Utilisez Bookafy avec confiance et rejoignez plus de 15 000 entreprises qui font confiance à Bookafy à travers le monde.
Lorsqu’il est connecté à une application de 3ème partie (icloud, google cal, outlook, échange) Bookafy importe uniquement la ligne d’objet du calendrier, la date, l’heure et la durée afin de bloquer le temps dans Bookafy pour empêcher les réservations doubles. Nous n’importons, ne stockons ni ne conservons d’informations personnelles ou identifiables.
Bookafy n’a pas accès à des informations dans votre calendrier connecté ou compte e-mail, y compris les contacts, adresse e-mail ou e-mails. Les adresses e-mail peuvent être utilisées pour authentifier la propriété du compte au sein de Bookafy, mais nous ne recueillons aucune information relative à vos données personnelles.
Toutes les intégrations du 3ème parti se font par l’authentification du Serment. Cela permet à Bookafy de se connecter avec les fournisseurs de tiers sans voir, collecter ou stocker vos noms d’utilisateur ou mots de passe. Bookafy est connecté via un code d’authentification qui est fourni lorsque vous vous connectez via Serment.
Azure
Bookafy est hébergé sur Azure. Vous pouvez en savoir plus sur les dispositions de sécurité complètes d’Azure et d’AWS sur leur site.
Bookafy tire parti de toutes les fonctionnalités intégrées de sécurité, de confidentialité et de redondance de la plate-forme. Azure surveille continuellement ses centres de données pour les risques et fait l’objet d’évaluations afin d’assurer le respect des normes de l’industrie. Les opérations de datacente d’Azure ont été accréditées sous les limites de l’ISO 27001, soC 1 et SOC 2/SSAE 16/ISAE 3402 (précédemment SAS 70 Type II), PCI Niveau 1, FISMA Moderate et Sarbanes-Oxley (SOX).
Aws
Bookafy utilise AWS CDN pour les images. Bookafy tire parti de toutes les fonctionnalités intégrées de sécurité, de confidentialité et de redondance de la plate-forme. AWS surveille continuellement ses centres de données pour les risques et fait l’objet d’évaluations afin d’assurer le respect des normes de l’industrie. Les opérations de centre de données d’AW ont été accréditées sous : ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402 (précédemment SAS 70 Type II), PCI Niveau 1, FISMA Moderate et Sarbanes-Oxley (SOX).
Sauvegardes
Bookafy revient quotidiennement sur tous les serveurs redondants sur deux zones géographiques distinctes. De plus, des sauvegardes de code et de données sont hébergées sur Dropbox Cloud Storage.
cryptage
Les données qui passent par Bookafy sont cryptées, tant en transit qu’au repos. Toutes les connexions du navigateur à la plate-forme Bookafy sont cryptées en transit à l’aide de TLS SHA-256 avec RSA Encryption. Bookafy a besoin de HTTPS pour tous les services.
Pour les données sensibles où les valeurs d’origine ne sont pas nécessaires, telles que nos propres mots de passe, nous hachons les données à l’aide de l’algorithme BCrypt. Lorsque les valeurs d’origine sont nécessaires, telles que les détails d’authentification pour accéder aux calendriers, les valeurs sont cryptées à l’aide de l’algorithme AES-256-GCM à l’aide d’un sel unique généré au hasard pour chaque ensemble de données sensibles.
Transfert sécurisé vers les serveurs
Bookafy a utilisé un service de sécurité des données pour authentifier les transferts de données entre notre équipe de développement et les machines virtuelles. Toutes les données sont cryptées et sécurisées.
Partage de données et accès à des tiers
Bookafy ne vend pas de données clients à qui que ce soit. Nous ne partageons pas de données à des fins de marketing transmanche. Bookafy n’accorde pas l’accès à un fournisseur de 3ème partie à moins que par le biais de la connexion de compte par l’authentification de serment ou la clé API. Les deux peuvent être déconnectés à tout moment de l’intérieur de Bookafy ou de l’intérieur de la demande de la 3ème partie. Dans le cas contraire, il n’y a pas de tiers qui reçoivent des données, des données vendues ou qui ont des données partagées pour quelque raison que ce soit.
