با اطمینان از Bookafy استفاده کنید و به بیش از 15000 تجارتی بپیوندید که به Bookafy در سراسر جهان اعتماد دارند.
هنگامی که به یک برنامه شخص ثالث (icloud، google cal، outlook، Exchange) متصل میشوید، Bookafy فقط خط موضوع تقویم، تاریخ، زمان و مدت زمان را وارد میکند تا زمان را در Bookafy مسدود کند تا از رزرو مضاعف جلوگیری شود. ما هیچ گونه اطلاعات شخصی یا قابل شناسایی را وارد، ذخیره یا نگهداری نمی کنیم.
Bookafy به هیچ اطلاعاتی در تقویم متصل یا حساب ایمیل شما از جمله مخاطبین، آدرس ایمیل یا ایمیلها دسترسی ندارد. آدرسهای ایمیل را میتوان برای احراز هویت مالکیت حساب در Bookafy استفاده کرد، اما ما هیچ اطلاعات مربوط به اطلاعات شخصی شما را جمعآوری نمیکنیم.
تمام ادغام های شخص ثالث از طریق احراز هویت سوگند انجام می شود. این به Bookafy اجازه میدهد بدون دیدن، جمعآوری یا ذخیره نامهای کاربری یا گذرواژههای شما با ارائهدهندگان شخص ثالث ارتباط برقرار کند. Bookafy از طریق یک کد احراز هویت که هنگام اتصال شما از طریق Oath ارائه می شود، متصل می شود.
لاجوردی
Bookafy در Azure میزبانی می شود. شما می توانید در مورد مقررات امنیتی کامل Azure و AWS در سایت آنها بخوانید.
Bookafy از تمام ویژگیهای امنیتی داخلی، حریم خصوصی و افزونگی پلتفرم استفاده میکند. Azure به طور مستمر مراکز داده خود را از نظر ریسک نظارت می کند و برای اطمینان از انطباق با استانداردهای صنعت، ارزیابی هایی را انجام می دهد. عملیات مرکز داده Azure تحت: ISO 27001، SOC 1 و SOC 2/SSAE 16/ISAE 3402 (قبلاً SAS 70 Type II)، PCI Level 1، FISMA Moderate و Sarbanes-Oxley (SOX) تایید شده است.
AWS
Bookafy از AWS CDN برای تصاویر استفاده می کند. Bookafy از تمام ویژگیهای امنیتی داخلی، حریم خصوصی و افزونگی پلتفرم استفاده میکند. AWS به طور مستمر مراکز داده خود را از نظر ریسک نظارت می کند و برای اطمینان از انطباق با استانداردهای صنعت، ارزیابی هایی را انجام می دهد. عملیات مرکز داده AW تحت: ISO 27001، SOC 1 و SOC 2/SSAE 16/ISAE 3402 (قبلاً SAS 70 نوع II)، PCI Level 1، FISMA Moderate و Sarbanes-Oxley (SOX) تأیید شده است.
پشتیبان گیری
Bookafy از تمام داده ها و پایه کد روزانه در سرورهای اضافی در 2 جغرافیای جداگانه نسخه پشتیبان تهیه می کند. همچنین، پشتیبانگیری از کد و دادهها در Dropbox Cloud Storage میزبانی میشود.
رمزگذاری
دادههایی که از طریق Bookafy عبور میکنند، هم در حال انتقال و هم در حالت استراحت رمزگذاری میشوند. تمام اتصالات از مرورگر به پلتفرم Bookafy در حین انتقال با استفاده از TLS SHA-256 با رمزگذاری RSA رمزگذاری میشوند. Bookafy برای همه خدمات به HTTPS نیاز دارد.
برای داده های حساسی که مقادیر اصلی مورد نیاز نیست، مانند رمز عبور خودمان، داده ها را با استفاده از الگوریتم BCrypt هش می کنیم. در جایی که مقادیر اصلی مورد نیاز است، مانند جزئیات احراز هویت برای دسترسی به تقویمها، مقادیر با استفاده از الگوریتم AES-256-GCM با استفاده از نمک منحصر به فرد و تصادفی تولید شده برای هر مجموعه از دادههای حساس رمزگذاری میشوند.
