Seguridad
Seguridad
Hemos diseñado EasyAnnounce para que sea seguro, utilizando las prácticas y la tecnología más recientes.
La versión en inglés de esta página es la versión definitiva de nuestras prácticas de seguridad. Cualquier versión traducida se proporciona solo con fines informativos.
Introducción
Las declaraciones de esta página describen nuestra postura de seguridad y buscan mostrar que nos tomamos la seguridad en serio.
Expectativas
Nuestro objetivo es cumplir sus expectativas en materia de seguridad. Si necesita requisitos más exigentes, póngase en contacto con nosotros para hablar de posibles plazos o cambios.
Divulgación responsable de vulnerabilidades
Agradecemos que profesionales nos informen de cualquier vulnerabilidad de la plataforma, aunque no tenemos en marcha un programa de recompensas por errores. Intentaremos resolver los problemas detectados y, si se publican, le daremos crédito.
Todas las solicitudes entre su navegador o aplicación web, nuestro sitio web, nuestra pasarela API, los servidores de trabajo y proveedores externos de confianza se cifran en tránsito mediante HTTPS con cifrados robustos (AES-256) y firmas de certificado (RSA o ECDSA) con SHA-256 o superior. Solo admitimos conexiones TLS1.2+.
Nuestras CDN privadas y nuestras bases de datos están cifradas en tránsito y en reposo, y cumplen con SOC2 Type 2 y HIPAA. No almacenamos ningún nombre ni dato de sus clientes que formen parte de esas solicitudes de avisos más allá del ciclo de vida de ese aviso o de esa consulta de nombre.
La base de datos que usamos para nuestra aplicación web utiliza seguridad a nivel de fila (RLS) para ayudar a cumplir cualquier requisito empresarial que pueda tener en materia de separación de datos. Los ID de organización siempre se hashean primero antes de cualquier uso fuera de esta base de datos (por ejemplo, para la aplicación de cuotas y la gestión de la pasarela API).
Tanto nuestros servicios de frontend como de backend están protegidos por firewalls de aplicaciones web dedicados, con solo el acceso esencial habilitado y reglas para limitar las interrupciones causadas por bots y ataques DDoS.
Usamos Stripe para procesar sus pagos y gestionar sus suscripciones. No almacenamos ni procesamos ningún dato de su tarjeta de pago. Somos un comerciante de la categoría PCI DSS SAQ A.
Para cumplir nuestras obligaciones previstas como comerciante PCI-DSS (SAQ-A), realizamos análisis trimestrales de nuestro sitio web de frontend. Nuestro objetivo es resolver cualquier problema detectado en un plazo de 48 horas.
Comprobamos y aplicamos con regularidad las actualizaciones críticas de software en nuestros servidores backend de API y en el sitio web; los parches no críticos se incorporan junto con las actualizaciones habituales de desarrollo y rendimiento.
Supervisamos cualquier CVE que afecte al código de nuestro software en nuestra plataforma API y en el frontend, y nuestro objetivo es aplicar las correcciones críticas (CVE >9.0) en un plazo de 48 horas desde que tengamos conocimiento de ellas.
Todos nuestros sistemas de control requieren MFA y una cuenta única por miembro del equipo para acceder.
Hemos seleccionado a nuestros proveedores externos en función de su ubicación y cumplimiento. Nuestros proveedores (base de datos, centros de datos y proveedores de generación de texto a voz) cumplen con SOC 2 Type 2, RGPD y HIPAA.
Actualmente, nuestras bases de datos están ubicadas en Canadá y la UE para ayudar a cumplir los requisitos del RGPD que pueda tener. Nuestros servidores de infraestructura y proveedores de servidores web figuran y están activos en el Marco de Privacidad de Datos UE-EE. UU.
Somos una startup nueva y esperamos que vea que estamos construyendo nuestro servicio para que sea lo más sólido y seguro posible. Así podremos escalar con facilidad y deberíamos poder cumplir las expectativas de clientes y de cumplimiento. Nuestro objetivo es contar pronto con una auditoría SOC2 Type 1; agradecemos los cuestionarios de seguridad para poder responder a sus preguntas con más detalle. Póngase en contacto a través de la página de contacto.
Información de contacto
Para más información o solicitudes de cumplimiento, póngase en contacto con nosotros a través de nuestra página de contacto.