안심하고 Bookafy를 사용하고 전 세계 Bookafy를 신뢰하는 15,000개 이상의 비즈니스에 합류하세요.
타사 애플리케이션(icloud, google cal, outlook, exchange)에 연결된 경우 Bookafy는 이중 예약을 방지하기 위해 Bookafy에서 시간을 차단하기 위해 캘린더 제목 줄, 날짜, 시간 및 기간만 가져옵니다. 우리는 개인 정보 또는 식별 가능한 정보를 가져오거나 저장하거나 보관하지 않습니다.
Bookafy는 연락처, 이메일 주소 또는 이메일을 포함하여 연결된 캘린더 또는 이메일 계정 내의 정보에 액세스하지 않습니다. 이메일 주소는 Bookafy 내에서 계정 소유권을 인증하는 데 사용할 수 있지만 귀하의 개인 데이터와 관련된 정보는 수집하지 않습니다.
모든 타사 통합은 Oath 인증을 통해 수행됩니다. 이를 통해 Bookafy는 사용자 이름이나 암호를 확인, 수집 또는 저장하지 않고 제3자 공급자와 연결할 수 있습니다. Bookafy는 Oath를 통해 연결할 때 제공되는 인증 코드를 통해 연결됩니다.
하늘빛
Bookafy는 Azure에서 호스팅됩니다. 해당 사이트에서 Azure 및 AWS의 철저한 보안 조항에 대해 읽을 수 있습니다.
Bookafy는 플랫폼의 모든 내장 보안, 개인 정보 보호 및 중복 기능을 활용합니다. Azure는 데이터 센터의 위험을 지속적으로 모니터링하고 평가를 거쳐 업계 표준을 준수하는지 확인합니다. Azure의 데이터 센터 운영은 ISO 27001, SOC 1 및 SOC 2/SSAE 16/ISAE 3402(이전 SAS 70 Type II), PCI 레벨 1, FISMA Moderate 및 SOX(Sarbanes-Oxley)에 따라 인증되었습니다.
AWS
Bookafy는 이미지에 AWS CDN을 활용합니다. Bookafy는 플랫폼의 모든 내장 보안, 개인 정보 보호 및 중복 기능을 활용합니다. AWS는 데이터 센터의 위험을 지속적으로 모니터링하고 평가를 거쳐 업계 표준을 준수하는지 확인합니다. AW의 데이터 센터 운영은 ISO 27001, SOC 1 및 SOC 2/SSAE 16/ISAE 3402(이전 SAS 70 Type II), PCI 레벨 1, FISMA Moderate 및 SOX(Sarbanes-Oxley)에 따라 인증되었습니다.
백업
Bookafy는 2개의 개별 지역에 있는 중복 서버에서 매일 모든 데이터 및 코드 기반을 백업합니다. 또한 코드 및 데이터 백업은 Dropbox Cloud Storage에서 호스팅됩니다.
암호화
Bookafy를 통과하는 데이터는 전송 중 및 유휴 상태 모두에서 암호화됩니다. 브라우저에서 Bookafy 플랫폼으로의 모든 연결은 RSA 암호화와 함께 TLS SHA-256을 사용하여 전송 중에 암호화됩니다. Bookafy는 모든 서비스에 HTTPS를 요구합니다.
자체 암호와 같이 원래 값이 필요하지 않은 민감한 데이터의 경우 BCrypt 알고리즘을 사용하여 데이터를 해시합니다. 캘린더에 액세스하기 위한 인증 세부 정보와 같이 원래 값이 필요한 경우 각 중요한 데이터 세트에 대해 고유하고 무작위로 생성된 솔트를 사용하는 AES-256-GCM 알고리즘을 사용하여 값이 암호화됩니다.
서버로의 보안 전송
Bookafy는 개발 팀과 가상 머신 간의 데이터 전송을 인증하기 위해 데이터 보안 서비스를 사용했습니다. 모든 데이터는 암호화되어 보호됩니다.
데이터 공유 및 제3자 액세스
Bookafy는 누구에게도 고객 데이터를 판매하지 않습니다. 교차 채널 마케팅 목적으로 데이터를 공유하지 않습니다. Bookafy는 Oath 인증 또는 API 키를 통한 계정 연결을 통하지 않는 한 제3자 공급자에게 액세스 권한을 부여하지 않습니다. 둘 다 Bookafy 내에서 또는 타사 응용 프로그램 내에서 언제든지 연결을 끊을 수 있습니다. 그렇지 않으면 어떤 이유로든 데이터를 제공받거나 데이터를 판매하거나 데이터를 공유하는 제3자가 없습니다.