انتقال ایمن به سرورها
Bookafy یک سرویس امنیت داده را برای تأیید اعتبار انتقال داده بین تیم توسعه ما و ماشینهای مجازی به کار گرفته است. همه داده ها رمزگذاری شده و ایمن هستند.
به اشتراک گذاری داده و دسترسی شخص ثالث
Bookafy داده های مشتری را به کسی نمی فروشد. ما داده ها را برای اهداف بازاریابی چند کانالی به اشتراک نمی گذاریم. Bookafy به هیچ ارائهدهنده شخص ثالثی دسترسی نمیدهد، مگر اینکه از طریق اتصال حساب از طریق تأیید اعتبار سوگند یا کلید API. هر دو را می توان در هر زمان از داخل Bookafy یا از داخل برنامه شخص ثالث قطع کرد. در غیر این صورت، هیچ شخص ثالثی وجود ندارد که به هر دلیلی داده به آنها داده شود، داده فروخته شود یا داده به اشتراک گذاشته شود.
بررسی پیشینه
همه کارمندان Bookafy قبل از استخدام، یک بررسی کامل سابقه را انجام می دهند.
آموزش
در حالی که ما مقدار حداقلی از دادههای مشتری را حفظ میکنیم و دسترسی داخلی را بر اساس نیاز به دانستن محدود میکنیم، همه کارمندان در زمینه امنیت و مدیریت دادهها آموزش دیدهاند تا اطمینان حاصل کنند که از تعهد دقیق ما نسبت به حفظ حریم خصوصی و امنیت دادههای شما حمایت میکنند.
محرمانه بودن
همه کارکنان قبل از استخدام قرارداد عدم افشا و قرارداد محرمانه امضا کرده اند.
دسترسی به داده ها
فقط به کارمندان مجاز اجازه دسترسی به زیرساخت تولید ما داده می شود و استفاده از مدیران رمز عبور برای اطمینان از گذرواژه های قوی و مجوز دو مرحله ای در صورت موجود بودن در سراسر شرکت الزامی است.
فاجعه
ما طرحهای تداوم کسبوکار و بازیابی بلایا را داریم که پایگاه داده ما را تکرار میکند و از دادهها در چندین سرور ابری در مناطق جغرافیایی و مراکز داده مختلف نسخه پشتیبان تهیه میکند تا در صورت بروز فاجعه از دسترسی بالا اطمینان حاصل شود.
قابلیت اطمینان
Bookafy سابقه آپتایم 99.3٪ دارد
ویژگی های جدید
Bookafy ویژگی های جدیدی را در 3 هفته دوی سرعت توسعه می دهد. استقرار ما در سرور توسعه شروع می شود، سپس مرحله بندی، سپس به زندگی می کنند. استقرار سرور زنده در صبح یکشنبه PST رخ می دهد.
QA و تست
Bookafy قبل از هر استقرار تست خودکار را همراه با آزمایش دستی اجرا می کند.
توسعه دهنده و مرحله بندی سرور QA
قبل از اینکه Bookafy روی سرورهای زنده منتشر شود، کد بر روی سرورهای مرحلهبندی و توسعه در طول فرآیند QA مستقر میشود. پس از اتمام آزمایش، کد به یک مخزن برای استقرار سرور زنده در جدول زمانی چرخه اسپرینت اضافه می شود.
مانیتورینگ زنده
هنگامی که کد در سرور تولید ما منتشر شد، تیم QA ما تستهای خودکار، تست دستی و استفاده از نرمافزار خارجی را برای نظارت بر خدمات ما انجام میدهد. نرم افزار خارجی به صورت 24 ساعته در حال اجرا است و هشدارهایی با هر مشکلی به صورت خودکار به تیم توسعه ما ارسال می شود. این هشدارها 24/7 نظارت می شوند و از طریق پیامک و ایمیل برای تیم ما ارسال می شوند.
دیواره آتش
Bookafy بر روی سرورهای Azure میزبانی می شود و از سرویس فایروال نسل بعدی Azures استفاده می کند که در پشت سرویس Azures Web Application Gateway قرار دارد. این سرویس شامل محافظت در برابر مواردی مانند تزریق SQL یا درخواست های HTTP نادرست است.
