Sicherheit
Sicherheit
Wir haben EasyAnnounce mit den neuesten Verfahren und Technologien sicher aufgebaut.
Die englische Version dieser Seite ist die verbindliche Fassung unserer Sicherheitspraktiken. Alle übersetzten Versionen dienen nur zu Informationszwecken.
Einleitung
Die Aussagen auf dieser Seite beschreiben unsere Sicherheitslage und sollen zeigen, dass wir Sicherheit ernst nehmen.
Erwartungen
Wir möchten Ihre Erwartungen an Sicherheitsanforderungen erfüllen. Wenn Sie jedoch höhere Anforderungen haben, sprechen Sie uns bitte an, um mögliche Zeitpläne oder Anpassungen zu besprechen.
Verantwortungsvolle Meldung von Schwachstellen
Wir begrüßen und schätzen es, wenn Fachleute Schwachstellen der Plattform melden. Ein Bug-Bounty-Programm läuft jedoch nicht. Wir bemühen uns, gefundene Probleme zu beheben, und wenn sie veröffentlicht werden, nennen wir Sie als Quelle.
Alle Anfragen zwischen Ihrem Webbrowser oder Ihrer Anwendung, unserer Website, unserem API-Gateway, den Worker-Servern und vertrauenswürdigen Drittanbietern werden während der Übertragung per HTTPS mit starken Verschlüsselungsverfahren (AES-256) und Zertifikatsignaturen (RSA oder ECDSA) mit SHA-256 oder stärker verschlüsselt. Wir unterstützen nur TLS-1.2+-Verbindungen.
Unsere privaten CDNs und unsere Datenbanken sind sowohl während der Übertragung als auch im Ruhezustand verschlüsselt und erfüllen SOC 2 Type 2 sowie HIPAA. Wir speichern keine Kundennamen oder -details aus diesen Durchsagenanfragen über die Laufzeit der jeweiligen Durchsage oder Namenssuche hinaus.
Die Datenbank, die wir für unsere Web-App verwenden, nutzt Row-Level-Security (RLS), um mögliche Anforderungen an die Trennung von Daten auf Enterprise-Ebene zu unterstützen. Organisations-IDs werden vor jeder Nutzung außerhalb dieser Datenbank immer zuerst gehasht, zum Beispiel für die Durchsetzung von Kontingenten und die Verwaltung des API-Gateways.
Sowohl unsere Frontend- als auch unsere Backend-Services sind durch dedizierte Web Application Firewalls geschützt. Es wird nur der notwendige Zugriff bereitgestellt, und Regeln begrenzen Störungen durch Bots und DDoS-Angriffe.
Wir nutzen Stripe, um Ihre Zahlungen zu verarbeiten und Ihre Abonnements zu verwalten. Wir speichern oder verarbeiten keine Daten Ihrer Zahlungskarten. Wir sind ein Händler in der PCI-DSS-SAQ-A-Kategorie.
Um unseren erwarteten PCI-DSS-(SAQ-A)-Pflichten als Händler nachzukommen, führen wir vierteljährliche Scans unserer Frontend-Website durch. Wir bemühen uns, gefundene Probleme innerhalb von 48 Stunden zu beheben.
Wir prüfen regelmäßig unsere Backend-API-Server und unsere Website auf kritische Software-Updates und spielen sie ein. Nicht kritische Patches erfolgen im Rahmen normaler Entwicklungs- und Performance-Updates.
Wir überwachen CVEs, die den Code unserer Software auf unserer API-Plattform und im Frontend betreffen, und bemühen uns, kritische Fehlerbehebungen (CVE >9.0) innerhalb von 48 Stunden nach Bekanntwerden umzusetzen.
Alle unsere Kontrollsysteme erfordern MFA und ein eigenes Konto pro Teammitglied für den Zugriff.
Wir haben unsere Drittanbieter nach Standort und Compliance ausgewählt. Unsere Anbieter (Datenbank-, Rechenzentrums- und Text-to-Speech-Provider) erfüllen alle SOC 2 Type 2 sowie GDPR und HIPAA.
Unsere Datenbanken befinden sich derzeit in Kanada und der EU, um mögliche DSGVO-Anforderungen zu unterstützen. Unsere Infrastrukturserver und Webserver-Anbieter sind beide im EU-US Data Privacy Framework gelistet und aktiv.
Wir sind ein junges Startup und hoffen, dass Sie sehen, dass wir unseren Service so robust und sicher wie möglich aufbauen. So können wir leicht skalieren und sollten die Erwartungen von Kunden und Compliance erfüllen können. Wir streben an, in Kürze ein SOC-2-Type-1-Audit zu durchlaufen. Sicherheitsfragebögen sind willkommen, damit wir Ihre Fragen ausführlicher beantworten können. Kontaktieren Sie uns über die Kontaktseite.
Kontaktinformationen
Für weitere Informationen oder Compliance-Anfragen kontaktieren Sie uns bitte über unsere Kontaktseite.