Antécédents
Tous les employés de Bookafy passent par une vérification approfondie des antécédents avant l’embauche.
formation
Bien que nous conservions une quantité minimale de données clients et que nous limitions l’accès interne sur une base de besoin de savoir, tous les employés sont formés à la sécurité et au traitement des données afin de s’assurer qu’ils respectent notre engagement strict envers la confidentialité et la sécurité de vos données.
confidentialité
Tous les employés ont signé une entente de non-divulgation et une entente de confidentialité avant d’embaucher.
Accès aux données
Seuls les employés autorisés ont accès à notre infrastructure de production et à l’utilisation de gestionnaires de mots de passe pour s’assurer que des mots de passe forts et une autorisation à deux facteurs lorsqu’ils sont disponibles sont obligatoires dans l’ensemble de l’entreprise.
Catastrophe
Nous avons mis en place des plans de continuité des activités et de récupération des catastrophes qui reproduisent notre base de données et soutiennent les données sur plusieurs serveurs cloud dans différentes zones géographiques et centres de données afin d’assurer une grande disponibilité en cas de catastrophe.
sérieux
Bookafy a une histoire de disponibilité de 99,3%
Nouvelles fonctionnalités
Bookafy développe de nouvelles fonctionnalités dans les sprints de 3 semaines. Nos déploiements commencent sur un serveur de développement, puis la mise en scène, puis en direct. Le déploiement du serveur en direct a lieu le dimanche matin PST.
QA et tests
Bookafy effectue des tests automatisés ainsi que des tests manuels avant chaque déploiement.
Dev et Staging Server QA
Avant la sortie de Bookafy sur les serveurs en direct, le code est déployé sur les serveurs de mise en scène et de développement pendant le processus QA. Une fois les tests terminés, le code est ajouté à un référentiel pour le déploiement du serveur en direct sur la chronologie du cycle de sprint.
Surveillance en direct
Une fois que le code est publié sur notre serveur de production, notre équipe QA effectue des tests automatisés, test manuel et utilise des logiciels externes pour surveiller nos services. Le logiciel externe fonctionne 24h/24 et 7j/7 avec des alertes qui sont automatiquement envoyées à notre équipe de développement avec tous les problèmes. Ces alertes sont surveillées 24h/24 et 7j/7 et sont envoyées par SMS et par courriel à notre équipe.
Pare-feu
Bookafy est hébergé sur les serveurs Azure et utilise Azures Next Generation Firewall Service, qui se trouve derrière le service Azures Web Application Gateway. Ce service comprend une protection contre des choses, telles que les injections SQL ou les demandes DE HTTP mal formées.
Logiciels malveillants et prévention des virus
Tous nos employés travaillent à partir de machines appartenant à l’entreprise qui sont en cours d’exécution anti-malware et logiciel de protection contre les virus. Notre serveur de bureau est protégé par un pare-feu pour la protection de pénétration externe.
Numérisation
Notre serveur interne, nos machines d’employés et notre hébergement de données exécutent en permanence un logiciel de numérisation de vulnérabilité.
Protection des titres de compétences de connexion
Pour nos applications externes qui fonctionnent avec Bookafy, Bookafy ne stocke pas/collecte de mots de passe. Toute l’authentification Bookafy utilise une connexion Garantie Serment pour accorder l’accès à Bookafy avec un jeton sécurisé utilisé pour le compte de chaque utilisateur. Les exemples incluent : Zoom, Stripe, Authorize.net, Calendrier Google, Échange, Office365, Outlook.com, Icloud, mailchimp et plus encore. Tous les 3ème partie
Déconnexion
Lorsqu’un compte est annulé ou déclassé gratuitement, toutes les connexions Oath sont automatiquement déconnectées de Bookafy à vos applications tierces.
Accès API
Tous les accès aux données via Bookafy sont explicitement approuvés par le biais d’un mécanisme d’autorisation OAuth qui accorde l’accès aux jetons qui peuvent être révoqués à tout moment.
