Usa Bookafy in tutta sicurezza e unisciti a oltre 15.000 aziende che si fidano di Bookafy in tutto il mondo.
Quando connesso a un’applicazione di terze parti (icloud, google cal, outlook, exchange) Bookafy importa solo la riga dell’oggetto del calendario, la data, l’ora e la durata per bloccare l’ora in Bookafy per evitare prenotazioni doppie. Non importiamo, memorizziamo o conserviamo informazioni personali o identificabili.
Bookafy non accede ad alcuna informazione all’interno del calendario connesso o dell’account e-mail, inclusi i contatti, l’indirizzo e-mail o le e-mail. Gli indirizzi e-mail possono essere utilizzati per autenticare la proprietà dell’account all’interno di Bookafy, ma non raccogliamo alcuna informazione relativa ai tuoi dati personali.
Tutte le integrazioni di terze parti vengono eseguite tramite l’autenticazione Oath. Ciò consente a Bookafy di connettersi con provider di terze parti senza vedere, raccogliere o memorizzare i nomi utente o le password. Bookafy è collegato tramite un codice di autenticazione che viene fornito quando ci si connette tramite Oath.
Azure
Bookafy is hosted on Azure. Ulteriori informazioni sulle disposizioni complete di sicurezza di Azure e AWS sono presenti sul proprio sito.
Bookafy sfrutta tutte le funzionalità integrate della piattaforma in materia di sicurezza, privacy e ridondanza. Azure monitora continuamente i propri data center per i rischi e viene sottoposto a valutazioni per garantire la conformità agli standard del settore. Le operazioni del data center di Azure sono state accreditate in: ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402 (precedentemente SAS 70 Type II), PCI Level 1, FISMA Moderate e Sarbanes-Oxley (SOX).
Aws
Bookafy utilizza AWS CDN per le immagini. Bookafy sfrutta tutte le funzionalità integrate della piattaforma in materia di sicurezza, privacy e ridondanza. AWS monitora continuamente i propri data center per verificare i rischi e viene sottoposto a valutazioni per garantire la conformità agli standard del settore. Le operazioni del data center di AW sono state accreditate in: ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402 (precedentemente SAS 70 Type II), PCI Level 1, FISMA Moderate e Sarbanes-Oxley (SOX).
Backup
Bookafy esegue il backup di tutti i dati e il codice si basa quotidianamente su server ridondanti in 2 aree geografiche separate. Inoltre, i backup di codice e dati sono ospitati su Dropbox Cloud Storage.
Crittografia
I dati che passano attraverso Bookafy sono criptati, sia in transito che a riposo. Tutte le connessioni dal browser alla piattaforma Bookafy vengono crittografate in transito utilizzando TLS SHA-256 con crittografia RSA. Bookafy richiede HTTPS per tutti i servizi.
Per i dati sensibili in cui i valori originali non sono necessari, ad esempio le nostre password, si esegue l’hashing dei dati utilizzando l’algoritmo BCrypt. Quando sono necessari i valori originali, ad esempio i dettagli di autenticazione per l’accesso ai calendari, i valori vengono crittografati utilizzando l’algoritmo AES-256-GCM utilizzando un salt univoco generato casualmente per ogni set di dati sensibili.
Trasferimento sicuro ai server
Bookafy ha impiegato un servizio di sicurezza dei dati per autenticare i trasferimenti di dati tra il nostro team di sviluppo e le macchine virtuali. Tutti i dati sono criptati e protetti.
Condivisione dei dati e accesso di terze parti
Bookafy non vende i dati dei clienti a nessuno. Non condividiamo dati per scopi di marketing multicanale. Bookafy non concede l’accesso a alcun provider di terze parti a meno che tramite la connessione dell’account tramite l’autenticazione Oath o la chiave API. Entrambi possono essere disconnessi in qualsiasi momento dall’interno di Bookafy o dall’interno dell’applicazione di terze parti. In caso contrario, non ci sono terze parti che vengono dati, dati venduti o hanno dati condivisi per qualsiasi motivo.
