EasyAnnounce
Segurança

Segurança

Construímos a EasyAnnounce para ser segura, usando as práticas e a tecnologia mais recentes.

Introdução

As declarações nesta página descrevem a nossa postura de segurança e pretendem mostrar que levamos a segurança a sério.

Expectativas

Procuramos atender às suas expectativas em matéria de requisitos de segurança. No entanto, se tiver necessidades mais exigentes, entre em contacto para discutirmos possíveis prazos ou alterações.

Divulgação responsável de vulnerabilidades

Agradecemos que profissionais divulguem quaisquer vulnerabilidades da plataforma, mas não existe um programa de bug bounty em funcionamento. Procuraremos resolver os problemas encontrados e, se forem publicados, daremos crédito a si.

Todos os pedidos entre o seu navegador ou aplicação, o nosso website, o nosso gateway de API, os servidores de processamento e fornecedores terceiros de confiança são encriptados em trânsito via HTTPS, usando cifras fortes (AES-256) e assinaturas de certificados (RSA ou ECDSA) com SHA-256 ou superior. Suportamos apenas ligações TLS 1.2+.

As nossas CDNs privadas e as nossas bases de dados estão todas encriptadas em trânsito e em repouso, e cumprem SOC 2 Type 2 e HIPAA. Não armazenamos quaisquer nomes ou detalhes dos seus clientes que façam parte desses pedidos de aviso para além do ciclo de vida desse aviso ou da pesquisa de nome.

A base de dados que usamos para a nossa aplicação web utiliza Segurança em Nível de Linha (RLS) para ajudar a cumprir quaisquer requisitos Enterprise que possa ter em matéria de separação de dados. Os IDs das organizações são sempre primeiro hashados antes de qualquer utilização fora desta base de dados (por exemplo, para aplicação de quotas e gestão do gateway de API).

Os nossos serviços de frontend e backend estão ambos protegidos por Web Application Firewalls dedicados, com apenas o acesso essencial provisionado e regras para limitar perturbações causadas por bots e ataques DDoS

Usamos a Stripe para processar os seus pagamentos e gerir as suas subscrições. Não armazenamos nem processamos quaisquer dados do seu cartão de pagamento. Somos um comerciante na categoria PCI DSS SAQ A.

Para cumprir as nossas obrigações de comerciante PCI-DSS (SAQ-A) previstas, realizamos varrimentos trimestrais do nosso website de frontend. Procuramos resolver quaisquer problemas encontrados no prazo de 48 horas.

Verificamos regularmente e aplicamos atualizações críticas de software aos nossos servidores de API backend e ao website; as correções não críticas acontecem com as atualizações normais de desenvolvimento e desempenho.

Monitorizamos quaisquer CVEs que afetem o código do nosso software na nossa plataforma de API e no frontend, e procuramos aplicar correções críticas (CVE >9.0) no prazo de 48 horas após termos conhecimento.

Todos os nossos sistemas de controlo exigem MFA e uma conta única por membro da equipa para acesso.

Selecionámos os nossos fornecedores terceiros com base na localização e na conformidade. Os nossos fornecedores (base de dados, centros de dados e fornecedores de geração de texto para fala) cumprem todos SOC 2 Type 2, RGPD e HIPAA.

As nossas bases de dados estão atualmente localizadas no Canadá e na UE para ajudar a cumprir quaisquer requisitos de RGPD que possa ter. Os nossos servidores de infraestrutura e os fornecedores de servidores web estão ambos listados e ativos no EU-US Data Privacy Framework.

Somos uma startup recente e esperamos que veja que estamos a construir o nosso serviço para ser o mais robusto e seguro possível. Desta forma, podemos escalar facilmente e deveremos conseguir cumprir as expectativas dos clientes e de conformidade. Pretendemos ser auditados em breve para SOC 2 Type 1 — agradecemos questionários de segurança para podermos responder às suas perguntas com mais detalhe. Entre em contacto através da página de contacto.

Informações de contacto

Para mais informações ou pedidos de conformidade, contacte-nos através da nossa página de contacto.