PIBR
Nous avons intégré les normes GDPR dans les pratiques de données pour nous assurer que tous nos clients sont pris en charge et conformes au GDPR. En savoir plus sur
Bookafy GDPR
.
FAQ sur la sécurité
Des atteintes à la sécurité ou des incidents importants se sont-ils produits au cours des cinq dernières années?
non.
Sont privilégiés et l’accès aux comptes génériques étroitement contrôlés et examinés sur une base périodique, au moins
Annuellement?
ouais.
Quelles sont les données collectées sur l’utilisateur ?
Le logiciel recueille des données sur le titulaire du compte et le client final. Les deux ensembles de données sont basés sur les données fournies par le propriétaire du compte et le client final. Nous ne collectons aucune donnée autre que celles fournies volontairement par l’utilisateur final ou le propriétaire du compte.
Le propriétaire du compte peut créer des champs de texte pour collecter différents points de données lors de la réservation, mais le client est pleinement conscient des données collectées puisque c’est l’utilisateur final qui saisit les données dans les champs. L’utilisateur final ou le propriétaire du compte peut demander la suppression des données à tout moment en envoyant un courriel à data@bookafy.com.
À quelles fins l’application utilise-t-elle les données ?
Les données de l’application ne sont utilisées que pour la transaction à laquelle le client final s’est inscrit. Si vous utilisez une application tierce pour vous connecter avec SSO, comme Facebook ou Google, nous n’utilisons cette connexion que pour l’accès au compte. Nous n’utilisons pas les données du compte telles que les contacts, les événements, les messages électroniques et nous ne postons pas en votre nom ni ne participons à aucune activité au sein de votre compte. Il n’est utilisé que pour la connexion.
Quels sont les droits des utilisateurs en matière de suppression des données et comment l’utilisateur peut-il demander la suppression de ses données ?
Nous utilisons les données collectées auprès du titulaire du compte (notre client) pour lui offrir une meilleure expérience. Il s’agit de tous les endroits où l’AO a été bloqué, qu’il a visités plusieurs fois, sur lesquels il pourrait avoir des questions ou un problème. Nous utilisons ces données pour communiquer avec nos clients (titulaires de comptes) au bon moment et avec le bon message.
Pour l’utilisateur final, le client de notre client… nous n’utilisons ces données que dans le cadre de la transaction (réservation) avec le propriétaire du compte. Nous ne faisons pas de marketing auprès de ces clients et n’utilisons pas leurs données d’une autre manière. Leurs données ne sont ni vendues ni empruntées… elles restent dans notre système.
Dans le cas de l’AO et du client final, leurs données peuvent être supprimées à tout moment. L’AO peut envoyer un courriel à data@bookafy.com et demander la suppression de son compte et de ses données. Le client final peut demander à l’AO de supprimer ses données.
Les comptes d’utilisateurs partagés sont-ils interdits pour les employés ? Qu’en est-il des clients?
Les employés ont leurs propres comptes dédiés. Les clients ont également leurs propres comptes dédiés, avec un accès à leurs données seulement.
Votre construction de mot de passe nécessite-t-elle plusieurs exigences de résistance, c’est-à-dire des mots de passe forts et utilise-t-elle une séquence aléatoire de caractères alpha, numériques et spéciaux ?
Nous avons besoin d’un minimum de 6 caractères dans les mots de passe au niveau de gestion de mot de passe de base. Les options de stratégie de mot de passe OWASP et NIST SP 800-63-3 pourraient être disponibles au cours de l’année à venir.
La limite du réseau est-elle protégée par un pare-feu avec un filtrage d’entrée et d’évacuation ?
ouais. Tous les pare-feu et les installations d’équilibrage des charges sont fournis par Azure et Amazon AWS.
Les serveurs publics font-ils face à des serveurs dans une zone démilitarisée (DMZ) bien définie ?
Oui, ceci est hérité du zonage de l’infrastructure par défaut d’Azure et Bookafy a des serveurs régionaux répartis dans le monde entier.
La segmentation interne des réseaux est-elle utilisée pour isoler davantage les ressources de production sensibles telles que les données PCI ?
