政策与程序

我们致力于将您的数据安全,您的私人信息私密,并对我们作为业务的实践透明。

安全政策

我们认真对待安全和隐私,遵守企业级安全标准,使您的客户数据受到保护。


遵守

 HIPAA 符合标志

HIPAA 加上计划

健康保险便携性和问责法

文档不受HIPAA的影响

 PCI标志

PCI级别III

支付卡行业数据安全标准

 CCPA标志

加利福尼亚州消费者隐私法案

隐私保护

 gdpr标志

GDP. 准备

一般数据保护规范

文档不受GDPR的约束

安全团队

我们有一个全球分布式的基础设施和安全团队致电24/7。我们的团队不断从所有第三方软件库中监控安全通知,如果已识别,我们会立即释放任何相关的安全补丁。我们的工程师与产品团队一起工作,以确保所有帮助侦察员的代码和基础架构都遵循安全的开发生命周期流程。

基础设施

所有帮助Scout的应用程序和数据基础架构都托管在Amazon Web服务(AWS)上,一个高度可扩展的云计算平台,内置于最终的安全性和隐私功能。

我们的服务在Forefront的冗余,容错和灾难恢复中设计,通过三个单独的可用性区域(数据中​​心)分发。我们所有的基础架构都在我们的虚拟私有云(VPC)内,只有生产访问权限仅限于运营支持人员。这使我们能够利用完整的防火墙保护,私有IP地址和其他安全功能。

有关AWS安全的更多细节,请参阅 //aws.amazon.com/security/.

正常运行时间和数据可用性

我们在所有产品上致力于99.99%的正常运行时间,并支持我们在AWS之外的监视和伐木系统,并使用各种工具来准确监测和报告可能影响我们服务交付的异常。

我们所有的服务都部署在至少三个可用区域中,以减轻任何单个数据中心可用性问题。如果发生这种紧急情况,可以防止AWS从区域中的任何可用区域(AZ)提供服务,我们没有能够检索数据,直到恢复AZS中的服务。

在不太可能的情况下,存储在帮助SCOUT数据库中的数据丢失或损坏,我们将能够从备份恢复,其中数据丢失不超过5分钟。在此期间,由于恢复时间的性质非常简单,我们不会向提供数据提供额外的应急计划。

数据和数据中心

所有数据都存储在亚马逊Web服务控制数据中心的HIPAA兼容,多租户数据存储中,并在带AWS的签名BAA下受到保护。只有那些拥有合法业务的亚马逊内部有需要了解这些信息的实际位置,并且数据中心本身都是用各种物理控制保护的,以防止未经授权的访问。

应用

通过使用自动化和手动分析,以及第三方库的不断安全审查,我们确保我们提供我们正在提供无安全缺陷的产品,并且数据严格按照我们的客户处理的产品指示。所有帮助Scout Web应用程序通信都是PCI兼容并支持TLS V1.2,并且无法由第三方查看。我们强制执行银行和金融机构使用的相同级别。

此外,我们还支持许多安全集中功能,以帮助保持数据安全

  • 数据加密 - 所有客户数据都在休息时加密,包括:用户电子邮件地址,用户密码,API键,包括应用程序存储的第三方密钥。
  • 基于应用程序级访问权限和角色,通过数据层的逻辑分离保持特定于公司的数据。
  • 身份验证 - 帮助Scout通过Google Apps为帮助Scout凭据或SSO提供2FA访问(通过SMS和Authenticator App)。 Plus计划用户可以通过任何SAML兼容的身份提供商可选地进行身份验证。
  • IP限制 加上计划 - 此功能允许您将访问权限限制为您的帮助SCOUT帐户到预定义的IP地址列表
  • API安全 - 在我们的V2.0 API中,我们支持OAUTH / SAML身份验证和用于撤销设备令牌的UI。

电子邮件安全

帮助侦察员 supports TLS encryption on all inbound and outbound email. For an explanation of how email encryption works, we recommend 此概述来自谷歌.

工程和运营实践

我们设计了牢记高可用性的所有服务。我们的目标是在我们所有产品中提供99.99%的正常运行时间。为了实现这一目标,我们遵循许多工程最佳实践

  • 不变的基础设施 - 我们不会更改生产中的实时代码或运行服务器。在适用的情况下,我们将软件和基础架构配置视为代码。这意味着所有更改都通过正式的代码审查,自动化测试和自动部署过程。
  • 持续集成和交付 - 我们正在使用连续集成和部署自动化和配置管理工具来构建,测试和部署一天多次的代码。
  • 事件响应 - 我们的专用基础架构和安全团队正在旋转随叫随到的时间表,以便立即响应任何安全性或可用性事件。
  • 安全审计 - 每年我们都有一个独立的安全公司在我们的系统和代码库上执行白盒渗透测试审计。根据要求,可以向当前或潜在客户提供最新审计的结果。
  • 每月PCI扫描 - 我们每月运行PCI扫描,以维持持续的3级PCI合规性,遵守严格的行业标准,用于在线存储,处理和传输信用卡信息。除加密客户付款信息外。在发现之后尽快解决任何未发现的漏洞,请尽快解决和部署。
  • 权限和管理控件 - 帮助Scout启用可用于访问帮助侦察侦探的任何员工的权限级别。我们遵循任何具有访问个人数据的系统的最低权限原则,并具有基于自动的刀具的控制和数据访问,条目,删除和修改的记录。