering til yderligere at isolere følsomme produktionsressourcer som f.eks.
PCI-data gemmes ikke, da de kun er indrammet af Bookafy fra tredjepartsudbydere som Stripe og Authorize.net. Bookafy indsamler ikke data og gemmer ikke data.
Gennemføres og overvåges netværksregistrering eller forebyggelse af indtrængen?
Et bredt spektrum af overvågningsværktøjer, suppleret med meddelelser og advarsler fra Azure, er konstant tændt. Dette omfatter registrering af indtrængen og e-mailbekræftelser af netværksadgang.
Er alle stationære computere beskyttet ved hjælp af regelmæssigt opdateret virus, orm, spyware og skadelig kodesoftware?
Ja.
Er servere beskyttet ved hjælp af brancheskærpende praksis? Er fremgangsmåderne dokumenteret?
Sikkerhedstjenester anvendes regelmæssigt til at foretage systemsikkerhedsrevisioner.
Er der aktiv administration af leverandørprogramrettelser til alle operativsystemer, netværksenheder og programmer?
Ja. Dette leveres automatisk af Azure via deres tjeneste.
Registreres og bevares alle produktionssystemfejl og sikkerhedshændelser?
Logfiler bevares i mindst 1 måned, med nogle resterende op til 6 måneder, afhængigt af sværhedsgraden og handling kræves.
Gennemgås sikkerhedshændelser og logdata regelmæssigt?
Ja. Logs gennemgås dagligt, ugentligt og månedligt – afhængigt af arten af loghændelserne.
Er der et dokumenteret program til beskyttelse af personlige oplysninger med sikkerhedsforanstaltninger for at sikre beskyttelse af fortrolige oplysninger fra klienten?
Ja.
Er der en proces på plads til at underrette kunder, hvis der sker brud på privatlivets fred?
Ja.
Gemmer, behandler, sender (dvs. “handle”) Personnally Idenfiable Information (PII)?
Ja.
I hvilket eller hvilke lande opbevares personhenførbare oplysninger?
De fleste af vores PII-data gemmes i USA. Vi er dog i stand til at gemme kontodata for vores virksomhedskunder i et specifikt regionalt center. Eksempel. Australsk organisation kan vælge at få deres data gemt på vores Canberra Azure-placering. Eller europæiske lande kan gemme i europæiske datacentre.
Er systemlogfiler beskyttet mod ændringer og ødelæggelse?
Dette leveres af Azure og sikkerhedskopieret på Dropbox Cloud Storage.
Er grænse- og VLAN-indgangssteder beskyttet af indtrængningsbeskyttelses- og registreringsenheder, der giver advarsler, når de er under angreb?
Ja. Disse tjenester er inkluderet i vores Azure-firewall, som beskytter mod indbrud og sender automatiske advarsler til vores udviklingsteam.
Er logfiler og hændelser korreleret med et værktøj, der giver advarsler om et igangværende angreb?
Ja, vores sikkerhedstjeneste omfatter logning og advarsler om angreb i realtid.
Hvordan adskilles data fra andre klienter i løsningen, herunder netværk, front-ends, back-end storage og sikkerhedskopier?
Hver klientkonto er logisk adskilt fra andre klienter ved hjælp af et påkrævet permanent lejer-id på alle databaseposter.
Derudover kræver al programkode dette lejer-id for alle handlinger – både læse- og skrivehandlinger. Der findes også en automatiseret testordning for at beskytte kodeændringer mod regressioner og mulig dataforurening på tværs af lejere.
Lejer-id’et er “hårdt sammenkædet” med alle brugerkonto og håndhæves logisk gennem faste “WHERE”-klausuler på databaseforespørgsler og tilsvarende målpunkter for filadgang. En platformsbruger kan ikke ændre eller på anden måde fjerne sammenkædningen af vedkommendes session eller konto fra dette lejer-id. Der er således ingen logisk mulighed for, at en bruger kan have login-godkendelse under en anden lejer-identifikator. Selvom de forsøgte at få adgang til sider ved hjælp af en anden lejers id, ville systemet afvise anmodningen, fordi brugerkontoen ikke er registreret til det ønskede lejer-id.
Har du en hændelsesberedskabsplan?
Ja, der opretholdes et “levende dokument”, som skitserer katastrofe- og hændelsesreaktion
tjeklister, kontaktoplysninger og centrale systemfaciliteter til forståelse og reaktion på hændelser.
Hvilket niveau af netværksbeskyttelse er implementeret?
Vi bruger Azures Web Application gateway (load balancer) og Next Generation Firewall til at beskytte vores netværk af virtuelle maskiner, der kører på Azure Cloud.
Leverer platformen rapporter om QOS-præstationsmålinger (Quality of Service) (ressourceudnyttelse, gennemløb, tilgængelighed osv.)?
Sådanne målinger leveres ikke til kunder, bortset fra tilgængelighed og svartider som pr vores status side på status.pingdom.com
Er disaster recovery program testet mindst årligt?
Ja, recovery kontrol og udføres og testes årligt.
Hvad er systemets målsætning om restitutionstid og genoprettelsespunkt ?
RTO er 4 timer, med RPO er 1 time.
Har du give backup og gendanne planer for de enkelte kunder?
Alle aspekter er multi-tenanted, så der tages sikkerhedskopier på tværs af hele kundebasen. Komplette sikkerhedskopieringer af filer køres hver 24. Sikkerhedskopier gemmes i Dropbox Cloud og på redundante virtuelle Azure-maskiner.
Hvad er den maksimale tid, sikkerhedskopieringer bevares?
Sikkerhedskopieringer af databaser opbevares i 30 dage med generelle sikkerhedskopieringer i mindst 90 dage.
Hvad er den forventede behandlingstid for en datagendannelse?
Enhver klientgendannelse i et scenarie, der ikke er i tilfælde, skal anmodes om og planlægges hos os. Leveringstiden er mellem 1 og 2 hverdage.
Kan en enkelt enhedskonto gendannes uden at påvirke hele platformen?
Hvis gendannelse af en bestemt post eller artefakt er påkrævet af en klient, kan dette udføres online via en anmodning grundlag og er fakelt arbejde. Der er ingen indvirkning på platformen eller klientkontoen.
Er høj tilgængelighed forudsat – i. E. hvor en server instans bliver utilgængelig gør en anden bliver tilgængelig?
Der kører flere serverforekomster på alle systemniveauer via Azures virtuelle maskine med justering af belastningsjustering af webapplikationsgateway. Fejl i en serverforekomst i datacenteret håndteres af Azure WAG, hvor problemforekomsten genbruges og/eller fjernes og erstattes med en ny forekomst.
Er data gemt og tilgængelige på et andet sted (datacenter) for at opfylde kravene til genoprettelse efter nedbrud?
Ja. Alle data replikeres til et andet datacenter, som varierer efter geografisk placering, og som har backupdata gemt på Dropbox Cloud Storage. .
Er failover-processen en aktiv/aktiv, automatiseret overgang?
Fejl i en serverforekomst i det primære datacenter håndteres af Azure WAG-belastningsbalancere, hvor problemforekomsten genbruges og/eller fjernes og erstattes med en ny forekomst.
I tilfælde af, at hele datacenter et skulle have en kritisk fejl, så overgangen til det sekundære center er en manuel proces, som vi er nødt til at foretage en fuldstændig vurdering af problemet først for at sikre, at der ikke er nogen enkle løsninger til at holde den eksisterende primære center tilstedeværelse til rådighed. Hvis det fastslås, at en flytning til det sekundære center er påkrævet, indledes overgangen manuelt for at opfylde målene for genoprettelse af mål.