Controlli dei precedenti
Tutti i dipendenti Bookafy passano attraverso un controllo approfondito dei precedenti prima del noleggio.
tirocinio
Pur conservando una quantità minima di dati dei clienti e limitando l’accesso interno in base alle necessità di sapere, tutti i dipendenti sono addestrati sulla sicurezza e la gestione dei dati per garantire che sostengano il nostro rigoroso impegno per la privacy e la sicurezza dei dati.
riservatezza
Tutti i dipendenti hanno firmato un accordo di non divulgazione e di riservatezza prima dell’assunzione.
Accesso ai dati
Solo ai dipendenti autorizzati viene concesso l’accesso alla nostra infrastruttura di produzione e l’uso di gestori di password per garantire password complesse e l’autorizzazione a due fattori quando disponibili è imposto in tutta l’azienda.
Disastro
Disponiamo di piani di continuità aziendale e di ripristino di emergenza che replicano il nostro database ed eseguono il backup dei dati in più server cloud in diverse aree geografiche e data center per garantire un’elevata disponibilità in caso di emergenza.
Affidabilità
Bookafy ha una storia di uptime del 99,3%
Nuove funzionalità
Bookafy sviluppa nuove funzionalità in 3 settimane sprint. Le distribuzioni iniziano in un server di sviluppo, quindi la gestione temporanea e quindi la gestione temporanea. La distribuzione del server live avviene il pst della domenica mattina.
QA e test
Bookafy esegue test automatizzati insieme a test manuali prima di ogni distribuzione.
QA del server Dev e Staging
Prima che Bookafy venga rilasciato sui server live, il codice viene distribuito nei server di gestione temporanea e sviluppo durante il processo di controllo di controllo e aggiornamento. Una volta completato il test, il codice viene aggiunto a un repository per la distribuzione del server live nella sequenza temporale del ciclo di sprint.
Monitoraggio in tempo reale
Una volta che il codice viene rilasciato al nostro server di produzione, il nostro team di controllo qualità esegue test automatizzati, test manuali e utilizza software esterno per monitorare i nostri servizi. Il software esterno è in esecuzione 24/7 con avvisi che vengono inviati automaticamente al nostro team di sviluppo con eventuali problemi. Questi avvisi vengono monitorati 24 ore su 24, 7 giorni su 7 e vengono inviati tramite SMS ed e-mail al nostro team.
Firewall
Bookafy è ospitato nei server di Azure e utilizza il servizio Firewall di nuova generazione di Azures, che si trova dietro il servizio Gateway applicazione Web di Azure.Bookafy is hosted on Azure servers and is using Azures Next Generation Firewall Service, which sits within Azures Web Application Gateway service. Questo servizio include la protezione da elementi quali iniezioni SQL o richieste HTTP in formato non corretto.
Prevenzione di malware e virus
Tutti i nostri dipendenti stanno lavorando da macchine di proprietà dell’azienda che eseguono software anti-malware e protezione da virus. Il nostro server di ufficio è protetto da un firewall per la protezione dalla penetrazione esterna.
Scansione
Il nostro server interno, le macchine dei dipendenti e l’hosting dei dati eseguono continuamente software di scansione delle vulnerabilità.
Protezione delle credenziali di accesso
Per le nostre applicazioni esterne che funzionano con Bookafy, Bookafy non memorizza/raccoglie le password. Tutta l’autenticazione Bookafy utilizza una connessione Oath sicura per concedere l’accesso a Bookafy con un token sicuro utilizzato per l’account di ogni singolo utente. Gli esempi includono: zoom, stripe, Authorize.net, calendario di Google, Exchange, Office365, Outlook.com, Icloud, mailchimp e altro ancora. Tutta la terza parte
Scollegare
Quando un account viene cancellato o declassato per liberare, tutte le connessioni Oath vengono automaticamente disconnesse da Bookafy alle applicazioni di terze parti.
Accesso API
Tutto l’accesso ai dati tramite Bookafy viene esplicitamente approvato tramite un meccanismo di autorizzazione OAuth che concede i token di accesso che possono essere revocati in qualsiasi momento.