Les données PCI ne sont pas stockées car elles ne sont encadrées que par Bookafy auprès de fournisseurs de tiers tels que Stripe et Authorize.net. Bookafy ne collecte pas de données et ne les stocke pas.
La détection ou la prévention des intrusions réseau est-elle mise en œuvre et surveillée?
Un large éventail d’outils de surveillance, complétés par des notifications et des alertes fournies par Azure, restent constamment allumés. Cela comprend la détection des intrusions et les confirmations par e-mail de l’accès au réseau.
Tous les ordinateurs de bureau sont-ils protégés à l’aide de logiciels de virus, de vers, de logiciels espions et de codes malveillants régulièrement mis à jour ?
ouais.
Les serveurs sont-ils protégés en utilisant les pratiques de durcissement de l’industrie? Les pratiques sont-elles documentées?
Les services de sécurité sont régulièrement sollicités pour effectuer des audits de sécurité des systèmes.
Existe-t-il une gestion active des correctifs fournisseurs pour tous les systèmes d’exploitation, les périphériques réseau et les applications?
ouais. Ceci est fourni par Azure automatiquement via leur service.
Toutes les erreurs du système de production et les événements de sécurité sont-ils enregistrés et préservés ?
Les grumes sont conservées pour un minimum d’un mois, certains restant jusqu’à 6 mois, selon la gravité et l’action requises.
Les événements de sécurité et les données de journal sont-ils régulièrement examinés?
ouais. Les journaux sont examinés quotidiennement, hebdomadaires et mensuels- selon la nature des événements du journal.
Existe-t-il un programme de protection de la vie privée documenté avec des mesures de protection pour assurer la protection des renseignements confidentiels des clients?
ouais.
Existe-t-il un processus d’avis des clients en cas de violation de la vie privée?
ouais.
Stockez-vous, traitez-vous, transmettez-vous (c.-à-d. « poignée ») Informations personnally idenfiables (IIP)?
ouais.
Dans quel pays ou pays l’IPI est-il stocké?
La plupart de nos données PII sont stockées aux États-Unis. Cependant, nous sommes en mesure de stocker des données de compte pour nos clients d’entreprise dans un centre régional spécifique. Exemple. L’organisation australienne pourrait choisir de faire stocker ses données dans notre emplacement Canberra Azure. Les pays européens peuvent également stocker leurs données dans un centre de données européen.
Les journaux système sont-ils protégés contre les altérations et les destructions?
Ceci est fourni par Azure et sauvegardé sur Dropbox Cloud Storage.
Les points d’entrée des limites et du VLAN sont-ils protégés par des dispositifs de protection et de détection d’intrusion qui fournissent des alertes lorsqu’ils sont attaqués ?
ouais. Ces services sont inclus dans notre pare-feu Azure qui protège contre les intrusions et envoie des alertes automatiques à notre équipe de développement.
Les journaux et les événements sont-ils corrélés avec un outil qui avertit une attaque en cours ?
Oui, notre service de sécurité comprend l’enregistrement et l’alerte des attaques en temps réel.
Comment les données sont-elles séparées des autres clients au sein de la solution, y compris le réseautage, les extrémités avant, le stockage back-end et les sauvegardes ?
Chaque compte client est logiquement séparé des autres clients, grâce à l’utilisation d’un identifiant de locataire persistant requis sur tous les dossiers de base de données.
En outre, tout le code d’application nécessite cet identifiant locataire pour toutes les opérations – à la fois lire et écrire. Un régime automatisé d’essai est également en place pour protéger les modifications apportées au code contre les régressions et la contamination possible des données inter-locataires.
L’identifiant locataire est « difficilement lié » à chaque compte utilisateur et logiquement appliqué par des clauses fixes « WHERE » sur les requêtes de base de données et des mesures équivalentes pour l’accès aux fichiers. Un utilisateur de plate-forme n’est pas en mesure de modifier ou de déconnecter ou autrement de déconnecter sa session ou son compte à partir de cet identifiant locataire. Il n’y a donc aucune possibilité logique qu’un utilisateur ait une autorisation de connexion en vertu d’un identifiant de locataire différent. Même s’ils essayaient d’accéder aux pages à l’aide d’une pièce d’identité différente du locataire, le système rejetterait la demande en raison du non-enregistrement du compte utilisateur à l’ID du locataire demandé.