배경 조사
모든 Bookafy 직원은 채용 전에 철저한 배경 조사를 거칩니다.
훈련
우리는 최소한의 고객 데이터를 유지하고 알아야 할 필요가 있는 경우 내부 액세스를 제한하지만 모든 직원은 보안 및 데이터 처리에 대한 교육을 받아 데이터의 개인 정보 보호 및 보안에 대한 엄격한 약속을 지킬 수 있도록 합니다.
기밀성
모든 직원은 채용 전에 비밀 유지 계약 및 기밀 유지 계약에 서명했습니다.
데이터 접근
승인된 직원만 당사의 생산 인프라에 대한 액세스 권한을 부여받으며 암호 관리자를 사용하여 강력한 암호를 보장하고 사용 가능한 경우 회사 전체에서 2단계 인증이 의무화됩니다.
재해
우리는 재해 발생 시 고가용성을 보장하기 위해 데이터베이스를 복제하고 데이터를 다른 지역 및 데이터 센터에 있는 여러 클라우드 서버에 백업하는 비즈니스 연속성 및 재해 복구 계획을 마련했습니다.
신뢰할 수 있음
Bookafy의 가동률은 99.3%입니다.
새로운 기능
Bookafy는 3주 스프린트에서 새로운 기능을 개발합니다. 배포는 개발 서버에서 시작하여 스테이징, 라이브로 진행됩니다. 라이브 서버 배포는 일요일 아침 PST에 이루어집니다.
QA 및 테스트
Bookafy는 각 배포 전에 수동 테스트와 함께 자동 테스트를 실행합니다.
개발 및 스테이징 서버 QA
Bookafy가 라이브 서버에 출시되기 전에 코드는 QA 프로세스 중에 스테이징 및 개발 서버에 배포됩니다. 테스트가 완료되면 스프린트 주기 타임라인에서 라이브 서버 배포를 위한 저장소에 코드가 추가됩니다.
라이브 모니터링
코드가 생산 서버에 공개되면 QA 팀은 자동 테스트, 수동 테스트를 실행하고 외부 소프트웨어를 활용하여 서비스를 모니터링합니다. 외부 소프트웨어는 문제가 있는 경우 개발 팀에 자동으로 전송되는 경고와 함께 연중무휴 24시간 실행됩니다. 이러한 알림은 연중무휴로 모니터링되며 문자 메시지와 이메일을 통해 우리 팀에 전송됩니다.
방화벽
Bookafy는 Azure 서버에서 호스팅되며 Azure의 Web Application Gateway 서비스 뒤에 있는 Azure의 차세대 방화벽 서비스를 활용하고 있습니다. 이 서비스에는 SQL 삽입 또는 잘못된 형식의 HTTP 요청과 같은 항목에 대한 보호가 포함됩니다.
맬웨어 및 바이러스 방지
모든 직원은 맬웨어 방지 및 바이러스 보호 소프트웨어를 실행하는 회사 소유 컴퓨터에서 작업하고 있습니다. 저희 사무실 서버는 외부 침투 방지를 위해 방화벽으로 보호하고 있습니다.
스캐닝
내부 서버, 직원 컴퓨터 및 데이터 호스팅은 지속적으로 취약성 검색 소프트웨어를 실행합니다.
로그인 자격 증명 보호
Bookafy와 함께 작동하는 외부 애플리케이션의 경우 Bookafy는 비밀번호를 저장/수집하지 않습니다. 모든 Bookafy 인증은 보안 Oath 연결을 사용하여 각 개별 사용자 계정에 사용되는 보안 토큰으로 Bookafy에 대한 액세스 권한을 부여합니다. 예: Zoom, Stripe, Authorize.net, Google 캘린더, Exchange, Office365, Outlook.com, Icloud, mailchimp 등. 모든 3부
연결 끊기
계정이 취소되거나 무료로 다운그레이드되면 모든 Oath 연결이 Bookafy에서 타사 애플리케이션으로 자동 연결 해제됩니다.