بدافزار و پیشگیری از ویروس
همه کارمندان ما از ماشینهای متعلق به شرکت که نرمافزار ضد بدافزار و محافظت از ویروس را اجرا میکنند، کار میکنند. سرور اداری ما توسط یک فایروال برای محافظت از نفوذ خارجی محافظت می شود.
اسکن کردن
سرور داخلی، ماشینهای کارمند و میزبان دادهها بهطور مداوم نرمافزار اسکن آسیبپذیری را اجرا میکنند.
حفاظت از اعتبارنامه ورود
برای برنامههای خارجی ما که با Bookafy کار میکنند، Bookafy پسوردها را ذخیره/جمعآوری نمیکند. تمام احراز هویت Bookafy از یک اتصال امن سوگند برای اعطای دسترسی به Bookafy با توکن ایمن استفاده شده برای حساب هر کاربر استفاده می کند. مثالها عبارتند از: Zoom، Stripe، Authorize.net، تقویم Google، Exchange، Office365، Outlook.com، Icloud، mailchimp و موارد دیگر. همه قسمت 3
قطع شدن
هنگامی که یک حساب لغو یا به رایگان کاهش می یابد، تمام اتصالات Oath به طور خودکار از Bookafy به برنامه های شخص ثالث شما قطع می شود.
دسترسی به API
تمام دسترسی به داده ها از طریق Bookafy به صراحت از طریق مکانیسم مجوز OAuth تأیید شده است که نشانه های دسترسی را می دهد که می توانند در هر زمان لغو شوند.
GDPR
ما استانداردهای GDPR را در شیوههای داده گنجاندهایم تا مطمئن شویم همه مشتریان ما از GDPR پشتیبانی میکنند و مطابق با GDPR هستند. درباره Bookafy GDPR بیشتر بدانید.
سوالات متداول امنیتی
آیا در 5 سال گذشته نقض یا رویداد مهم امنیتی رخ داده است؟
خیر
آیا دسترسی به حساب ممتاز و عمومی به شدت کنترل شده و حداقل به صورت دوره ای بررسی می شود
سالانه؟
آره.
چه داده هایی در مورد کاربر جمع آوری می شود؟
این نرم افزار داده های مربوط به مالک حساب و مشتری نهایی را جمع آوری می کند. هر دو داده راهاندازی بر اساس دادههای ارائه شده توسط مالک حساب و مشتری نهایی است. ما هیچ داده ای خارج از داده های داوطلبانه ارائه شده توسط کاربر نهایی یا مالک حساب جمع آوری نمی کنیم.
مالک حساب میتواند فیلدهای متنی را برای جمعآوری نقاط داده مختلف در هنگام رزرو ایجاد کند، اما مشتری کاملاً از اطلاعات جمعآوری شده آگاه است زیرا کاربر نهایی دادهها را در فیلدها تایپ میکند. کاربر نهایی یا مالک حساب میتواند در هر زمان از طریق ایمیل data@bookafy.com درخواست حذف دادهها را بدهد
برنامه برای چه اهدافی از داده ها استفاده می کند؟
داده های برنامه فقط برای تراکنشی استفاده می شود که مشتری نهایی در آن ثبت نام کرده است. اگر از یک برنامه شخص ثالث برای ورود به سیستم با SSO مانند Facebook یا Google استفاده می کنیم، ما فقط از آن اتصال برای دسترسی به حساب استفاده می کنیم. ما از داده های حساب مانند مخاطبین، رویدادها، پیام های ایمیل استفاده نمی کنیم و از طرف شما پست نمی گذاریم یا در هیچ فعالیتی در حساب شما شرکت نمی کنیم. فقط برای ورود استفاده می شود.
حقوق کاربران برای حذف داده ها چیست و کاربر چگونه می تواند درخواست حذف داده ها را داشته باشد؟
ما از دادههای جمعآوریشده از مالک حساب (مشتری ما) برای ارائه تجربه بهتر به مالک حساب استفاده میکنیم. این شامل هر مکانی است که AO گیر کرده است، بارها از آن بازدید کرده است، ممکن است در مورد آن سؤالاتی داشته باشد یا اشکال داشته باشد. ما از این داده ها برای برقراری ارتباط با مشتریان خود (مالک حساب) در زمان مناسب با پیام مناسب استفاده می کنیم.
