Bookafy Güvenlik ve Gizlilik

Bookafy’yi güvenle kullanın ve dünya çapında Bookafy’ye güvenen 15.000’den fazla işletmeye katılın.

Gizlilik ve güvenlik | bookafy
Gizlilik ve güvenlik | bookafy

Bağlantılı Takvimler

Üçüncü taraf bir uygulamaya (icloud, google cal, outlook, exchange) bağlandığında Bookafy, çifte rezervasyonları önlemek için Bookafy’deki zamanı engellemek amacıyla yalnızca takvim konu satırını, tarihi, saati ve süreyi içe aktarır. Herhangi bir kişisel veya tanımlanabilir bilgiyi içe aktarmıyor, saklamıyor veya tutmuyoruz.

E-posta ve Kişiler

Bookafy, kişiler, e-posta adresi veya e-postalar dahil olmak üzere bağlı takviminizdeki veya e-posta hesabınızdaki hiçbir bilgiye erişmez. E-posta adresleri Bookafy’de hesap sahipliğini doğrulamak için kullanılabilir, ancak kişisel verilerinizle ilgili herhangi bir bilgi toplamıyoruz.

Entegrasyonlar

Tüm 3. taraf entegrasyonları Oath kimlik doğrulaması ile yapılır. Bu, Bookafy’nin kullanıcı adlarınızı veya şifrelerinizi görmeden, toplamadan veya saklamadan 3. taraf sağlayıcılarla bağlantı kurmasını sağlar. Bookafy, Oath üzerinden bağlanırken sağlanan bir kimlik doğrulama kodu ile bağlanır.

Veri Barındırma

Azure

Bookafy Azure üzerinde barındırılmaktadır. Azure ve AWS’nin kapsamlı güvenlik hükümlerini kendi sitelerinde okuyabilirsiniz.

Bookafy, platformun tüm yerleşik güvenlik, gizlilik ve yedeklilik özelliklerinden yararlanır. Azure, veri merkezlerini risk açısından sürekli olarak izler ve sektör standartlarıyla uyumluluğu sağlamak için değerlendirmelerden geçer. Azure’un veri merkezi operasyonları akredite edilmiştir: ISO 27001, SOC 1 ve SOC 2/SSAE 16/ISAE 3402 (Önceden SAS 70 Tip II), PCI Seviye 1, FISMA Moderate ve Sarbanes-Oxley (SOX).

AWS

Bookafy görüntüler için AWS CDN kullanır. Bookafy, platformun tüm yerleşik güvenlik, gizlilik ve yedeklilik özelliklerinden yararlanır. AWS, veri merkezlerini risk açısından sürekli olarak izler ve endüstri standartlarına uygunluğu sağlamak için değerlendirmelerden geçer. AW’nin veri merkezi operasyonları akredite edilmiştir: ISO 27001, SOC 1 ve SOC 2/SSAE 16/ISAE 3402 (Önceden SAS 70 Tip II), PCI Seviye 1, FISMA Moderate ve Sarbanes-Oxley (SOX).

Yedeklemeler

Bookafy, tüm verileri ve kod tabanını günlük olarak 2 ayrı coğrafyadaki yedek sunucularda yedekler. Ayrıca, kod ve veri yedekleri Dropbox Cloud Storage üzerinde barındırılmaktadır.

Şifreleme

Bookafy’den geçen veriler hem aktarım sırasında hem de beklemede şifrelenir. Tarayıcıdan Bookafy platformuna yapılan tüm bağlantılar, RSA Şifrelemeli TLS SHA-256 kullanılarak aktarım sırasında şifrelenir. Bookafy tüm hizmetler için HTTPS gerektirir.

Kendi parolalarımız gibi orijinal değerlere ihtiyaç duyulmayan hassas veriler için, BCrypt algoritmasını kullanarak verileri hash ediyoruz. Takvimlere erişim için kimlik doğrulama ayrıntıları gibi orijinal değerlerin gerekli olduğu durumlarda, değerler her hassas veri kümesi için benzersiz, rastgele oluşturulmuş bir tuz kullanılarak AES-256-GCM algoritması kullanılarak şifrelenir.