GDPR
Abbiamo incorporato gli standard GDPR nelle pratiche sui dati per assicurarci che tutti i nostri clienti siano supportati e conformi al GDPR. Ulteriori informazioni su
Bookafy GDPR
.
FAQ sulla sicurezza
Si sono verificate violazioni della sicurezza o incidenti negli ultimi 5 anni?
No.
L’accesso agli account privilegiati e generici è strettamente controllato e rivisto su base periodica, almeno
Annualmente?
Sì.
Quali dati vengono raccolti sull’utente?
Il software raccoglie i dati relativi al proprietario del conto e al cliente finale. Entrambi i set di dati si basano sui dati forniti dal proprietario dell’account e dal cliente finale. Non raccogliamo alcun dato al di fuori di quelli forniti volontariamente dall’utente finale o dal proprietario dell’account.
Il proprietario dell’account può creare campi di testo per raccogliere diversi dati al momento della prenotazione, ma il cliente è pienamente consapevole dei dati raccolti, in quanto l’utente finale digita i dati nei campi. L’utente finale o il proprietario dell’account può richiedere la cancellazione dei dati in qualsiasi momento inviando un’e-mail a data@bookafy.com.
Per quali scopi l’app utilizza i dati?
I dati dell’app vengono utilizzati solo per la transazione che il cliente finale ha sottoscritto. Se si utilizza un’applicazione di terze parti per il login con SSO, come Facebook o Google, utilizziamo tale connessione solo per l’accesso all’account. Non utilizziamo i dati dell’account come contatti, eventi, messaggi e-mail e non pubblichiamo per conto dell’utente né partecipiamo ad alcuna attività all’interno del suo account. Viene utilizzato solo per il login.
Quali sono i diritti dell’utente per la cancellazione dei dati e come può richiedere la cancellazione dei dati?
Utilizziamo i dati raccolti dal titolare dell’account (il nostro cliente) per offrire un’esperienza migliore al titolare dell’account. Questo include qualsiasi luogo in cui l’AO è stato bloccato, che ha visitato molte volte, su cui potrebbe avere domande o un bug. Utilizziamo questi dati per comunicare con i nostri clienti (titolari di account) al momento giusto e con il messaggio giusto.
Per l’utente finale, il cliente del nostro cliente… utilizziamo questi dati solo ai fini della transazione (prenotazione) con il proprietario dell’account. Non commercializziamo questi clienti né utilizziamo i loro dati in alcun altro modo. I loro dati non vengono venduti o presi in prestito… rimangono nel nostro sistema.
Sia nel caso dell’AO che del cliente finale, i loro dati possono essere cancellati in qualsiasi momento. L’AO può inviare un’e-mail a data@bookafy.com e richiedere la rimozione del proprio account e dei propri dati. Il cliente finale può richiedere la rimozione dei propri dati da parte dell’AO.
Gli account utente condivisi sono proibiti per i dipendenti? E i clienti?
I dipendenti hanno i propri account dedicati. I clienti hanno anche i propri account dedicati, con accesso solo ai propri dati.
La costruzione della password richiede molteplici requisiti di forza, ovvero password complesse e utilizza una sequenza casuale di caratteri alfa, numerici e speciali?
Abbiamo bisogno di almeno 6 caratteri nelle password al livello di gestione delle password di base. Le opzioni dei criteri password OWASP e NIST SP 800-63-3 potrebbero essere disponibili nel prossimo anno.
Il limite di rete è protetto con un firewall con filtro in ingresso ed in uscita?
Sì. Tutti i firewall e le funzionalità di bilanciamento del carico sono forniti da Azure e Amazon AWS.
I server pubblici si trovano in una zona demilitarizzata ben definita?
Sì, questo è ereditato dalla suddivisione in zone dell’infrastruttura predefinita di Azure e Bookafy ha server regionali sparsi in tutto il mondo.