برای کاربر نهایی، مشتری مشتری ما… ما فقط از این داده ها برای تراکنش (رزرو) با صاحب حساب استفاده می کنیم. ما برای این مشتریان بازاریابی نمی کنیم یا از داده های آنها به روش دیگری استفاده نمی کنیم. داده های آنها فروخته نمی شود یا قرض گرفته نمی شود … در سیستم ما می ماند.
در هر دو مورد AO و مشتری نهایی، داده های آنها می تواند در هر زمان حذف شود. AO می تواند به data@bookafy.com ایمیل بزند و درخواست کند که حساب و داده های خود حذف شود. مشتری نهایی می تواند درخواست کند که داده های خود توسط AO حذف شود.
آیا حساب های کاربری مشترک برای کارمندان ممنوع است؟ در مورد مشتریان چطور؟
کارمندان حساب های اختصاصی خود را دارند. مشتریان همچنین دارای حساب های اختصاصی خود هستند که فقط به داده های خود دسترسی دارند.
آیا ساخت گذرواژه شما به نیازهای چندگانه قدرت نیاز دارد، یعنی رمزهای عبور قوی و از یک دنباله تصادفی از کاراکترهای آلفا، عددی و خاص استفاده می کند؟
ما به حداقل 6 کاراکتر در گذرواژه در سطح مدیریت پایه رمز عبور نیاز داریم. گزینه های خط مشی رمز عبور OWASP و NIST SP 800-63-3 ممکن است در سال آینده در دسترس باشند.
آیا مرز شبکه با فایروال با فیلتر ورودی و خروجی محافظت می شود؟
آره. تمام فایروال ها و امکانات متعادل کننده بار توسط Azure و Amazon AWS ارائه شده است.
آیا سرورهای عمومی در یک منطقه غیرنظامی (DMZ) کاملاً تعریف شده هستند؟
بله، این از منطقهبندی زیرساخت پیشفرض Azure به ارث رسیده است و Bookafy سرورهای منطقهای دارد که در سراسر جهان پخش شدهاند.
آیا از تقسیم بندی شبکه داخلی برای جداسازی بیشتر منابع تولید حساس مانند داده های PCI استفاده می شود؟
داده های PCI ذخیره نمی شوند زیرا فقط توسط Bookafy از ارائه دهندگان شخص ثالث مانند Stripe و Authorize.net قاب می شوند. Bookafy داده ها را جمع آوری نمی کند یا داده ها را ذخیره نمی کند.
آیا تشخیص نفوذ یا پیشگیری شبکه اجرا و نظارت می شود؟
طیف گسترده ای از ابزارهای نظارتی، تکمیل شده با اعلان ها و هشدارهای ارائه شده توسط Azure به طور مداوم روشن هستند. این شامل تشخیص نفوذ و تایید ایمیل دسترسی به شبکه است.
آیا همه دسکتاپ ها با استفاده از ویروس ها، کرم ها، جاسوس افزارها و نرم افزارهای کد مخرب که به طور منظم به روز می شوند محافظت می شوند؟
آره.
آیا سرورها با استفاده از روشهای سختسازی صنعت محافظت میشوند؟ آیا اقدامات مستند شده است؟
خدمات امنیتی به طور منظم برای ارائه ممیزی های امنیتی سیستم استفاده می شود.
آیا مدیریت پچ فروشنده فعال برای همه سیستم عامل ها، دستگاه های شبکه و برنامه ها وجود دارد؟
آره. این توسط Azure به طور خودکار از طریق سرویس آنها ارائه می شود.
آیا تمام خطاهای سیستم تولید و رویدادهای امنیتی ثبت و حفظ می شوند؟
لاگ ها حداقل به مدت 1 ماه نگهداری می شوند و برخی از آنها تا 6 ماه باقی می مانند، بسته به شدت و اقدام مورد نیاز.