Avez-vous un plan d’intervention en cas d’incident?
Oui, un « document vivant » est maintenu qui décrit la réponse aux catastrophes et aux incidents
listes de vérification, coordonnées et installations clés du système pour comprendre et répondre aux incidents.
Quel niveau de protection du réseau est mis en œuvre ?
Nous utilisons Azures Web Application gateway (load balancer) et Next Generation Firewall pour protéger notre réseau de machines virtuelles fonctionnant sur Azure Cloud.
La plate-forme fournit-elle des rapports pour les mesures de performance de la qualité du service (QOS) (utilisation des ressources, débit, disponibilité, etc.)?
Ces mesures ne sont pas fournies aux clients, mis à part les délais de disponibilité et de réponse selon notre page d’état sur status.pingdom.com
Le programme de rétablissement en cas de catastrophe est-il testé au moins chaque année?
Oui, les contrôles de récupération et effectué et testé chaque année.
Qu’est-ce que l’objectif de temps de récupération (RTO) et l’objectif de point de récupération (RPO) du système?
Le RTO est de 4 heures, avec RPO étant 1 heure.
Fournissez-vous des plans de sauvegarde et de restauration pour les clients individuels?
Tous les aspects sont multi-locataires, de sorte que les sauvegardes sont prises à travers toute la base de clients. Les sauvegardes complètes des fichiers sont exécutées toutes les 24 heures et bénéficient du point de base de données Azure dans les sauvegardes de temps prises toutes les 5 minutes. Les sauvegardes sont stockées sur Dropbox Cloud ainsi que sur des machines virtuelles Azure redondantes.
Quelle est la durée maximale pendant laquelle les sauvegardes sont conservées ?
Les sauvegardes point-dans-temps de base de données sont conservées pendant 30 jours, avec des sauvegardes de fichiers générales pendant 90 jours minimum.
Quel est le délai d’exécution prévu pour une restauration de données?
Tout client restaurateur dans tout scénario non-catastrophe doit être demandé et planifié avec nous. Le délai d’exécution est de 1 à 2 jours ouvrables.
Un compte d’entité unique peut-il être restauré sans avoir d’impact sur l’ensemble de la plate-forme ?
Si la restauration d’un enregistrement ou d’un artefact spécifique est exigée par un client, celle-ci peut être effectuée en ligne par demande et est un travail facturable. Il n’y a pas d’impact sur la plate-forme ou le compte client.
Est haute disponibilité fournie – i. E. lorsqu’une instance de serveur devient indisponible une autre devient-elle disponible ?
Plusieurs instances de serveur fonctionnent à tous les niveaux du système à travers la machine virtuelle d’Azure, avec l’équilibrage de charge de charge de charge de manipulation de la passerelle d’application Web. L’échec d’une instance de serveur au sein du centre de données est géré par Azure WAG, avec l’instance de problème recyclée et /ou supprimée et remplacée par une nouvelle instance.
Les données sont-elles stockées et disponibles dans un autre endroit (centre de données) pour répondre aux besoins de récupération en cas de catastrophe?
Oui. Toutes les données sont reproduites à un deuxième centre de données qui diffère selon l’emplacement géographique ainsi que d’avoir des données de sauvegarde stockées sur Dropbox Cloud Storage. .
Le processus d’échec est-il un processus de transition automatisé actif/actif?
L’échec d’une instance de serveur au sein du centre de données primaire est géré par les équilibristes de charge Azure WAG, avec l’instance de problème recycler et/ou supprimer et remplacer par une nouvelle instance.
Dans le cas où l’ensemble du centre de données devait avoir une défaillance critique, puis le passage au centre secondaire est un processus manuel, car nous devons effectuer une évaluation complète de la question d’abord pour s’assurer qu’il n’y a pas de solution de contournement simple pour garder le centre primaire existant présence disponible. S’il est déterminé qu’un déménagement vers le centre secondaire est nécessaire, alors le passage sera entrepris manuellement pour atteindre les objectifs de récupération cible.