API 액세스
Bookafy를 통한 데이터에 대한 모든 액세스는 언제든지 취소할 수 있는 액세스 토큰을 부여하는 OAuth 인증 메커니즘을 통해 명시적으로 승인됩니다.
GDPR
우리는 모든 고객이 GDPR을 준수하고 지원을 받을 수 있도록 GDPR 표준을 데이터 관행에 통합했습니다. Bookafy GDPR 에 대해 자세히 알아보세요.
보안 FAQ
지난 5년 동안 중대한 보안 위반이나 사고가 발생했습니까?
아니요.
권한 있는 일반 계정 액세스는 최소한 정기적으로 엄격하게 통제되고 검토됩니다.
매년?
예.
사용자에 대해 어떤 데이터가 수집되고 있습니까?
소프트웨어는 계정 소유자와 최종 고객에 대한 데이터를 수집합니다. 두 설정 데이터 모두 계정 소유자와 최종 고객이 제공한 데이터를 기반으로 합니다. 최종 사용자 또는 계정 소유자가 제공한 자발적인 데이터 이외의 데이터는 수집하지 않습니다.
계정 소유자는 예약 시 다양한 데이터 포인트를 수집하기 위해 텍스트 필드를 만들 수 있지만 고객은 최종 사용자가 필드에 데이터를 입력할 때 수집되는 데이터를 완전히 알고 있습니다. 최종 사용자 또는 계정 소유자는 언제든지 data@bookafy.com으로 이메일을 보내 데이터 삭제를 요청할 수 있습니다.
앱은 어떤 목적으로 데이터를 사용합니까?
앱 데이터는 최종 고객이 가입한 거래에만 사용됩니다. Facebook 또는 Google과 같은 SSO로 로그인하기 위해 타사 앱을 사용하는 경우 계정 액세스에만 해당 연결을 사용합니다. 우리는 연락처, 이벤트, 이메일 메시지와 같은 계정의 데이터를 사용하지 않으며 귀하를 대신하여 게시하거나 귀하의 계정 내 활동에 참여하지 않습니다. 로그인에만 사용됩니다.
데이터 삭제에 대한 사용자 권한은 무엇이며 사용자는 데이터 삭제를 어떻게 요청할 수 있습니까?
계정 소유자(고객)로부터 수집한 데이터를 사용하여 계정 소유자에게 더 나은 경험을 제공합니다. 여기에는 AO가 막혔거나, 여러 번 방문했거나, 질문이 있거나 버그가 있을 수 있는 모든 장소가 포함됩니다. 우리는 이 데이터를 사용하여 적절한 메시지로 적시에 고객(계정 소유자)과 소통합니다.
최종 사용자인 고객의 고객을 위해… 계정 소유자와의 거래(예약)를 위해서만 이 데이터를 사용합니다. 우리는 이러한 고객에게 마케팅을 하거나 다른 방식으로 데이터를 사용하지 않습니다. 그들의 데이터는 팔거나 빌린 것이 아니라 우리 시스템에 남아 있습니다.
AO와 최종 고객 모두 그들의 데이터는 언제든지 삭제될 수 있습니다. AO는 data@bookafy.com으로 이메일을 보내 자신의 계정과 데이터 삭제를 요청할 수 있습니다. 최종 고객은 AO가 자신의 데이터를 제거하도록 요청할 수 있습니다.
공유 사용자 계정은 직원에게 금지되어 있습니까? 클라이언트는 어떻습니까?
직원은 전용 계정을 가지고 있습니다. 고객은 또한 자신의 데이터에만 액세스할 수 있는 전용 계정을 가지고 있습니다.
암호 구성에 여러 강도 요구 사항, 즉 강력한 암호가 필요하고 알파벳, 숫자 및 특수 문자의 임의 순서를 사용합니까?
기본 비밀번호 관리 수준에서 최소 6자의 비밀번호가 필요합니다. OWASP 및 NIST SP 800-63-3 암호 정책 옵션은 내년에 제공될 수 있습니다.
수신 및 송신 필터링이 있는 방화벽으로 네트워크 경계가 보호됩니까?
예. 모든 방화벽과 로드 밸런싱 시설은 Azure와 Amazon AWS에서 제공합니다.
잘 정의된 비무장 지대(DMZ)에 공용 서버가 있습니까?
예, 이것은 Azure의 기본 인프라 영역 지정에서 상속되며 Bookafy에는 전 세계에 분산된 지역 서버가 있습니다.