La segmentazione della rete interna viene utilizzata per isolare ulteriormente le risorse di produzione sensibili, ad esempio i dati PCI?
I dati PCI non vengono memorizzati in quanto sono incorniciati solo da Bookafy da fornitori di terze parti come Stripe e Authorize.net. Bookafy non raccoglie o memorizza dati.
Il rilevamento o la prevenzione delle intrusioni di rete è implementato e monitorato?
Un’ampia gamma di strumenti di monitoraggio, completati da notifiche e avvisi forniti da Azure, rimangono costantemente attivi. Ciò include il rilevamento delle intrusioni e le conferme e-mail di accesso alla rete.
Tutti i desktop sono protetti utilizzando software per virus, worm, spyware e codice dannoso regolarmente aggiornati?
Sì.
I server sono protetti utilizzando le procedure di protezione avanzata del settore? Le pratiche sono documentate?
I servizi di sicurezza vengono utilizzati regolarmente per fornire audit di sicurezza del sistema.
Esiste una gestione attiva delle patch dei fornitori per tutti i sistemi operativi, i dispositivi di rete e le applicazioni?
Sì. Viene fornito da Azure automaticamente tramite il servizio.
Tutti gli errori del sistema di produzione e gli eventi di sicurezza vengono registrati e conservati?
I registri vengono conservati per un minimo di 1 mese, con alcuni che rimangono fino a 6 mesi, a seconda della gravità e dell’azione richiesta.
Gli eventi di sicurezza e i dati del registro vengono regolarmente esaminati?
Sì. I registri vengono esaminati giornalmente, settimanalmente e mensilmente – a seconda della natura degli eventi di log.
Esiste un programma di privacy documentato con garanzie per garantire la protezione delle informazioni riservate dei clienti?
Sì.
C’è un processo in atto per informare i clienti se si verifica una violazione della privacy?
Sì.
Memorizzare, elaborare, trasmettere (cioè “gestire”) Personnally Informazioni Idenfiable Information (PII)?
Sì.
In quale paese o paese vengono archiviate le informazioni personali?
La maggior parte dei nostri dati PII è memorizzata negli Stati Uniti. Tuttavia, siamo in grado di memorizzare i dati dell’account per i nostri clienti aziendali in un centro regionale specifico. Esempio. L’organizzazione australiana potrebbe scegliere di archiviare i propri dati nella nostra posizione di Canberra Azure. Oppure i Paesi europei possono archiviare nei data center europei.
I registri di sistema sono protetti da alterazioni e distruzioni?
Questo viene fornito da Azure ed eseguito il backup su Dropbox Cloud Storage.
I punti di ingresso di confine e VLAN sono protetti da dispositivi di protezione e rilevamento delle intrusioni che forniscono avvisi in caso di attacco?
Sì. Questi servizi sono inclusi nel nostro firewall Azure che protegge dalle intrusioni e invia avvisi automatici al nostro team di sviluppo.
I log e gli eventi sono correlati a uno strumento che fornisce avvisi di un attacco in corso?
Sì, il nostro servizio di sicurezza include la registrazione e gli avvisi degli attacchi in tempo reale.
In che modo i dati vengono separati dagli altri client all’interno della soluzione, tra cui rete, front-end, archiviazione back-end e backup?
Ogni account client è logicamente separato dagli altri client, tramite l’uso di un identificatore tenant persistente richiesto in tutti i record del database.
Inoltre, tutto il codice dell’applicazione richiede questo identificatore tenant per tutte le operazioni, sia in lettura che in scrittura. È inoltre in atto un regime di test automatizzato per proteggere le modifiche al codice da regressioni e da possibili contaminazioni dei dati tra tenant.
L’identificatore del tenant è “hard linked” a ogni account utente e viene applicato logicamente tramite clausole “WHERE” fisse sulle query di database e misure equivalenti per l’accesso ai file. Un utente della piattaforma non è in grado di modificare o scollegare in altro modo la sessione o l’account da questo identificatore tenant. Pertanto non vi è alcuna possibilità logica che un utente disponga dell’autorizzazione di accesso con un identificatore tenant diverso. Anche se hanno tentato di accedere alle pagine utilizzando un ID di un tenant diverso, il sistema rifiuterebbe la richiesta perché l’account utente non è registrato nell’ID tenant richiesto.
