Bookafy säkerhet och sekretess

Använd Bookafy med tillförsikt och gå med över 15.000 företag som litar bookafy runt om i världen.

Sekretess och säkerhet | bookafy
Sekretess och säkerhet | bookafy

Anslutna kalendrar

När den är ansluten till en tredjepartsapplikation (icloud, google cal, outlook, exchange) importerar Bookafy endast kalenderämnesraden, datum, tid och varaktighet för att blockera tiden i Bookafy för att förhindra dubbla bokningar. Vi importerar inte, lagrar eller lagrar eller lagrar någon personlig eller identifierbar information.

E-post och kontakter

Bookafy får inte tillgång till någon information i din anslutna kalender eller e-postkonto, inklusive kontakter, e-postadress eller e-post. E-postadresser kan användas för att autentisera kontoägarskap inom Bookafy, men vi samlar inte in någon information som rör dina personuppgifter.

Integrationer

Alla tredjepartsintegrationer görs via Oath-autentisering. Detta gör att Bookafy kan ansluta med tredjepartsleverantörer utan att se, samla in eller lagra dina användarnamn eller lösenord. Bookafy är ansluten via en autentiseringskod som tillhandahålls när du ansluter via Oath.

Data Hosting

Azure

Bookafy finns på Azure. Du kan läsa om Azure och AWS grundliga säkerhetsbestämmelser på deras webbplats.

Bookafy utnyttjar alla plattformens inbyggda säkerhets-, sekretess- och redundansfunktioner. Azure övervakar kontinuerligt sina datacenter för risk och genomgår bedömningar för att säkerställa efterlevnad av branschstandarder. Azures datacenteråtgärder har ackrediterats under: ISO 27001, SOC 1 och SOC 2/SSAE 16/ISAE 3402 (Tidigare SAS 70 Typ II), PCI Nivå 1, FISMA Moderate och Sarbanes-Oxley (SOX).

Aws

Bookafy använder AWS CDN för bilder. Bookafy utnyttjar alla plattformens inbyggda säkerhets-, sekretess- och redundansfunktioner. AWS övervakar kontinuerligt sina datacenter för risk och genomgår bedömningar för att säkerställa efterlevnad av branschstandarder. AW:s datacenterverksamhet har ackrediterats under: ISO 27001, SOC 1 och SOC 2/SSAE 16/ISAE 3402 (Tidigare SAS 70 Typ II), PCI Nivå 1, FISMA Moderate och Sarbanes-Oxley (SOX).

Säkerhetskopior

Bookafy kör tillbaka upp av alla data och kodbas dagligen på redundanta servrar i 2 separata geografiska områden. Även kod- och säkerhetskopieringar av data finns på Dropbox Cloud Storage.

Kryptering

Data som passerar genom Bookafy krypteras, både under transport och i vila. Alla anslutningar från webbläsaren till Bookafy-plattformen krypteras under överföring med TLS SHA-256 med RSA-kryptering. Bookafy kräver HTTPS för alla tjänster.

För känsliga data där de ursprungliga värdena inte behövs, till exempel våra egna lösenord, har vi data med hjälp av BCrypt-algoritmen. Om de ursprungliga värdena behövs, till exempel autentiseringsinformation för åtkomst till kalendrar, krypteras värdena med algoritmen AES-256-GCM med hjälp av ett unikt, slumpmässigt genererat salt för varje uppsättning känsliga data.

Säker överföring till servrar

Bookafy har anställt en datasäkerhetstjänst för att autentisera dataöverföringar mellan vårt utvecklingsteam och de virtuella datorerna. Alla data krypteras och skyddas.

Datadelning och åtkomst från tredje part

Bookafy säljer inte kunddata till någon. Vi delar inte data för marknadsföring över flera kanaler. Bookafy ger inte åtkomst till någon tredjepartsleverantör om inte via kontoanslutning via Oath-autentisering eller API-nyckel. Båda kan kopplas från när som helst inifrån Bookafy eller inifrån tredje parts ansökan. Annars finns det inga tredje parter som får data, sålde data eller har data delade av någon anledning.

Personal

Bakgrundskontroller

Alla Bookafy anställda går igenom en grundlig bakgrundskontroll innan hyra.

Utbildning

Samtidigt som vi behåller en minimal mängd kunddata och begränsar intern åtkomst på behovsbasis, är alla anställda utbildade på säkerhet och datahantering för att säkerställa att de upprätthåller vårt strikta engagemang för sekretess och säkerhet för dina data.

Sekretess

Alla anställda har tecknat ett sekretessavtal och sekretessavtal innan de anställer.

Dataåtkomst

Endast behöriga medarbetare beviljas tillgång till vår produktionsinfrastruktur och användning av lösenordshanterare för att säkerställa starka lösenord och tvåfaktorsauktorisering när de är tillgängliga i hela företaget.