PCI 데이터와 같은 민감한 프로덕션 리소스를 추가로 격리하기 위해 내부 네트워크 분할이 사용됩니까?
PCI 데이터는 Stripe 및 Authorize.net과 같은 제3자 제공업체의 Bookafy에 의해서만 프레이밍되므로 저장되지 않습니다. Bookafy는 데이터를 수집하거나 저장하지 않습니다.
네트워크 침입 탐지 또는 방지가 구현되고 모니터링됩니까?
Azure에서 제공하는 알림 및 경고로 보완되는 광범위한 모니터링 도구는 계속 켜져 있습니다. 여기에는 네트워크 액세스에 대한 침입 탐지 및 이메일 확인이 포함됩니다.
모든 데스크톱은 정기적으로 업데이트되는 바이러스, 웜, 스파이웨어 및 악성 코드 소프트웨어를 사용하여 보호됩니까?
예.
업계 강화 관행을 사용하여 서버가 보호됩니까? 관행이 문서화되어 있습니까?
보안 서비스는 시스템 보안 감사를 제공하기 위해 정기적으로 활용됩니다.
모든 운영 체제, 네트워크 장치 및 애플리케이션에 대한 활성 공급업체 패치 관리가 있습니까?
예. 이는 Azure에서 해당 서비스를 통해 자동으로 제공합니다.
모든 생산 시스템 오류 및 보안 이벤트가 기록되고 보존됩니까?
로그는 최소 1개월 동안 보존되며 일부는 심각도 및 필요한 조치에 따라 최대 6개월까지 유지됩니다.
보안 이벤트 및 로그 데이터를 정기적으로 검토합니까?
예. 로그는 로그 이벤트의 특성에 따라 매일, 매주 및 매월 검토됩니다.
고객의 기밀 정보를 보호하기 위한 보호 장치가 있는 문서화된 개인 정보 보호 프로그램이 있습니까?
예.
개인 정보 침해가 발생하면 고객에게 알리는 프로세스가 있습니까?
예.
개인 식별 정보(PII)를 저장, 처리, 전송(예: “처리”)합니까?
예.
PII가 저장되는 국가는 어디입니까?
대부분의 PII 데이터는 미국에 저장됩니다. 그러나 기업 고객의 계정 데이터는 특정 지역 센터에 저장할 수 있습니다. 예. 호주 조직은 Canberra Azure 위치에 데이터를 저장하도록 선택할 수 있습니다. 또는 유럽 국가는 유럽 데이터 센터에 저장할 수 있습니다.
시스템 로그는 변경 및 파괴로부터 보호됩니까?
이는 Azure에서 제공되며 Dropbox Cloud Storage에 백업됩니다.
공격을 받을 때 경고를 제공하는 침입 방지 및 탐지 장치로 경계 및 VLAN 진입점이 보호됩니까?
예. 이러한 서비스는 침입을 방지하고 자동 경고를 개발 팀에 보내는 Azure 방화벽에 포함되어 있습니다.
진행 중인 공격에 대한 경고를 제공하는 도구와 로그 및 이벤트가 연관되어 있습니까?
예, 당사의 보안 서비스에는 실시간 공격 기록 및 경고가 포함됩니다.
네트워킹, 프런트엔드, 백엔드 스토리지 및 백업을 포함하여 솔루션 내에서 데이터가 다른 클라이언트와 어떻게 분리됩니까?
모든 클라이언트 계정은 모든 데이터베이스 레코드에 필요한 영구 테넌트 식별자를 사용하여 논리적으로 다른 클라이언트와 분리됩니다.
또한 모든 애플리케이션 코드에는 모든 작업(읽기 및 쓰기 모두)에 대해 이 테넌트 식별자가 필요합니다. 자동화된 테스트 체제는 퇴보 및 가능한 교차 테넌트 데이터 오염으로부터 코드 변경을 보호하기 위해 마련되어 있습니다.
테넌트 식별자는 모든 사용자 계정에 “하드 링크”되고 데이터베이스 쿼리의 고정 “WHERE” 절과 파일 액세스에 대한 동등한 측정을 통해 논리적으로 적용됩니다. 플랫폼 사용자는 이 테넌트 식별자에서 자신의 세션 또는 계정을 변경하거나 연결 해제할 수 없습니다. 따라서 사용자가 다른 테넌트 식별자로 로그인 권한을 가질 논리적 가능성은 없습니다. 다른 테넌트의 ID로 페이지에 접속을 시도하더라도 요청한 테넌트 ID에 사용자 계정이 등록되어 있지 않기 때문에 시스템에서 요청을 거부합니다.