Sunuculara güvenli aktarım

Bookafy, geliştirme ekibimiz ve sanal makineler arasındaki veri aktarımlarını doğrulamak için bir veri güvenliği hizmeti kullanmıştır. Tüm veriler şifrelenir ve güvence altına alınır.

Veri Paylaşımı ve Üçüncü Taraf Erişimi

Bookafy müşteri verilerini kimseye satmaz. Kanallar arası pazarlama amacıyla veri paylaşmıyoruz. Bookafy, Oath kimlik doğrulaması veya API anahtarı aracılığıyla hesap bağlantısı olmadığı sürece herhangi bir 3. taraf sağlayıcıya erişim izni vermez. Her ikisinin de bağlantısı istenildiği zaman Bookafy içinden veya 3. parti uygulama içinden kesilebilir. Bunun dışında veri verilen, veri satılan veya herhangi bir nedenle veri paylaşılan 3. taraflar bulunmamaktadır.

Personel

Geçmiş Kontrolleri

Tüm Bookafy çalışanları işe alınmadan önce kapsamlı bir geçmiş kontrolünden geçer.

Eğitim

Minimum miktarda müşteri verisi tutuyor ve şirket içi erişimi bilmesi gerekenler temelinde sınırlandırıyor olsak da, tüm çalışanlar verilerinizin gizliliği ve güvenliğine olan sıkı bağlılığımızı sürdürmelerini sağlamak için güvenlik ve veri işleme konusunda eğitilmektedir.

Gizlilik

Tüm çalışanlar işe alınmadan önce bir gizlilik anlaşması ve gizlilik sözleşmesi imzalamıştır.

Veri Erişimi

Üretim altyapımıza yalnızca yetkili çalışanların erişimine izin verilir ve güçlü parolalar ve mevcut olduğunda iki faktörlü yetkilendirme sağlamak için parola yöneticilerinin kullanılması şirket genelinde zorunludur.

Güvenilirlik

Felaket

Bir felaket durumunda yüksek kullanılabilirlik sağlamak için veri tabanımızı çoğaltan ve verileri farklı coğrafyalardaki ve veri merkezlerindeki birden fazla bulut sunucusuna yedekleyen iş sürekliliği ve felaket kurtarma planlarımız var.

Güvenilirlik

Bookafy’nin çalışma süresi geçmişi %99,3’tür

Gelişim Döngüleri

Yeni Özellikler

Bookafy yeni özellikleri 3 haftalık sprintler halinde geliştirir. Dağıtımlarımız bir geliştirme sunucusunda başlıyor, sonra hazırlanıyor, sonra da canlıya geçiyor. Canlı sunucu dağıtımı PST Pazar sabahı gerçekleşir.

QA ve Test

Bookafy, her dağıtımdan önce manuel testlerin yanı sıra otomatik testler de gerçekleştirir.

Dev ve Staging Server QA

Bookafy canlı sunucularda yayınlanmadan önce, QA süreci sırasında kod hazırlama ve geliştirme sunucularına dağıtılır. Test tamamlandıktan sonra kod, sprint döngüsü zaman çizelgesinde canlı sunucu dağıtımı için bir depoya eklenir.

Canlı İzleme

Kod üretim sunucumuzda yayınlandıktan sonra, QA ekibimiz otomatik testler, manuel testler yürütür ve hizmetlerimizi izlemek için harici yazılımlar kullanır. Harici yazılım, herhangi bir sorunla ilgili olarak geliştirme ekibimize otomatik olarak gönderilen uyarılarla 7/24 çalışıyor. Bu uyarılar 7/24 izlenir ve ekibimize kısa mesaj ve e-posta yoluyla gönderilir.

Güvenlik Açığı

Güvenlik Duvarı

Bookafy, Azure sunucularında barındırılıyor ve Azures Web Application Gateway hizmetinin arkasında yer alan Azures Yeni Nesil Güvenlik Duvarı Hizmetini kullanıyor. Bu hizmet, SQL Enjeksiyonları veya hatalı biçimlendirilmiş HTTP istekleri gibi şeylere karşı koruma içerir.

