Bookafy Sicherheit und Datenschutz

Nutzen Sie Bookafy mit Zuversicht und schließen Sie sich über 15.000 Unternehmen an, die Bookafy auf der ganzen Welt vertrauen.

Datenschutz und sicherheit | bookafy
Datenschutz und sicherheit | bookafy

Verbundene Kalender

Wenn Bookafy mit einer Drittanbieteranwendung (icloud, google cal, outlook, exchange) verbunden ist, importiert Bookafy nur die Betreffzeile des Kalenders, das Datum, die Uhrzeit und die Dauer, um die Zeit in Bookafy zu blockieren, um Doppelbuchungen zu verhindern. Wir importieren, speichern oder bewahren keine personenbezogenen oder identifizierbaren Informationen auf.

E-Mail und Kontakte

Bookafy greift keine Informationen in Ihrem verbundenen Kalender oder E-Mail-Konto einschließlich Kontakten, E-Mail-Adressen oder E-Mails auf. E-Mail-Adressen können verwendet werden, um den Besitz von Konten innerhalb von Bookafy zu authentifizieren, aber wir sammeln keine Informationen im Zusammenhang mit Ihren personenbezogenen Daten.

Integrationen

Alle Integrationen von Drittanbietern erfolgen über die Oath-Authentifizierung. Auf diese Weise kann Bookafy eine Verbindung zu Drittanbietern herstellen, ohne Ihre Benutzernamen oder Kennwörter zu sehen, zu sammeln oder zu speichern. Bookafy ist über einen Authentifizierungscode verbunden, der ihnen bei der Verbindung über Oath zur Verfügung gestellt wird.

Datenhosting

azurblau

Bookafy wird in Azure gehostet. Sie können sich auf ihrer Website über die umfassenden Sicherheitsbestimmungen von Azure und AWS informieren.

Bookafy nutzt alle integrierten Sicherheits-, Datenschutz- und Redundanzfunktionen der Plattform. Azure überwacht seine Rechenzentren kontinuierlich auf Risiken und unterzieht sich Bewertungen, um die Einhaltung von Branchenstandards sicherzustellen. Der Rechenzentrumsbetrieb von Azure wurde akkreditiert nach: ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 (zuvor SAS 70 Type II), PCI Level 1, FISMA Moderate und Sarbanes-Oxley (SOX).

Aws

Bookafy verwendet AWS CDN für Images. Bookafy nutzt alle integrierten Sicherheits-, Datenschutz- und Redundanzfunktionen der Plattform. AWS überwacht seine Rechenzentren kontinuierlich auf Risiken und unterzieht sich Bewertungen, um die Einhaltung von Branchenstandards sicherzustellen. Die Rechenzentrumsbetriebe von AW sind akkreditiert nach: ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 (bisher SAS 70 Typ II), PCI Level 1, FISMA Moderate und Sarbanes-Oxley (SOX).

Sicherungen

Bookafy führt täglich alle Daten- und Codebasis auf redundanten Servern in 2 separaten Regionen aus. Außerdem werden Code- und Datensicherungen auf Dropbox Cloud Storage gehostet.

verschlüsselung

Daten, die durch Bookafy passieren, werden verschlüsselt, sowohl während der Übertragung als auch im Ruhezustand. Alle Verbindungen vom Browser zur Bookafy-Plattform werden während der Übertragung mit TLS SHA-256 mit RSA Encryption verschlüsselt. Bookafy erfordert HTTPS für alle Dienste.

Für sensible Daten, bei denen die ursprünglichen Werte nicht benötigt werden, wie z. B. unsere eigenen Kennwörter, hashen wir die Daten mit dem BCrypt-Algorithmus. Wenn die ursprünglichen Werte benötigt werden, z. B. Authentifizierungsdetails für den Zugriff auf Kalender, werden die Werte mithilfe des AES-256-GCM-Algorithmus mit einem eindeutigen, zufällig generierten Salt für jeden Satz vertraulicher Daten verschlüsselt.