Tillförlitlighet

Katastrof

Vi har planer för affärskontinuitet och katastrofåterställning på plats som replikerar vår databas och säkerhetskopierar data till flera molnservrar i olika geografiska områden och datacenter för att säkerställa hög tillgänglighet i händelse av en katastrof.

Tillförlitlighet

Bookafy har uptime historia på 99,3%

Utvecklingscykler

Nya funktioner

Bookafy utvecklar nya funktioner i 3 veckors sprintar. Våra distributioner börjar på en utvecklingsserver och sedan iscensätter och sedan live. Live server distribution sker på söndag morgon PST.

QA och testning

Bookafy kör automatiserad testning tillsammans med manuell testning före varje distribution.

Qa för utvecklings- och mellanlagringsserver

Innan Bookafy släpps på liveservrar distribueras koden på mellanlagrings- och utvecklingsservrar under QA-processen. När testningen är klar läggs koden till i en databas för liveserverdistribution på tidslinjen för sprintcykeln.

Live övervakning

När koden släpps till vår produktionsserver kör vårt QA-team automatiserade tester, manuella tester och använder extern programvara för att övervaka våra tjänster. Den externa programvaran körs 24 / 7 med varningar som automatiskt skickas till vårt utvecklingsteam med eventuella problem. Dessa varningar övervakas 24 / 7 och skickas via sms och e-post till vårt team.

Säkerhetsproblem

Brandvägg

Bookafy finns på Azure-servrar och använder Azures Next Generation Firewall Service, som ligger bakom Azures Web Application Gateway-tjänst. Den här tjänsten innehåller skydd mot saker, till exempel SQL-injektioner eller felaktiga HTTP-begäranden.

Malware och virusförebyggande

Alla våra anställda arbetar från företagsägda maskiner som kör anti-malware och antivirusprogram. Vår kontorsserver skyddas av en brandvägg för externt penetrationsskydd.

Skanning

Vår interna server, anställdamaskiner och datahosting kör kontinuerligt program för sårbarhetsskanning.

Programsäkerhet

Inloggningsskydd för autentiseringsuppgifter

För våra externa applikationer som fungerar med Bookafy lagrar bookafy inte lösenord. All Bookafy-autentisering använder en säker Oath-anslutning för att ge åtkomst till Bookafy med en säker token som används för varje enskild användares konto. Exempel är: Zoom, Stripe, Authorize.net, Google kalender, Exchange, Office365, Outlook.com, Icloud, mailchimp med mera. Alla 3: e delen

Koppla

När ett konto annulleras eller nedgraderas till gratis kopplas alla Oath-anslutningar automatiskt från Bookafy till dina tredjepartsprogram.

API-åtkomst

All åtkomst till data via Bookafy godkänns uttryckligen via en OAuth-auktoriseringsmekanism som ger åtkomsttoken som kan återkallas när som helst.

Certifieringar

GDPR

Vi har införlivat GDPR-standarder i datapraxis för att se till att våra alla våra kunder stöds och i enlighet med GDPR. Läs mer om
Bookafy GDPR
.

Vanliga frågor om säkerhet 

Har några betydande säkerhetsöverträdelser eller incidenter inträffat under de senaste 5 åren?

Nej.

Är privilegierad och generisk kontoåtkomst noggrant kontrollerad och granskad regelbundet, minst

Årligen?

Ja.

Vilka uppgifter samlas in om användaren? 

Programvaran samlar in uppgifter om kontoinnehavaren och slutkunden. Båda uppsättningarna baseras på de uppgifter som tillhandahålls av kontoinnehavaren och slutkunden. Vi samlar inte in några andra uppgifter än de frivilliga uppgifter som slutanvändaren eller kontoinnehavaren lämnar. 

Kontoinnehavaren kan skapa textfält för att samla in olika uppgifter vid bokningen, men kunden är fullt medveten om vilka uppgifter som samlas in eftersom slutanvändaren skriver in uppgifterna i fälten. Slutanvändaren eller kontoinnehavaren kan när som helst begära att uppgifterna raderas genom att skicka ett e-postmeddelande till data@bookafy.com. 

För vilka ändamål använder appen uppgifterna?

Appens data används endast för den transaktion som slutkunden har anmält sig till. Om du använder en tredjepartsapp för att logga in med SSO, som Facebook eller Google, använder vi endast den anslutningen för kontouppkoppling. Vi använder inte data från kontot, t.ex. kontakter, händelser och e-postmeddelanden, och vi publicerar inte på dina vägnar och deltar inte i någon aktivitet på ditt konto. Den används endast för inloggning. 

Vilka rättigheter har användaren när det gäller radering av uppgifter och hur kan användaren begära att uppgifterna raderas? 