Kötü Amaçlı Yazılım ve Virüs Önleme

Tüm çalışanlarımız, anti-malware ve virüs koruma yazılımı çalıştıran şirkete ait makinelerden çalışmaktadır. Ofis sunucumuz harici sızma koruması için bir güvenlik duvarı ile korunmaktadır.

Tarama

Dahili sunucumuz, çalışan makinelerimiz ve veri barındırma sistemimiz sürekli olarak güvenlik açığı tarama yazılımı çalıştırmaktadır.

Uygulama Güvenliği

Oturum açma kimlik bilgisi koruması

Bookafy ile çalışan harici uygulamalarımız için Bookafy şifreleri saklamaz/ toplamaz. Tüm Bookafy kimlik doğrulaması, her bir kullanıcının hesabı için kullanılan güvenli bir belirteç ile Bookafy’ye erişim sağlamak için güvenli bir Oath bağlantısı kullanır. Örnekler şunları içerir: Zoom, Stripe, Authorize.net, Google takvim, Exchange, Office365, Outlook.com, Icloud, mailchimp ve daha fazlası. Tüm 3. bölüm

Bağlantının Kesilmesi

Bir hesap iptal edildiğinde veya ücretsiz seviyeye düşürüldüğünde, Bookafy’den üçüncü taraf uygulamalarınıza olan tüm Oath bağlantıları otomatik olarak kesilir.

API Erişimi

Bookafy aracılığıyla verilere yapılan tüm erişimler, herhangi bir zamanda iptal edilebilen erişim belirteçleri veren bir OAuth yetkilendirme mekanizması aracılığıyla açıkça onaylanır.

Sertifikalar

GDPR

Tüm müşterilerimizin desteklendiğinden ve GDPR ile uyumlu olduğundan emin olmak için GDPR standartlarını veri uygulamalarına dahil ettik. Hakkında daha fazla bilgi edinin
Bookafy GDPR
.

Güvenlik SSS 

Son 5 yıl içinde herhangi bir önemli güvenlik ihlali veya olayı meydana geldi mi?

Hayır.

Ayrıcalıklı ve genel hesap erişimi sıkı bir şekilde kontrol ediliyor ve en azından periyodik olarak gözden geçiriliyor mu?

Yıllık mı?

Evet.

Kullanıcı hakkında hangi veriler toplanıyor? 

Yazılım, hesap sahibi ve son müşteri hakkında veri toplar. Her iki veri seti de hesap sahibi ve son müşteri tarafından sağlanan verilere dayanmaktadır. Son kullanıcı veya hesap sahibi tarafından verilen gönüllü veriler dışında herhangi bir veri toplamıyoruz. 

Hesap sahibi rezervasyon sırasında farklı veri noktalarını toplamak için metin alanları oluşturabilir, ancak son kullanıcı verileri alanlara yazacağı için müşteri toplanan verilerin tamamen farkındadır. Son kullanıcı veya hesap sahibi istediği zaman data@bookafy.com adresine e-posta göndererek verilerin silinmesini talep edebilir. 

Uygulama verileri hangi amaçlarla kullanıyor?

Uygulama verileri yalnızca son müşterinin kaydolduğu işlem için kullanılır. SSO ile oturum açmak için Facebook veya Google gibi bir üçüncü taraf uygulaması kullanıyorsanız, bu bağlantıyı yalnızca hesap erişimi için kullanırız. Hesabınızdaki kişiler, etkinlikler, e-posta mesajları gibi verileri kullanmayız ve sizin adınıza gönderi paylaşmayız veya hesabınızdaki herhangi bir etkinliğe katılmayız. Yalnızca oturum açmak için kullanılır. 

Kullanıcıların veri silme hakları nelerdir ve kullanıcı verilerin silinmesini nasıl talep edebilir? 

