EasyAnnounce
Sicurezza

Sicurezza

Abbiamo progettato EasyAnnounce per essere sicuro, usando le pratiche e le tecnologie più recenti.

Introduzione

Le dichiarazioni in questa pagina descrivono il nostro approccio alla sicurezza e vogliono mostrare che prendiamo la sicurezza sul serio.

Aspettative

Puntiamo a soddisfare le vostre aspettative in materia di requisiti di sicurezza. Tuttavia, se avete esigenze maggiori, contattateci per discutere possibili tempistiche o modifiche.

Segnalazioni responsabili delle vulnerabilità

Accogliamo con favore e apprezziamo le segnalazioni di professionisti su eventuali vulnerabilità della piattaforma; tuttavia non è attivo alcun programma bug bounty. Puntiamo a risolvere i problemi individuati e, se pubblicati, vi daremo credito.

Tutte le richieste tra il vostro browser o applicazione, il nostro sito web, il nostro gateway API, i server worker e provider terzi fidati sono crittografate in transito tramite HTTPS, usando cifrari robusti (AES-256) e firme dei certificati (RSA o ECDSA) con SHA-256 o superiore. Supportiamo solo connessioni TLS1.2+.

Le nostre CDN private e i nostri database sono tutti crittografati in transito e a riposo, e sono conformi a SOC2 Type 2 e HIPAA. Non conserviamo alcun nome o dettaglio dei vostri clienti inclusi in tali richieste di annuncio oltre il ciclo di vita di quell'annuncio o della ricerca del nome.

Il database che utilizziamo per la nostra web app impiega il Row Level Security (RLS) per contribuire a soddisfare eventuali requisiti Enterprise che possiate avere in materia di separazione dei dati. Gli ID organizzazione vengono sempre sottoposti ad hashing prima di qualsiasi utilizzo al di fuori di questo database (ad es. per l'applicazione delle quote e la gestione del gateway API).

I nostri servizi frontend e backend sono entrambi protetti da Web Application Firewall dedicati, con accesso limitato solo a ciò che è essenziale e regole per ridurre le interruzioni causate da bot e attacchi DDoS

Utilizziamo Stripe per elaborare i vostri pagamenti e gestire gli abbonamenti. Non archiviamo né elaboriamo alcun dato della vostra carta di pagamento. Siamo un merchant nella categoria PCI DSS SAQ A.

Per soddisfare i nostri obblighi merchant previsti da PCI-DSS (SAQ-A), eseguiamo scansioni trimestrali del nostro sito web frontend. Puntiamo a risolvere eventuali problemi individuati entro 48 ore.

Controlliamo regolarmente la presenza di aggiornamenti software critici e li applichiamo ai nostri server API backend e al sito web; le patch non critiche vengono integrate con i normali aggiornamenti di sviluppo e prestazioni.

Monitoriamo eventuali CVE che interessano il codice del nostro software sulla piattaforma API e sul frontend, e puntiamo ad applicare le correzioni critiche (CVE >9.0) entro 48 ore da quando ne veniamo a conoscenza.

Tutti i nostri sistemi di controllo richiedono MFA e un account univoco per ciascun membro del team per l'accesso.

Abbiamo selezionato i nostri fornitori terzi in base alla località e alla conformità. I nostri provider (database, data center e provider di generazione text-to-speech) sono tutti conformi a SOC 2 Type 2, GDPR e HIPAA

I nostri database si trovano attualmente in Canada e nell'UE per contribuire a soddisfare eventuali requisiti GDPR che possiate avere. I server della nostra infrastruttura e i provider del server web sono entrambi elencati e attivi nel EU-US Data Privacy Framework.

Siamo una startup giovane e speriamo che possiate vedere che stiamo costruendo il nostro servizio nel modo più robusto e sicuro possibile. In questo modo possiamo scalare facilmente e dovremmo essere in grado di soddisfare le aspettative dei clienti e di conformità. Puntiamo a ottenere a breve una verifica SOC2 Type 1: accogliamo con favore i questionari di sicurezza, così possiamo rispondere alle vostre domande in modo più dettagliato. Contattateci tramite la pagina dei contatti.

Informazioni di contatto

Per maggiori informazioni o richieste di conformità, contattateci tramite la nostra pagina dei contatti.