Hai un piano di risposta agli incidenti?
Sì, viene mantenuto un “documento vivente” che delinea la risposta al disastro e agli incidenti
liste di controllo, i dettagli di contatto e le principali strutture di sistema per la comprensione e la risposta agli incidenti.
Quale livello di protezione della rete viene implementato?
Utilizziamo Azures Web Application gateway (load balancer) e Next Generation Firewall per proteggere la nostra rete di macchine virtuali in esecuzione su Azure Cloud.
La piattaforma fornisce report per le misurazioni delle prestazioni di qualità del servizio (QOS) (utilizzo delle risorse, velocità effettiva, disponibilità e così via)?
Tali metriche non vengono fornite ai clienti, a parte i tempi di disponibilità e risposta in base alla nostra pagina di stato su status.pingdom.com
Il programma di ripristino di emergenza è testato almeno annualmente?
Sì, i controlli di recupero ed eseguiti e testati annualmente.
Che cos’è l’obiettivo del tempo di ripristino (RTO) e l’obiettivo del punto di ripristino (RPO) del sistema?
L’RTO è di 4 ore, con RPO di 1 ora.
Vengono forniti piani di backup e ripristino per i singoli client?
Tutti gli aspetti sono multi-tenant, pertanto i backup vengono eseguiti in tutta la base di client. I backup completi dei file vengono eseguiti ogni 24 ore e traggono vantaggio dai backup tempornei dati di Azure eseguiti ogni 5 minuti. I backup sono archiviati su Dropbox Cloud e su macchine virtuali Azure ridondanti.
Qual è il tempo massimo di conservazione dei backup?
I backup temporizzati del database vengono conservati per 30 giorni, con backup di file generali per almeno 90 giorni.
Qual è il tempo di consegna previsto per un ripristino dei dati?
Qualsiasi ripristino client in qualsiasi scenario non di emergenza deve essere richiesto e pianificato con noi. I tempi di consegna sono compresi tra 1 e 2 giorni lavorativi.
È possibile ripristinare un singolo account di entità senza influire sull’intera piattaforma?
Se il ripristino di un record o di un elemento specifico è richiesto da un client, questo può essere eseguito online tramite una base per richiesta ed è un lavoro a pagamento. Non vi è alcun impatto sulla piattaforma o sull’account client.
È disponibilità elevata fornito – i. e. dove un’istanza del server diventa non disponibile, un’altra diventa disponibile?
Più istanze del server vengono eseguite a tutti i livelli di sistema tramite la macchina virtuale di Azure, con Web Application Gateway che gestisce il bilanciamento del carico. L’errore di un’istanza del server all’interno del data center viene gestito da Azure WAG, con l’istanza del problema riciclata e/o rimossa e sostituita con una nuova istanza.
I dati vengono archiviati e disponibili in un’altra posizione (data center) per soddisfare i requisiti di ripristino di emergenza?
Sì. Tutti i dati vengono replicati in un secondo data center che varia in base alla posizione geografica e alla presenza di dati di backup archiviati in Dropbox Cloud Storage. .
Il processo di failover è un processo di passaggio attivo/attivo e automatizzato?
L’errore di un’istanza del server all’interno del data center primario viene gestito dai servizi di bilanciamento del carico WAG di Azure, con il problema di riciclo dell’istanza e/o rimosso e sostituito con una nuova istanza.
Nel caso in cui l’intero data center dovesse avere un guasto critico, il passaggio al centro secondario è un processo manuale, in quanto è necessario eseguire prima una valutazione completa del problema per garantire che non vi siano soluzioni semplici per mantenere il centro primario esistente presenza disponibile. Se viene stabilito che è necessario uno spostamento al centro secondario, il passaggio verrà avviato manualmente per soddisfare gli obiettivi di ripristino di destinazione.