Hesap sahibinden (müşterimizden) toplanan verileri, hesap sahibine daha iyi bir deneyim sunmak için kullanırız. Bu, AO’nun takıldığı, birçok kez ziyaret ettiği, soru sorabileceği veya bir hata bulabileceği herhangi bir yeri içerir. Bu verileri, müşterilerimizle (Hesap sahibi) doğru zamanda doğru mesajla iletişim kurmak için kullanırız. 

Son kullanıcı için, müşterimizin müşterisi… bu verileri yalnızca hesap sahibiyle yapılan işlem (rezervasyon) için kullanırız. Bu müşterilere pazarlama yapmıyor veya verilerini başka herhangi bir şekilde kullanmıyoruz. Verileri satılmaz veya ödünç alınmaz… sistemimizde kalır. 

Hem AO hem de son müşteri durumunda, verileri herhangi bir zamanda silinebilir. AO, data@bookafy.com adresine e-posta göndererek hesabının ve verilerinin kaldırılmasını talep edebilir. Son müşteri, verilerinin AO tarafından kaldırılmasını talep edebilir. 


Çalışanlar için paylaşılan kullanıcı hesapları yasak mı? Peki ya Müşteriler?

Çalışanların kendilerine ait özel hesapları vardır. Müşterilerin ayrıca yalnızca kendi verilerine erişim sağlayan kendi özel hesapları vardır.

Parola yapınız birden fazla güç gereksinimi gerektiriyor mu, yani güçlü parolalar ve alfa, sayısal ve özel karakterlerden oluşan rastgele bir dizi kullanıyor mu?

Temel parola yönetimi düzeyinde parolalarda en az 6 karakter olmasını şart koşuyoruz. OWASP ve NIST SP 800-63-3 parola politikası seçenekleri önümüzdeki yıl kullanıma sunulabilir.

Ağ sınırı, giriş ve çıkış filtrelemeli bir güvenlik duvarı ile korunuyor mu?

Evet. Tüm güvenlik duvarları ve yük dengeleme olanakları Azure ve Amazon AWS tarafından sağlanmaktadır.

Herkese açık sunucular iyi tanımlanmış bir Askerden Arındırılmış Bölge (DMZ) içinde mi?

Evet, bu Azure’un varsayılan altyapı bölgelendirmesinden miras alınmıştır ve Bookafy’nin tüm dünyaya yayılmış bölgesel sunucuları vardır. 

PCI verileri gibi hassas üretim kaynaklarını daha fazla izole etmek için dahili ağ segmentasyonu kullanılıyor mu?

PCI verileri Bookafy tarafından yalnızca Stripe ve Authorize.net gibi 3. taraf sağlayıcılardan çerçevelendiği için saklanmaz. Bookafy veri toplamaz veya veri depolamaz. 

Ağ İzinsiz Giriş Tespiti veya Önleme uygulanıyor ve izleniyor mu?

Azure tarafından sağlanan bildirimler ve uyarılarla desteklenen geniş bir izleme araçları yelpazesi sürekli açık kalır. Buna izinsiz giriş tespiti ve ağ erişimine ilişkin e-posta onayları da dahildir.

Tüm masaüstü bilgisayarlar düzenli olarak güncellenen virüs, solucan, casus yazılım ve kötü amaçlı kod yazılımları kullanılarak korunuyor mu?

Evet.

Sunucular endüstri güçlendirme uygulamaları kullanılarak korunuyor mu? Uygulamalar belgelenmiş mi?

Sistem güvenliği denetimleri sağlamak için düzenli olarak güvenlik hizmetlerinden yararlanılmaktadır. 

Tüm işletim sistemleri, ağ cihazları ve uygulamalar için aktif satıcı yama yönetimi var mı?

Evet. Bu, Azure tarafından kendi hizmetleri aracılığıyla otomatik olarak sağlanır.

Tüm üretim sistemi hataları ve güvenlik olayları kaydediliyor ve korunuyor mu?

Günlükler, önem derecesine ve gerekli eyleme bağlı olarak bazıları 6 aya kadar kalmak üzere en az 1 ay süreyle saklanır.