Sichere Übertragung auf Server

Bookafy hat einen Datensicherheitsdienst eingesetzt, um Datenübertragungen zwischen unserem Entwicklungsteam und den virtuellen Maschinen zu authentifizieren. Alle Daten sind verschlüsselt und gesichert.

Datenfreigabe und Zugriff Dritter

Bookafy verkauft keine Kundendaten an dritte. Wir geben keine Daten für Cross-Channel-Marketing-Zwecke weiter. Bookafy gewährt keinem Drittanbieter Zugriff, es sei denn, es erfolgt über die Kontoverbindung über die Oath-Authentifizierung oder den API-Schlüssel. Beide können jederzeit innerhalb von Bookafy oder innerhalb von Drittanbieter-Anwendungen getrennt werden. Andernfalls gibt es keine Dritten, die Daten erhalten, Daten verkaufen oder Daten aus irgendeinem Grund teilen lassen.

Personal

Hintergrundprüfungen

Alle Bookafy-Mitarbeiter durchlaufen vor der Einstellung eine gründliche Hintergrundprüfung.

training

Während wir eine minimale Menge an Kundendaten aufbewahren und den internen Zugriff auf der Grundlage des Know-hows einschränken, sind alle Mitarbeiter in Den dato in Sicherheit und Datenverarbeitung geschult, um sicherzustellen, dass sie unser striktes Bekenntnis zur Privatsphäre und Sicherheit Ihrer Daten einhalten.

vertraulichkeit

Alle Mitarbeiter haben vor der Einstellung eine Geheimhaltungsvereinbarung und eine Vertraulichkeitsvereinbarung unterzeichnet.

Datenzugriff

Nur autorisierten Mitarbeitern wird Der Zugriff auf unsere Produktionsinfrastruktur gewährt, und die Verwendung von Passwort-Managern, um sichere Kennwörter und eine Zwei-Faktor-Autorisierung zu gewährleisten, wenn verfügbar ist, ist im gesamten Unternehmen vorgeschrieben.

Zuverlässigkeit

Katastrophe

Wir verfügen über Business Continuity- und Disaster Recovery-Pläne, die unsere Datenbank replizieren und die Daten auf mehreren Cloud-Servern in verschiedenen Regionen und Rechenzentren sichern, um eine hohe Verfügbarkeit im Katastrophenfall sicherzustellen.

Zuverlässigkeit

Bookafy hat uptime Geschichte von 99.3%

Entwicklungszyklen

Neue Funktionen

Bookafy entwickelt neue Features in 3-Wochen-Sprints. Unsere Bereitstellungen beginnen auf einem Entwicklungsserver, dann inszenieren, dann zu leben. Die Live-Serverbereitstellung findet am Sonntagmorgen der PST statt.

QUALITÄTS- und Test-

Bookafy führt automatisierte Tests zusammen mit manuellen Tests vor jeder Bereitstellung durch.

Dev- und Stagingserver-QA

Bevor Bookafy auf Live-Servern veröffentlicht wird, wird der Code während des QS-Prozesses auf Staging- und Entwicklungsservern bereitgestellt. Sobald die Tests abgeschlossen sind, wird der Code einem Repository für die Liveserverbereitstellung auf der Zeitachse des Sprintzyklus hinzugefügt.

Live-Überwachung

Sobald der Code an unseren Produktionsserver freigegeben wurde, führt unser QS-Team automatisierte Tests, manuelle Tests durch und nutzt externe Software, um unsere Dienste zu überwachen. Die externe Software läuft 24/7 mit Warnungen, die automatisch an unser Entwicklungsteam mit allen Problemen gesendet werden. Diese Benachrichtigungen werden rund um die Uhr überwacht und per SMS und E-Mail an unser Team gesendet.