آیا رویدادهای امنیتی و داده های گزارش به طور مرتب بررسی می شوند؟
آره. گزارشها به صورت روزانه، هفتگی و ماهانه بررسی میشوند – بسته به ماهیت رویدادهای گزارش.
آیا یک برنامه حفظ حریم خصوصی مستند با پادمان هایی برای اطمینان از حفاظت از اطلاعات محرمانه مشتری وجود دارد؟
آره.
آیا فرآیندی برای اطلاع مشتریان در صورت وقوع هرگونه نقض حریم خصوصی وجود دارد؟
آره.
آیا اطلاعات شخصی قابل شناسایی (PII) را ذخیره، پردازش، انتقال میدهید؟
آره.
PII در چه کشور یا کشورهایی ذخیره می شود؟
بیشتر داده های PII ما در ایالات متحده ذخیره می شوند. با این حال، ما می توانیم داده های حساب را برای مشتریان سازمانی خود در یک مرکز منطقه ای خاص ذخیره کنیم. مثال. سازمان استرالیایی میتواند انتخاب کند که دادههای خود را در مکان Canberra Azure ما ذخیره کند. یا کشورهای اروپایی می توانند در مرکز داده اروپا ذخیره کنند.
آیا گزارش های سیستم از تغییر و تخریب محافظت می شوند؟
این توسط Azure ارائه شده و در Dropbox Cloud Storage پشتیبانگیری شده است.
آیا نقاط ورودی مرزی و VLAN توسط دستگاههای حفاظت از نفوذ و شناسایی محافظت میشوند که هنگام حمله هشدار میدهند؟
آره. این خدمات در فایروال Azure ما گنجانده شده است که در برابر نفوذ محافظت می کند و هشدارهای خودکار را به تیم توسعه ما ارسال می کند.
آیا گزارشها و رویدادها با ابزاری مرتبط هستند که هشدارهای حمله در حال انجام را ارائه میدهند؟
بله، خدمات امنیتی ما شامل ثبت گزارش و هشدار حملات در زمان واقعی است.
چگونه داده ها از سایر کلاینت ها در راه حل جدا می شوند، از جمله شبکه، فرانت اند، ذخیره سازی پشتیبان و پشتیبان گیری؟
هر حساب مشتری به طور منطقی از سایر مشتریان با استفاده از یک شناسه مستاجر دائمی در تمام رکوردهای پایگاه داده جدا می شود.
علاوه بر این، همه کدهای برنامه به این شناسه مستاجر برای همه عملیات نیاز دارند – هم خواندن و هم نوشتن. یک رژیم تست خودکار نیز برای محافظت از تغییرات کد در برابر رگرسیون ها و آلودگی داده های متقابل مستاجر وجود دارد.
شناسه مستاجر به هر حساب کاربری “پیوند سخت” است و به طور منطقی از طریق بندهای ثابت “WHERE” در پرس و جوهای پایگاه داده و اقدامات معادل برای دسترسی به فایل اعمال می شود. کاربر پلتفرم نمیتواند جلسه یا حساب خود را از این شناسه مستاجر تغییر دهد یا بهطور دیگری پیوند آن را لغو کند. بنابراین هیچ امکان منطقی برای داشتن مجوز ورود کاربر تحت یک شناسه مستاجر متفاوت وجود ندارد. حتی اگر آنها سعی می کردند با استفاده از شناسه مستاجر دیگری به صفحات دسترسی پیدا کنند، سیستم به دلیل ثبت نشدن حساب کاربری در شناسه مستاجر درخواستی، درخواست را رد می کند.
آیا برنامه ای برای واکنش به حوادث دارید؟
بله، یک «سند زنده» نگهداری میشود که واکنشهای بلایا و حوادث را مشخص میکند
چک لیست ها، جزئیات تماس و امکانات کلیدی سیستم برای درک و پاسخ به حوادث.
چه سطحی از حفاظت شبکه اجرا شده است؟
ما از دروازه Azures Web Application (تعادل کننده بار) و فایروال نسل بعدی برای محافظت از شبکه ماشین های مجازی خود در حال اجرا در Azure Cloud استفاده می کنیم.