Güvenlik olayları ve günlük verileri düzenli olarak gözden geçiriliyor mu?

Evet. Günlükler, günlük olaylarının niteliğine bağlı olarak günlük, haftalık ve aylık olarak gözden geçirilir.

Müşterinin gizli bilgilerinin korunmasını sağlamak için önlemler içeren belgelenmiş bir gizlilik programı var mı?

Evet.

Herhangi bir gizlilik ihlali meydana geldiğinde müşterileri bilgilendirmek için bir süreç var mı?

Evet.

Kişisel Olarak Tanımlanabilir Bilgileri (PII) saklıyor, işliyor, iletiyor (yani “işliyor”) musunuz?

Evet.

PII hangi ülke veya ülkelerde saklanıyor?

PII verilerimizin çoğu ABD’de saklanmaktadır. Ancak, kurumsal müşterilerimiz için hesap verilerini belirli bir bölgesel merkezde saklayabiliyoruz. Örnek. Avustralyalı kuruluşlar verilerinin Canberra Azure konumumuzda depolanmasını tercih edebilir. Ya da Avrupa ülkeleri Avrupa veri merkezinde depolayabilir. 

Sistem günlükleri değiştirilmeye ve yok edilmeye karşı korunuyor mu?

Bu, Azure tarafından sağlanır ve Dropbox Cloud Storage’da yedeklenir.

Sınır ve VLAN giriş noktaları, saldırı altındayken uyarı veren izinsiz giriş koruma ve tespit cihazları tarafından korunuyor mu?

Evet. Bu hizmetler, izinsiz girişlere karşı koruma sağlayan ve geliştirme ekibimize otomatik uyarılar gönderen Azure güvenlik duvarımıza dahildir. 

Günlükler ve olaylar, devam etmekte olan bir saldırıya ilişkin uyarılar sağlayan bir araçla ilişkilendiriliyor mu?

Evet, güvenlik hizmetimiz saldırıların gerçek zamanlı olarak kaydedilmesini ve uyarılarını içerir. 

Veriler, ağ, ön uçlar, arka uç depolama ve yedeklemeler dahil olmak üzere çözüm içindeki diğer istemcilerden nasıl ayrılıyor?

Her müşteri hesabı, tüm veritabanı kayıtlarında gerekli bir kalıcı kiracı tanımlayıcısı kullanılarak diğer müşterilerden mantıksal olarak ayrılır.

Ayrıca tüm uygulama kodları, hem okuma hem de yazma işlemleri için bu kiracı tanımlayıcısını gerektirir. Kod değişikliklerini regresyonlardan ve olası kiracılar arası veri kirliliğinden korumak için otomatik bir test rejimi de uygulanmaktadır.

Kiracı tanımlayıcısı her kullanıcı hesabına “sıkı sıkıya bağlıdır” ve veritabanı sorgularında sabit “WHERE” cümleleri ve dosya erişimi için eşdeğer önlemler aracılığıyla mantıksal olarak uygulanır. Bir platform kullanıcısı, oturumunu veya hesabını bu kiracı tanımlayıcısından değiştiremez veya başka bir şekilde bağlantısını kaldıramaz. Dolayısıyla, bir kullanıcının farklı bir kiracı tanımlayıcısı altında oturum açma yetkisine sahip olmasının mantıksal bir olasılığı yoktur. Farklı bir kiracı kimliği kullanarak sayfalara erişmeye çalışsalar bile, kullanıcı hesabı istenen kiracı kimliğine kayıtlı olmadığı için sistem isteği reddediyordu.

Bir Olay Müdahale Planınız var mı?

Evet, afet ve olay müdahalesini özetleyen bir “yaşayan belge” tutulmaktadır

Olayları anlamak ve müdahale etmek için kontrol listeleri, iletişim bilgileri ve temel sistem olanakları.

Hangi düzeyde ağ koruması uygulanıyor?