Sicherheitsanfälligkeit

Firewall

Bookafy wird auf Azure-Servern gehostet und verwendet Azures Next Generation Firewall Service, der sich hinter dem Azures Web Application Gateway-Dienst befindet. Dieser Dienst umfasst Schutz vor Dingen wie SQL-Injektionen oder fehlerhaften HTTP-Anforderungen.

Malware und Virenschutz

Alle unsere Mitarbeiter arbeiten von firmeneigenen Maschinen, die Anti-Malware- und Virenschutzsoftware ausführen. Unser Office-Server ist durch eine Firewall für externen Penetrationsschutz geschützt.

Scannen

Unser interner Server, Mitarbeitercomputer und Datenhosting führen kontinuierlich Software zum Scannen von Schwachstellen durch.

Anwendungssicherheit

Login-Anmeldeinformationen schutz

Für unsere externen Anwendungen, die mit Bookafy arbeiten, speichert/sammelt Bookafy keine Passwörter. Die gesamte Bookafy-Authentifizierung verwendet eine sichere Oath-Verbindung, um Bookafy mit einem sicheren Token zu gewähren, das für das Konto jedes einzelnen Benutzers verwendet wird. Beispiele sind: Zoom, Stripe, Authorize.net, Google Kalender, Exchange, Office365, Outlook.com, Icloud, mailchimp und mehr. Alle 3. Teile

Trennen

Wenn ein Konto gekündigt oder auf kostenlos herabgestuft wird, werden alle Oath-Verbindungen automatisch von Bookafy zu Ihren Drittanbieteranwendungen getrennt.

API-Zugriff

Der Zugriff auf Daten über Bookafy wird explizit über einen OAuth-Autorisierungsmechanismus genehmigt, der Zugriffstoken gewährt, die jederzeit widerrufen werden können.

Zertifizierungen

DSGVO

Wir haben DSGVO-Standards in Datenpraktiken integriert, um sicherzustellen, dass unsere Kunden unterstützt werden und der DSGVO entsprechen. Erfahren Sie mehr über
Bookafy GdpR
.

Sicherheit FAQ 

Gab es in den letzten 5 Jahren erhebliche Sicherheitsverletzungen oder Vorfälle?

Nein.

Werden privilegierte und generische Kontozugriffe streng kontrolliert und periodisch überprüft,

Jährlich?

ja.

Welche Daten werden über den Nutzer gesammelt? 

Die Software sammelt Daten über den Kontoinhaber und den Endkunden. Beide Datensätze basieren auf den vom Kontoinhaber und vom Endkunden bereitgestellten Daten. Wir sammeln keine Daten, die über die vom Endnutzer oder Kontoinhaber freiwillig angegebenen Daten hinausgehen. 

Der Kontoinhaber kann Textfelder erstellen, um verschiedene Datenpunkte bei der Buchung zu erfassen, aber der Kunde ist sich der gesammelten Daten voll bewusst, da der Endbenutzer die Daten in die Felder eintippt. Der Endnutzer oder Kontoinhaber kann jederzeit eine Löschung der Daten per E-Mail an data@bookafy.com beantragen. 

Für welche Zwecke verwendet die App die Daten?

Die App-Daten werden nur für die Transaktion verwendet, für die sich der Endkunde angemeldet hat. Wenn Sie sich mit einer App eines Drittanbieters wie Facebook oder Google über SSO anmelden, verwenden wir diese Verbindung nur für den Kontozugriff. Wir verwenden keine Daten aus dem Konto wie Kontakte, Ereignisse, E-Mail-Nachrichten und wir posten nicht in Ihrem Namen oder beteiligen uns an irgendwelchen Aktivitäten innerhalb Ihres Kontos. Sie wird nur für die Anmeldung verwendet. 

Welche Rechte hat der Nutzer bei der Datenlöschung und wie kann er die Löschung seiner Daten beantragen? 