Vi använder de uppgifter som samlas in från kontoinnehavaren (vår kund) för att ge kontoinnehavaren en bättre upplevelse. Detta inkluderar alla platser som AO har fastnat på, besökt många gånger, har frågor om eller har en bugg. Vi använder dessa uppgifter för att kommunicera med våra kunder (kontoinnehavare) vid rätt tidpunkt och med rätt budskap. 

För slutanvändaren, vår kunds kund, använder vi dessa uppgifter endast för att genomföra transaktionen (bokningen) med kontoinnehavaren. Vi marknadsför inte dessa kunder och använder inte deras uppgifter på något annat sätt. Deras uppgifter säljs eller lånas inte, utan stannar i vårt system. 

Både AO:s och slutkundens uppgifter kan raderas när som helst. AO kan skicka ett e-postmeddelande till data@bookafy.com och begära att deras konto och uppgifter tas bort. Slutkunden kan begära att AO tar bort sina uppgifter. 


Är delade användarkonton förbjudna för anställda? Hur är det med kunder?

Anställda har egna dedikerade konton. Kunderna har också sina egna dedikerade konton, med tillgång till sina data.

Kräver ditt lösenord konstruktion flera styrka krav, dvs starka lösenord och använder en slumpmässig sekvens av alfa, numeriska och specialtecken?

Vi kräver minst 6 tecken i lösenord på den grundläggande lösenordshanteringsnivån. OWASP och NIST SP 800-63-3 lösenordsprincipalternativ kan vara tillgängliga under det kommande året.

Skyddas nätverksgränsen med en brandvägg med ingående och utgående filtrering?

Ja. Alla brandväggar och belastningsutjämningsanläggningar tillhandahålls av Azure och Amazon AWS.

Är offentliga servrar i en väldefinierad De-Militarized Zone (DMZ)?

Ja, detta är ett arv från Azures standardinfrastrukturzonering och Bookafy har regionala servrar spridda över hela världen. 

Används intern nätverkssegmentering för att ytterligare isolera känsliga produktionsresurser, till exempel PCI-data?

PCI-data lagras inte eftersom det bara är inramat av Bookafy från tredjepartsleverantörer som Stripe och Authorize.net. Bookafy samlar inte in eller lagrar uppgifter. 

Implementeras och övervakas nätverket intrångsidentifiering eller förebyggande?

Ett brett spektrum av övervakningsverktyg, kompletterade med meddelanden och aviseringar från Azure, förblir ständigt på. Detta inkluderar intrångsidentifiering och e-postbekräftelser av nätverksåtkomst.

Är alla stationära datorer skyddade med hjälp av regelbundet uppdaterade virus, mask, spionprogram och skadlig kod programvara?

Ja.

Skyddas servrar med hjälp av branschhärdningsmetoder? Dokumenteras metoderna?

Säkerhetstjänster anlitas regelbundet för att genomföra säkerhetsrevisioner av systemen. 

Finns det aktiv leverantörskorrigeringshantering för alla operativsystem, nätverksenheter och program?

Ja. Detta tillhandahålls automatiskt av Azure via deras tjänst.

Registreras och bevaras alla produktionssystemfel och säkerhetshändelser?

Loggar bevaras i minst 1 månad, med vissa återstående upp till 6 månader, beroende på allvarlighetsgrad och åtgärd som krävs.

Granskas säkerhetshändelser och loggdata regelbundet?

Ja. Loggar granskas dagligen, veckovis och månadsvis – beroende på vilken typ av logghändelser.

Finns det ett dokumenterat integritetsprogram med skyddsåtgärder för att säkerställa skydd av konfidentiell information från klienten?

Ja.

Finns det en process på plats för att meddela kunder om något sekretessbrott inträffar?

Ja.

Lagrar, bearbetar och överför du (dvs. ”hanterar”) personligt identifierbar information (PII)?

Ja.

I vilket land eller länder lagras PII?

De flesta av våra PII-data lagras i USA. Vi kan dock lagra kontodata för våra företagskunder i ett specifikt regionalt centrum. Exempel. Australiska organisationen kan välja att få sina data lagrade på vår Canberra Azure-plats. Eller så kan europeiska länder lagra i ett europeiskt datacenter. 

Skyddas systemloggar från förändring och förstörelse?

Detta tillhandahålls av Azure och säkerhetskopieras på Dropbox Cloud Storage.

Skyddas gräns- och VLAN-ingångsställen av intrångsskydd och detektionsanordningar som ger varningar när de attackeras?

Ja. Dessa tjänster ingår i vår Azure-brandvägg som skyddar mot intrång och skickar automatiska varningar till vårt utvecklingsteam. 

Är loggar och händelser korrelerade med ett verktyg som ger varningar om en pågående attack?

