Bezpieczeństwo
Bezpieczeństwo
Zbudowaliśmy EasyAnnounce tak, aby było bezpieczne, korzystając z najnowszych praktyk i technologii.
Angielska wersja tej strony jest wersją nadrzędną naszych praktyk bezpieczeństwa. Wszystkie wersje tłumaczone mają wyłącznie charakter informacyjny.
Wprowadzenie
Informacje na tej stronie opisują nasze podejście do bezpieczeństwa i pokazują, że traktujemy je poważnie.
Oczekiwania
Staramy się spełniać oczekiwania dotyczące wymagań bezpieczeństwa. Jeśli jednak potrzebujesz więcej, skontaktuj się z nami, aby omówić możliwe terminy lub zmiany.
Odpowiedzialne ujawnianie podatności
Zachęcamy specjalistów do zgłaszania podatności platformy i doceniamy takie zgłoszenia, jednak nie prowadzimy programu bug bounty. Będziemy dążyć do rozwiązania wykrytych problemów, a jeśli zostaną opublikowane, przyznamy Ci uznanie.
Wszystkie żądania między Twoją przeglądarką lub aplikacją, naszą stroną internetową, bramą API, serwerami roboczymi oraz zaufanymi dostawcami zewnętrznymi są szyfrowane w tranzycie przez HTTPS z użyciem silnych szyfrów (AES-256) i podpisów certyfikatów (RSA lub ECDSA) z SHA-256 lub silniejszym. Obsługujemy wyłącznie połączenia TLS1.2+.
Nasze prywatne CDN-y i bazy danych są szyfrowane w tranzycie i w spoczynku, a także zgodne z SOC2 Type 2 i HIPAA. Nie przechowujemy żadnych nazw ani danych Twoich klientów, które są częścią takich żądań komunikatów, poza cyklem życia danego komunikatu lub wyszukiwania wymowy nazwiska.
Baza danych, której używamy dla naszej aplikacji webowej, wykorzystuje Row Level Security (RLS), aby wspierać wymagania Enterprise dotyczące separacji danych. Identyfikatory organizacji są zawsze najpierw haszowane przed użyciem poza tą bazą danych (np. do egzekwowania limitów i zarządzania bramą API).
Nasze usługi frontendowe i backendowe są chronione przez dedykowane Web Application Firewalle, z udostępnionym wyłącznie niezbędnym dostępem oraz regułami ograniczającymi zakłócenia powodowane przez boty i ataki DDoS
Do przetwarzania płatności i zarządzania subskrypcjami używamy Stripe. Nie przechowujemy ani nie przetwarzamy żadnych danych kart płatniczych. Jesteśmy sprzedawcą w kategorii PCI DSS SAQ A.
Aby spełnić nasze oczekiwane obowiązki sprzedawcy PCI-DSS (SAQ-A), przeprowadzamy kwartalne skanowanie naszej strony frontendowej. Staramy się rozwiązywać wszelkie wykryte problemy w ciągu 48 godzin.
Regularnie sprawdzamy i wdrażamy krytyczne aktualizacje oprogramowania dla naszych serwerów API backendu i strony internetowej; mniej krytyczne poprawki są wdrażane wraz ze standardowymi aktualizacjami rozwojowymi i wydajnościowymi.
Monitorujemy CVE wpływające na kod naszego oprogramowania na platformie API i w frontendzie oraz staramy się wdrażać krytyczne poprawki (CVE >9.0) w ciągu 48 godzin od uzyskania informacji o nich.
Wszystkie nasze systemy administracyjne wymagają MFA oraz unikalnego konta dla każdego członka zespołu, aby uzyskać dostęp.
Wybraliśmy naszych dostawców zewnętrznych na podstawie lokalizacji i zgodności. Nasi dostawcy (baza danych, centra danych oraz dostawcy generowania syntezy mowy) są zgodni z SOC 2 Type 2, RODO i HIPAA.
Nasze bazy danych są obecnie zlokalizowane w Kanadzie i UE, aby wspierać wymagania RODO, które możesz mieć. Nasi dostawcy infrastruktury serwerowej i serwerów WWW są wymienieni i aktywni w EU-US Data Privacy Framework.
Jesteśmy nowym startupem i mamy nadzieję, że widać, iż budujemy naszą usługę tak solidną i bezpieczną, jak to możliwe. Dzięki temu możemy łatwo skalować rozwiązanie i powinniśmy być w stanie spełniać oczekiwania klientów oraz wymagania zgodności. Wkrótce planujemy audyt SOC2 Type 1 — chętnie odpowiemy też na kwestionariusze bezpieczeństwa, aby udzielić bardziej szczegółowych odpowiedzi. Skontaktuj się z nami przez stronę kontaktową.
Informacje kontaktowe
Aby uzyskać więcej informacji lub złożyć wniosek dotyczący zgodności, skontaktuj się z nami przez stronę kontaktową.