Wir verwenden die vom Kontoinhaber (unserem Kunden) gesammelten Daten, um dem Kontoinhaber ein besseres Erlebnis zu bieten. Dazu gehören alle Orte, an denen die AO hängen geblieben ist, die sie schon oft besucht hat, zu denen sie Fragen hat oder die einen Fehler aufweisen. Wir nutzen diese Daten, um mit unseren Kunden (Kontoinhabern) zum richtigen Zeitpunkt mit der richtigen Botschaft zu kommunizieren. 

Für den Endnutzer, den Kunden unseres Kunden… verwenden wir diese Daten nur für die Transaktion (Buchung) mit dem Kontoinhaber. Wir vermarkten diese Kunden nicht und verwenden ihre Daten auch nicht in anderer Weise. Ihre Daten werden nicht verkauft oder ausgeliehen… sie bleiben in unserem System. 

Sowohl bei der AO als auch beim Endkunden können die Daten jederzeit gelöscht werden. Die AO kann eine E-Mail an data@bookafy.com senden und die Löschung ihres Kontos und ihrer Daten beantragen. Der Endkunde kann beantragen, dass seine Daten von der AO gelöscht werden. 


Sind freigegebene Benutzerkonten für Mitarbeiter verboten? Was ist mit Kunden?

Mitarbeiter haben ihre eigenen eigenen Konten. Kunden haben auch ihre eigenen dedizierten Konten, mit Nurzugriff auf ihre Daten.

Erfordert Ihre Passwortkonstruktion mehrere Festigkeitsanforderungen, d.h. sichere Kennwörter und verwendet eine zufällige Folge von Alpha-, Numerischen und Sonderzeichen?

Wir benötigen mindestens 6 Zeichen in Passwörtern auf der grundlegenden Passwort-Management-Ebene. OWASP- und NIST SP 800-63-3-Kennwortrichtlinienoptionen können im kommenden Jahr verfügbar sein.

Ist die Netzwerkgrenze durch eine Firewall mit Eingangs- und Ausgangsfilterung geschützt?

ja. Alle Firewalls und Lastenausgleichsfunktionen werden von Azure und Amazon AWS bereitgestellt.

Befinden sich öffentliche Server in einer genau definierten demilitarisierten Zone (DMZ)?

Ja, das ist ein Erbe der Standard-Infrastrukturzonierung von Azure, und Bookafy hat regionale Server, die über die ganze Welt verteilt sind. 

Wird die interne Netzwerksegmentierung verwendet, um sensible Produktionsressourcen wie PCI-Daten weiter zu isolieren?

PCI-Daten werden nicht gespeichert, da sie nur von Bookafy von Drittanbietern wie Stripe und Authorize.net eingerahmt werden. Bookafy sammelt keine Daten und speichert keine Daten. 

Wird die Netzwerk-Intrusion Detection oder -Prävention implementiert und überwacht?

Ein breites Spektrum an Überwachungstools, ergänzt durch Benachrichtigungen und Warnungen von Azure, bleibt ständig eingeschaltet. Dazu gehören die Erkennung von Eindringversuchen und E-Mail-Bestätigungen des Netzwerkzugriffs.

Sind alle Desktops mit regelmäßig aktualisierter Viren-, Wurm-, Spyware- und Bösartiger Code-Software geschützt?

ja.

Sind Server durch Branchenhärteverfahren geschützt? Sind die Praktiken dokumentiert?

Sicherheitsdienste werden regelmäßig für die Überprüfung der Systemsicherheit in Anspruch genommen. 

Gibt es eine aktive Hersteller-Patchverwaltung für alle Betriebssysteme, Netzwerkgeräte und Anwendungen?

ja. Dies wird von Azure automatisch über ihren Dienst bereitgestellt.

Werden alle Produktionssystemfehler und Sicherheitsereignisse aufgezeichnet und beibehalten?

Protokolle werden für mindestens 1 Monat aufbewahrt, wobei einige bis zu 6 Monate verbleiben, je nach Schweregrad und erforderlichen Maßnahmen.

Werden Sicherheitsereignisse und Protokolldaten regelmäßig überprüft?

ja. Protokolle werden täglich, wöchentlich und monatlich überprüft – je nach Art der Log-Ereignisse.