Ja, vår säkerhetstjänst omfattar loggning och varningar om attacker i realtid. 

Hur separeras data från andra klienter i lösningen, inklusive nätverk, front-end, backend-lagring och säkerhetskopior?

Varje klientkonto är logiskt separerat från andra klienter, med hjälp av en obligatorisk beständig klientidentifierare på alla databasposter.

Dessutom kräver all programkod den här klientidentifieraren för alla åtgärder – både läs och skriv. Ett automatiserat testsystem finns också för att skydda kodändringar från regressioner och eventuell korsläggande av datakontaminering.

Klientidentifieraren är ”hårdlänkad” till varje användarkonto och tillämpas logiskt genom fasta ”VAR”-satser på databasfrågor och motsvarande mått för filåtkomst. En plattformsanvändare kan inte ändra eller på annat sätt ta bort länken till sin session eller sitt konto från den här klientidentifieraren. Det finns således ingen logisk möjlighet för en användare att ha inloggningsbehörighet under en annan klientidentifierare. Även om de försökte komma åt sidor med hjälp av en annan klients ID avvisade systemet begäran på grund av att användarkontot inte är registrerat på det begärda klient-ID:t.

Har du en incidentplan?

Ja, ett ”levande dokument” upprätthålls som beskriver katastrof- och incidentinsatser

checklistor, kontaktuppgifter och viktiga systemmöjligheter för att förstå och reagera på incidenter.

Vilken nivå av nätverksskydd genomförs?

Vi använder Azures Web Application gateway (lastbalansering) och Next Generation Firewall för att skydda vårt nätverk av virtuella maskiner som körs på Azure Cloud. 

Tillhandahåller plattformen rapporter för prestandamätningar (Quality of Service) (resursutnyttjande, dataflöde, tillgänglighet etc)?

Sådana mått ges inte till kunder, bortsett från tillgänglighet och svarstider enligt vår statussida på status.pingdom.com

Testas katastrofåterställningsprogrammet minst årligen?

Ja, återhämtningskontroller och utförs och testas årligen.

Vad är målet för återhämtningstiden (RTO) och Recovery Point-målet (RPO) i systemet?

RTO är 4 timmar, med RPO är 1 timme.

Tillhandahåller du säkerhetskopierings- och återställningsplaner för enskilda klienter?

Alla aspekter är flera klient, så säkerhetskopior tas över hela klientbasen. Fullständiga säkerhetskopieringar av filer körs var 24:e timme och drar nytta av Azure-databaspunkt i tidssäkerhetskopiering ar var femte minut. Säkerhetskopior lagras på Dropbox Cloud och på redundanta virtuella Azure-maskiner. 

Vilken är den maximala tiden som säkerhetskopior behålls?

Säkerhetskopiering av databaspunkt i tid behålls i 30 dagar, med allmänna säkerhetskopieringar av filer i minst 90 dagar.

Vad är den förväntade handläggningstiden för en dataåterställning?

Alla klientåterställningar i alla scenarier som inte är katastrofer måste begäras och schemaläggas hos oss. Leveranstiden är mellan 1 och 2 arbetsdagar. 

Kan ett enda entitetskonto återställas utan att hela plattformen påverkas?

Om återställning av en viss post eller artefakt krävs av en klient, kan detta utföras online via en per begäran basis och är avgiftsbelagd arbete. Det finns ingen inverkan på plattformen eller klientkontot.

Är hög tillgänglighet tillhandahålls – i. E. där en serverinstans blir otillgänglig blir en annan tillgänglig?

Flera serverinstanser körs på alla systemnivåer via Azures virtuella dator, med web application gateway hantering belastningsutjämning. Fel på en serverinstans i datacentret hanteras av Azure WAG, med probleminstansen återvunnen och/eller borttagen och ersätts med en ny instans.

Lagras data och är tillgängliga på en annan plats (datacenter) för att uppfylla haveriberedskapskraven?

Ja. Alla data replikeras till ett andra datacenter som skiljer sig åt efter geografisk plats samt att säkerhetskopiera data lagras på Dropbox Cloud Storage. .

Är redundansprocessen en aktiv/aktiv, automatiserad övergång?

Fel på en serverinstans i det primära datacentret hanteras av Azure WAG-belastningsutjämnare, med återställningen och/eller ersätts med en ny instans.

I händelse av att hela datacentret skulle ha ett kritiskt fel, sedan övergången till det sekundära centret är en manuell process, eftersom vi måste utföra en fullständig bedömning av problemet först för att säkerställa att det inte finns några enkla lösningar för att hålla den befintliga primära centrum närvaro tillgänglig. Om det fastställs att en flytt till sekundärcentret krävs, initieras övergången manuellt för att uppfylla målåterställningsmålen.