사고 대응 계획이 있습니까?
예, 재해 및 사고 대응을 요약한 “살아 있는 문서”가 유지됩니다.
사고를 이해하고 대응하기 위한 체크리스트, 연락처 세부 정보 및 주요 시스템 시설.
어떤 수준의 네트워크 보호가 구현됩니까?
Azure 웹 애플리케이션 게이트웨이(로드 밸런서) 및 차세대 방화벽을 활용하여 Azure 클라우드에서 실행되는 가상 머신 네트워크를 보호합니다.
플랫폼이 서비스 품질(QOS) 성능 측정(자원 활용도, 처리량, 가용성 등)에 대한 보고서를 제공합니까?
이러한 메트릭은 status.pingdom.com의 상태 페이지에 따라 가용성 및 응답 시간을 제외하고 고객에게 제공되지 않습니다.
재난 복구 프로그램은 적어도 매년 테스트됩니까?
예, 매년 복구를 확인하고 수행 및 테스트합니다.
시스템의 RTO(복구 시간 목표) 및 RPO(복구 지점 목표)는 무엇입니까?
RTO는 4시간이고 RPO는 1시간입니다.
개별 클라이언트에 대한 백업 및 복원 계획을 제공합니까?
모든 측면은 다중 테넌트이므로 전체 클라이언트 기반에서 백업이 수행됩니다. 전체 파일 백업은 24시간마다 실행되며 5분마다 수행되는 Azure 데이터베이스 지정 시간 백업의 이점을 얻습니다. 백업은 Dropbox Cloud와 중복 Azure 가상 머신에 저장됩니다.
백업이 유지되는 최대 시간은 얼마입니까?
데이터베이스 특정 시점 백업은 30일 동안 유지되며 일반 파일 백업은 최소 90일 동안 유지됩니다.
데이터 복원의 예상 처리 시간은 어떻게 됩니까?
비재해 시나리오의 모든 클라이언트 복원은 당사에 요청하고 예약해야 합니다. 처리 기간은 영업일 기준 1~2일입니다.
전체 플랫폼에 영향을 주지 않고 단일 엔티티 계정을 복원할 수 있습니까?
고객이 특정 기록 또는 유물의 복원을 요구하는 경우 요청별로 온라인으로 수행할 수 있으며 유료 작업입니다. 플랫폼이나 고객 계정에는 영향을 미치지 않습니다.
고가용성 제공 여부 – i. 이자형. 한 서버 인스턴스를 사용할 수 없게 되면 다른 서버 인스턴스를 사용할 수 있습니까?
여러 서버 인스턴스가 Azure의 가상 머신을 통해 모든 시스템 계층에서 실행되고 웹 애플리케이션 게이트웨이가 로드 밸런싱을 처리합니다. 데이터 센터 내 서버 인스턴스의 오류는 Azure WAG에서 처리되며, 문제 인스턴스는 재활용 및/또는 제거되고 새 인스턴스로 교체됩니다.
재해 복구 요구 사항을 충족하기 위해 데이터가 다른 위치(데이터 센터)에 저장되고 사용 가능합니까?
예. 모든 데이터는 지리적 위치에 따라 다른 두 번째 데이터 센터에 복제되며 백업 데이터는 Dropbox Cloud Storage에 저장됩니다. .
장애 조치 프로세스가 활성/활성, 자동화된 전환 프로세스입니까?
기본 데이터 센터 내의 서버 인스턴스 오류는 Azure WAG 부하 분산 장치에서 처리되며, 문제 인스턴스는 재활용 및/또는 제거되고 새 인스턴스로 교체됩니다.
전체 데이터 센터에 심각한 장애가 발생한 경우 보조 센터로의 전환은 수동 프로세스입니다. 먼저 문제에 대한 전체 평가를 수행하여 기존 기본 센터를 유지하기 위한 간단한 해결 방법이 없는지 확인해야 합니다. 센터 존재 가능. 보조 센터로의 이동이 필요하다고 판단되면 대상 복구 목표를 충족하기 위해 전환이 수동으로 시작됩니다.