Gibt es ein dokumentiertes Datenschutzprogramm mit Sicherheitsvorkehrungen, um den Schutz vertraulicher Kundeninformationen zu gewährleisten?

ja.

Gibt es ein Verfahren, um Kunden zu benachrichtigen, wenn eine Datenschutzverletzung auftritt?

ja.

Speichern, verarbeiten, übertragen (d. h. „handle“) Personell idenfiable Informationen (PII)?

ja.

In welchem Land oder in welchen Ländern werden personenbezogene Daten gespeichert?

Die meisten unserer PERSONENBEZOGENEn Daten werden in den USA gespeichert. Wir sind jedoch in der Lage, Kontodaten für unsere Unternehmenskunden in einem bestimmten regionalen Zentrum zu speichern. Beispiel. Australische Organisationen könnten sich dafür entscheiden, ihre Daten an unserem Standort in Canberra Azure zu speichern. Oder europäische Länder können in einem europäischen Rechenzentrum speichern. 

Sind Systemprotokolle vor Veränderung und Zerstörung geschützt?

Dies wird von Azure bereitgestellt und auf Dropbox Cloud Storage gesichert.

Sind Grenz- und VLAN-Einstiegspunkte durch Eindringungsschutz- und Erkennungsgeräte geschützt, die bei Angriffen Warnungen bereitstellen?

ja. Diese Dienste sind in unserer Azure-Firewall enthalten, die vor Eindringlingen schützt und automatische Warnungen an unser Entwicklungsteam sendet. 

Korrelieren Protokolle und Ereignisse mit einem Tool, das Warnungen vor einem laufenden Angriff liefert?

Ja, unser Sicherheitsservice umfasst die Protokollierung von Angriffen und Warnmeldungen in Echtzeit. 

Wie werden Daten von anderen Clients innerhalb der Lösung getrennt, einschließlich Netzwerken, Front-Ends, Back-End-Speicher und Backups?

Jedes Clientkonto wird logisch von anderen Clients getrennt, indem ein erforderlicher persistenter Mandantenbezeichner für alle Datenbankdatensätze verwendet wird.

Darüber hinaus erfordert der gesamte Anwendungscode diesen Mandantenbezeichner für alle Vorgänge – sowohl Lesen als auch Schreiben. Ein automatisiertes Testsystem ist auch vorhanden, um Codeänderungen vor Regressionen und einer möglichen mandantenübergreifenden Datenkontamination zu schützen.

Der Mandantenbezeichner ist mit jedem Benutzerkonto „hart verknüpft“ und wird logisch durch feste „WHERE“-Klauseln für Datenbankabfragen und gleichwertige Maßnahmen für den Dateizugriff erzwungen. Ein Plattformbenutzer ist nicht in der Lage, die Verknüpfung seiner Sitzung oder des Kontos über diesen Mandantenbezeichner zu ändern oder anderweitig aufzulinken. Somit gibt es keine logische Möglichkeit, dass ein Benutzer eine Anmeldeberechtigung unter einer anderen Mandantenkennung hat. Selbst wenn sie versuchen, mit der ID eines anderen Mandanten auf Seiten zuzugreifen, lehnt das System die Anforderung ab, da das Benutzerkonto nicht bei der angeforderten Mandanten-ID registriert ist.

Haben Sie einen Notfall-Reaktionsplan?

Ja, es wird ein „lebendes Dokument“ beibehalten, das die Reaktion auf Katastrophen und Vorfälle umreißt.

Checklisten, Kontaktdaten und wichtige Systemfunktionen zum Verständnis und Reagieren auf Vorfälle.

Welches Niveau des Netzwerkschutzes wird implementiert?

Wir nutzen Azures Web Application Gateway (Load Balancer) und Next Generation Firewall, um unser Netzwerk virtueller Maschinen zu schützen, die auf Azure Cloud laufen. 