Azure Cloud üzerinde çalışan sanal makinelerden oluşan ağımızı korumak için Azures Web Application gateway (yük dengeleyici) ve Next Generation Firewall kullanıyoruz. 

Platform, Hizmet Kalitesi (QOS) performans ölçümleri (kaynak kullanımı, verim, kullanılabilirlik vb.) için raporlar sağlıyor mu?

Bu tür ölçümler, status.pingdom.com adresindeki durum sayfamıza göre kullanılabilirlik ve yanıt süreleri dışında müşterilere sağlanmamaktadır.

Felaket kurtarma programı en az yılda bir kez test ediliyor mu?

Evet, kurtarma kontrolleri yapılır ve yıllık olarak test edilir.

Sistemin Kurtarma Süresi Hedefi (RTO) ve Kurtarma Noktası Hedefi (RPO) nedir?

RTO 4 saat, RPO ise 1 saattir.

Bireysel müşteriler için yedekleme ve geri yükleme planları sağlıyor musunuz?

Tüm unsurlar çok kiracılıdır, bu nedenle yedeklemeler tüm müşteri tabanında alınır. Tam dosya yedeklemeleri her 24 saatte bir çalıştırılır ve her 5 dakikada bir alınan Azure veritabanı nokta zamanlı yedeklemelerinden faydalanır. Yedekler Dropbox Cloud’un yanı sıra yedekli Azure sanal makinelerinde saklanır. 

Yedeklerin saklanacağı maksimum süre nedir?

Veritabanı nokta-zaman yedekleri 30 gün, genel dosya yedekleri ise en az 90 gün süreyle saklanır.

Bir veri geri yüklemesi için beklenen geri dönüş süresi nedir?

Herhangi bir afet dışı senaryoda herhangi bir müşteri geri yüklemesi talep edilmeli ve bizimle planlanmalıdır. Geri dönüş süresi 1 ila 2 iş günü arasındadır. 

Tek bir tüzel kişi hesabı tüm platformu etkilemeden geri yüklenebilir mi?

Bir müşteri tarafından belirli bir kayıt veya eserin restorasyonu isteniyorsa, bu işlem talep başına çevrimiçi olarak gerçekleştirilebilir ve ücretli bir çalışmadır. Platform veya müşteri hesabı üzerinde herhangi bir etkisi yoktur.

Yüksek Kullanılabilirlik sağlanıyor mu – i. e. Bir sunucu örneği kullanılamaz hale geldiğinde diğeri kullanılabilir hale gelir mi?

Azure’un sanal makinesi aracılığıyla tüm sistem katmanlarında birden fazla sunucu örneği çalışıyor ve Web Application Gateway yük dengeleme işlemini gerçekleştiriyor. Veri merkezindeki bir sunucu örneğinin arızalanması Azure WAG tarafından ele alınır ve sorunlu örnek geri dönüştürülür ve/veya kaldırılır ve yeni bir örnekle değiştirilir.

Felaket kurtarma gereksinimlerini karşılamak için veriler başka bir yerde (veri merkezi) depolanıyor ve kullanılabilir durumda mı?

Evet. Tüm veriler, coğrafi konuma göre farklılık gösteren ikinci bir veri merkezine kopyalanır ve yedekleme verileri Dropbox Cloud Storage’da depolanır. .

Yük devretme süreci aktif/aktif, otomatik bir geçiş süreci mi?

Birincil veri merkezindeki bir sunucu örneğinin arızalanması Azure WAG yük dengeleyicileri tarafından ele alınır ve sorunlu örnek geri dönüştürülür ve/veya kaldırılır ve yeni bir örnekle değiştirilir.

Tüm veri merkezinde kritik bir arıza olması durumunda, mevcut birincil merkezin varlığını sürdürmek için basit geçici çözümler olmadığından emin olmak için önce sorunun tam bir değerlendirmesini yapmamız gerektiğinden, ikincil merkeze geçiş manuel bir süreçtir. İkincil merkeze taşınmanın gerekli olduğu tespit edilirse, hedef kurtarma hedeflerini karşılamak için geçiş manuel olarak başlatılacaktır.