Безопасность
Безопасность
Мы создали EasyAnnounce с учётом безопасности, используя современные практики и технологии.
Англоязычная версия этой страницы является основной версией наших практик безопасности. Любые переводы предоставляются только для ознакомления.
Введение
Заявления на этой странице описывают наш подход к безопасности и показывают, что мы относимся к ней серьёзно.
Ожидания
Мы стремимся соответствовать вашим ожиданиям по требованиям безопасности. Однако если у вас более высокие требования, свяжитесь с нами, чтобы обсудить возможные сроки или изменения.
Ответственное раскрытие уязвимостей
Мы приветствуем и ценим сообщения от специалистов о любых уязвимостях платформы, однако программы bug bounty у нас нет. Мы постараемся устранить найденные проблемы, а если они будут опубликованы, то укажем вас как автора.
Все запросы между вашим веб-браузером или приложением, нашим сайтом, API-шлюзом, сервером обработки задач и доверенными сторонними поставщиками шифруются при передаче по HTTPS с использованием стойких шифров (AES-256) и подписей сертификатов (RSA или ECDSA) с SHA-256 или выше. Мы поддерживаем только соединения TLS1.2+.
Наши частные CDN и базы данных шифруются при передаче и в состоянии покоя, они соответствуют SOC2 Type 2 и HIPAA. Мы не храним имена ваших клиентов или другие данные из этих запросов на объявления дольше, чем длится само объявление или поиск имени.
База данных, которую мы используем для нашего веб-приложения, применяет безопасность на уровне строк (RLS), чтобы помочь выполнить любые ваши корпоративные требования к разделению данных. Идентификаторы организаций всегда сначала хэшируются перед любым использованием вне этой базы данных (например, для контроля квот и управления API-шлюзом).
Наши фронтенд- и бэкенд-сервисы защищены выделенными межсетевыми экранами веб-приложений, при этом предоставляется только необходимый доступ, а правила ограничивают влияние ботов и DDoS-атак.
Мы используем Stripe для обработки платежей и управления подписками. Мы не храним и не обрабатываем данные ваших платёжных карт. Мы являемся продавцом категории PCI DSS SAQ A.
Чтобы выполнять наши ожидаемые обязательства продавца по PCI-DSS (SAQ-A), мы ежеквартально сканируем наш фронтенд-сайт. Мы стремимся устранять любые найденные проблемы в течение 48 часов.
Мы регулярно проверяем и устанавливаем критические обновления программного обеспечения для наших серверов API и сайта; некритичные исправления входят в обычные обновления разработки и производительности.
Мы отслеживаем любые CVE, затрагивающие код нашего ПО на API-платформе и во фронтенде, и стремимся устранять критические исправления (CVE >9.0) в течение 48 часов после того, как узнаем о них.
Все наши системы управления требуют MFA и отдельную учётную запись для каждого члена команды.
Мы выбрали сторонних поставщиков с учётом их местоположения и соответствия требованиям. Все наши поставщики (база данных, дата-центры и сервисы синтеза речи) соответствуют SOC 2 Type 2, GDPR и HIPAA.
Наши базы данных сейчас размещены в Канаде и ЕС, чтобы помочь выполнить ваши требования GDPR. Наши серверы инфраструктуры и провайдеры веб-серверов указаны и активны в рамках EU-US Data Privacy Framework.
Мы — новый стартап, и, надеемся, вы видите, что мы строим наш сервис максимально надёжным и безопасным. Так мы сможем легко масштабироваться и, вероятно, соответствовать ожиданиям клиентов и требованиям комплаенса. В ближайшее время мы планируем пройти аудит SOC2 Type 1 — мы приветствуем опросники по безопасности, чтобы ответить на ваши вопросы подробнее. Свяжитесь с нами через страницу контактов.
Контактная информация
Для получения дополнительной информации или по вопросам соответствия свяжитесь с нами через страницу контактов.