Bietet die Plattform Berichte für QoS-Leistungsmessungen (Ressourcennutzung, Durchsatz, Verfügbarkeit usw.)?

Solche Metriken werden kundenfern ennot, abgesehen von Verfügbarkeits- und Antwortzeiten gemäß unserer Statusseite auf status.pingdom.com

Wird das Disaster Recovery-Programm mindestens einmal jährlich getestet?

Ja, Recovery-Checks und durchgeführt und getestet jährlich.

Was ist das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) des Systems?

Die RTO beträgt 4 Stunden, rPO 1 Stunde.

Bieten Sie Sicherungs- und Wiederherstellungspläne für einzelne Clients an?

Alle Aspekte sind mandantenfähig, sodass Sicherungen über den gesamten Clientstamm hinweg durchgeführt werden. Vollständige Dateisicherungen werden alle 24 Stunden ausgeführt und profitieren von Azure-Datenbank-Point-in-Time-Sicherungen, die alle 5 Minuten durchgeführt werden. Backups werden auf Dropbox Cloud sowie auf redundanten virtuellen Azure-Maschinen gespeichert. 

Wie lange werden Sicherungen maximal aufbewahrt?

Datenbank-Point-in-Time-Backups werden 30 Tage lang aufbewahrt, allgemeine Dateisicherungen mindestens 90 Tage lang.

Was ist die erwartete Bearbeitungszeit für eine Datenwiederherstellung?

Jede Clientwiederherstellung in einem Nicht-Katastrophenszenario muss bei uns angefordert und geplant werden. Die Bearbeitungszeit beträgt zwischen 1 und 2 Werktagen. 

Kann ein einzelnes Entitätskonto wiederhergestellt werden, ohne die gesamte Plattform zu beeinträchtigen?

Wenn die Wiederherstellung eines bestimmten Datensatzes oder Artefakts von einem Kunden erforderlich ist, kann dies online über eine Anforderungsbasis durchgeführt werden und ist kostenpflichtige Arbeit. Es gibt keine Auswirkungen auf die Plattform oder das Kundenkonto.

Ist hohe Verfügbarkeit zur Verfügung gestellt – i. E. Wo eine Serverinstanz nicht mehr verfügbar ist, wird eine andere verfügbar?

Auf allen Systemebenen werden mehrere Serverinstanzen über den virtuellen Computer von Azure ausgeführt, wobei Web Application Gateway den Lastenausgleich verarbeitet. Der Ausfall einer Serverinstanz innerhalb des Rechenzentrums wird von Azure WAG behandelt, wobei die Probleminstanz recycelt und/oder entfernt und durch eine neue Instanz ersetzt wird.

Werden Daten an einem anderen Speicherort (Rechenzentrum) gespeichert und verfügbar, um die Anforderungen an die Notfallwiederherstellung zu erfüllen?

Ja. Alle Daten werden in ein zweites Rechenzentrum repliziert, das sich je nach geografischem Standort unterscheidet und Backup-Daten auf Dropbox Cloud Storage speichert. .

Ist der Failover-Prozess ein aktiver/aktiver, automatisierter Umschaltprozess?

Der Ausfall einer Serverinstanz innerhalb des primären Rechenzentrums wird von Azure WAG Load Balancern behandelt, wobei die Probleminstanz wiederverwendet und/oder entfernt und durch eine neue Instanz ersetzt wird.

Für den Fall, dass das gesamte Rechenzentrum einen kritischen Fehler haben sollte, ist die Umstellung auf das sekundäre Center ein manueller Prozess, da wir zuerst eine vollständige Bewertung des Problems durchführen müssen, um sicherzustellen, dass es keine einfachen Problemumgehungen gibt, um das vorhandene primäre Zentrum beizubehalten. Anwesenheit verfügbar. Wenn festgestellt wird, dass ein Wechsel in die sekundäre Zentrale erforderlich ist, wird die Umschaltung manuell eingeleitet, um die Zielwiederherstellungsziele zu erreichen.