آیا پلتفرم گزارش هایی را برای اندازه گیری عملکرد کیفیت خدمات (QOS) (استفاده از منابع، توان عملیاتی، در دسترس بودن و غیره) ارائه می دهد؟
چنین معیارهایی به مشتریان ارائه نمی شود، به غیر از زمان در دسترس بودن و پاسخگویی مطابق صفحه وضعیت ما در status.pingdom.com
آیا برنامه بازیابی بلایا حداقل سالیانه آزمایش می شود؟
بله، چک های بازیابی و سالانه انجام و آزمایش می شود.
Recovery Time Objective (RTO) و Recovery Point Objective (RPO) سیستم چیست؟
RTO 4 ساعت است و RPO 1 ساعت است.
آیا برنامه های پشتیبان و بازیابی را برای مشتریان فردی ارائه می دهید؟
همه جنبه ها چند مستاجر هستند، بنابراین پشتیبان گیری در کل پایگاه مشتری گرفته می شود. پشتیبانگیری کامل فایل هر 24 ساعت اجرا میشود و از Azure در زمان پشتیبانگیری هر 5 دقیقه یک بار بهره میبرد. پشتیبانگیریها در Dropbox Cloud و همچنین ماشینهای مجازی اضافی Azure ذخیره میشوند.
حداکثر زمانی که نسخه های پشتیبان نگهداری می شوند چقدر است؟
پشتیبانگیریهای لحظهای پایگاه داده به مدت 30 روز و نسخههای پشتیبان عمومی فایل حداقل 90 روز حفظ میشوند.
زمان مورد انتظار برای بازیابی اطلاعات چقدر است؟
هر گونه بازیابی مشتری در هر سناریوی غیر فاجعه ای باید با ما درخواست و برنامه ریزی شود. گردش بین 1 تا 2 روز کاری است.
آیا می توان یک حساب موجودیت واحد را بدون تأثیر بر کل پلتفرم بازیابی کرد؟
اگر بازیابی یک رکورد یا مصنوع خاص توسط مشتری مورد نیاز باشد، این کار را می توان به صورت آنلاین از طریق هر درخواست انجام داد و کار قابل پرداخت است. هیچ تاثیری روی پلتفرم یا حساب مشتری ندارد.
آیا در دسترس بودن بالا ارائه شده است – i. ه. در جایی که یک نمونه سرور از دسترس خارج می شود، دیگری در دسترس می شود؟
چندین نمونه سرور در تمام سطوح سیستم از طریق ماشین مجازی Azure اجرا میشوند، با Web Application Gateway که تعادل بار را مدیریت میکند. خرابی یک نمونه سرور در مرکز داده توسط Azure WAG مدیریت میشود و نمونه مشکل بازیافت و/یا حذف شده و با یک نمونه جدید جایگزین میشود.
آیا داده ها در مکان دیگری (مرکز داده) ذخیره شده و در دسترس هستند تا نیازهای بازیابی فاجعه را برآورده کنند؟
آره. همه دادهها به یک مرکز داده دوم کپی میشوند که بر اساس موقعیت جغرافیایی و همچنین داشتن اطلاعات پشتیبان ذخیره شده در Dropbox Cloud Storage متفاوت است. .
آیا فرآیند Failover یک فرآیند جابجایی فعال/فعال و خودکار است؟
خرابی یک نمونه سرور در مرکز داده اولیه توسط متعادل کننده های بار Azure WAG کنترل می شود و نمونه مشکل بازیافت و/یا حذف شده و با یک نمونه جدید جایگزین می شود.
در صورتی که کل مرکز داده با یک خرابی اساسی مواجه شود، جابجایی به مرکز ثانویه یک فرآیند دستی است، زیرا ابتدا باید ارزیابی کاملی از موضوع انجام دهیم تا مطمئن شویم که هیچ راه حل ساده ای برای حفظ اولیه موجود وجود ندارد. حضور مرکز در دسترس است. اگر مشخص شود که حرکت به مرکز ثانویه لازم است، آنگاه جابجایی به صورت دستی برای دستیابی به اهداف بازیابی هدف آغاز می شود.
