稳健的GDPR兼容测量平台


而bat365app提供了一个难以置信的易于使用的平台,允许用户从所有类型的来源收集所有类型的数据, 我们还提供了一套强大的控制和工具,以确保您的数据受到保护. 我们与世界上所有行业的一些顶级品牌合作, 我们采用业界领先的控制措施,保护您的数据.

我们完全理解这一点, 我们都对客户与我们共享的数据负有责任, 所以我们不能仅仅满足立法的最低要求. 作为调查和软件的全球供应商, 在数据安全和隐私方面做正确的事情是我们的基石.

完全GDPR兼容

bat365app已经将GDPR合规作为保护所有客户和受访者隐私的基准, 不管他们在哪里.

我们为GDPR指挥中心提供不断更新的教育材料, 随着新信息, 实践, 需求变得公开. [DR1]我们所有的客户都可以全天候访问标准的数据处理附录(DPA). DPA是我们的客户和bat365app之间的合同协议,以确保我们在任何时候都按照客户的指示处理和处理数据. 除了, 我们所有的员工都接受GDPR培训,由我们自己通过GDPR认证的隐私基金会和从业者领导.

bat365app在德国有一个符合gdp的数据中心,以确保使用我们欧洲数据中心的客户不会将他们的应答数据转移到美国.S. 没有他们的批准. 我们在加拿大和美国的另外两个数据中心也符合GDPR, 我们在Privacy Shield的会员资格意味着客户可以在欧盟以外的地区将数据传输到我们的服务器,并保证数据将受到与在欧盟同样的保护,享有同样的隐私权.

感谢我们先进的隐私通知和选择加入的同意过程, bat365app的客户可以使用我们的平台帮助他们符合GDPR的要求. 帐户管理员可以很容易地在他们的调查中包括必要的同意. 如果炼金术师的客户需要检索应答者的同意, 这很容易通过平台通过帐户管理员完成. 

我们使组织更容易部署数据隐私披露和选择加入声明,在他们的调查中,在整个组织. 我们还允许客户配置数据保留策略, 很容易, 我们将根据客户定义的保留规则自动清除他们的数据.

安全应用程序和数据架构

通过亚马逊网络服务(AWS), 我们有容错系统, 高可用性, 和可伸缩的基础设施. 我们使用web应用防火墙和负载均衡器来防止入侵和流量激增. 我们承诺提供一个99.调查人员和应用程序用户的正常运行时间为9%.

我们使用VPC (Virtual Private Cloud),并使用AWS安全组创建单独的网段, 哪些规则等同于防火墙规则. 应用程序的不同层有单独的安全组,这些安全组限制对需要的访问, 最小特权原则.

此外,bat365app利用AWS提供的全球基础设施,更好地为客户服务. 作为炼金术师的客户, 您可以选择数据驻留的位置, 你的数据仍然在那个数据中心, 除非您将其导出或向我们的客户支持团队要求搬迁.

专注于数据安全

bat365app已经获得了NSF International的ISO 27001认证, 展示我们保护客户数据的承诺. In 2019, 我们还执行了SOC2 Type I审计,目的是构建一个成熟的, 持续监测计划,立即启动SOC2 II型认证在2020年和以后的每一年. 炼金师雇佣了一个全职团队, 专门从事网络安全建设的专业人士, 实现, 以及维护健全的网络安全框架. 

该公司还与外部第三方合作,对我们的应用程序和网络进行年度渗透测试(笔测试). 此外,定期测试和扫描应用程序和网络,以寻找漏洞.

我们成熟的漏洞管理程序包括扫描工具, 实时报警, 以及定期的漏洞管理团队会议, 这是我们企业风险管理计划的一部分吗.

bat365app is proud we do not just comply with standards and certifications; we see those standards as the foundation upon which we build our information security practice. 所以你知道你的数据是安全的.

基础架构和控制

  • 基础架构和控制

    开放 关闭
    • 基于AWS构建,遵循最佳实践架构
    • 跨越多个可用区域的冗余服务器基础设施
    • 自动化基础设施扩展
    • 联合多租户数据库
    • 反病毒和恶意软件检测
    • 网络过滤
    • Web应用防火墙(WAF)
    • 通过防火墙进行状态报文检测
    • 专用加密数据库实例
    • 对所有办公室信息系统进行全磁盘加密
    • 数据库和备份使用AES-256加密
    • 数据库备份每小时执行一次,并保留90天
    • 每季度进行模拟恢复测试,以确保备份完整性
    • 网络分段与dmz, vpc, IPSec隧道
    • 所有特权用户帐户都需要多因素身份验证(MFA)
    • 安全数据删除过程
    • 集中的日志
    • 集中监控
    • 集中配置管理
    • 24×7监测和支持事件的反应
    • 生产服务器经常打补丁,以确保它们的安全始终是最新的
    • 所有应用程序流量都使用SSL加密(TLS 1).2)
    • 密码复杂度和重用规则在所有层中强制执行
    • 密码至少90天更换一次
    • 办公室物理安全控制(徽章、摄像头、报警器)
  • 应用程序级安全特性和控制

    开放 关闭
    • 基于团队和基于角色的权限来管理bat365app中的访问
    • 使用SAML 2进行单点登录(SSO).0
    • 使用TOTP或SMS强制多因素身份验证(MFA)的能力
    • 多用户帐户中的可定制调查限制
    • 行级数据加密特性
    • DRP (Data Retention Policy)特性
    • 用户访问日志记录所有登录到您的炼金术师帐户
    • API访问权限控制
    • 帐户密码的限制
    • 为您的调查创建隐私/数据使用政策
    • 创建匿名调查
    • 控制炼金师支持访问您的帐户
    • 永久删除数据
  • 标准操作程序

    开放 关闭
    • 年度风险评估
    • 年度业务连续性/灾难恢复演习
    • 正在通过WhiteHat和BURP套件进行应用程序漏洞扫描
    • 正在进行的基础设施漏洞扫描通过Tenable
    • 与第三方安全分析师/测试人员合作
    • 每周事件回顾会议
      安全与风险评估集成到SDLC中
    • 职责分离
    • 事件响应团队和过程
    • 最不优惠访问原则的实践
    • 记录所有生产变更的评审过程和批准
    • 记录升级和事件处理流程
    • 版本控制
    • 受限的、自动化的软件发布过程
    • 24×7滥用报告程序
    • 全公司强制性安全培训计划
    • 对所有员工进行背景调查
    • 围绕可接受的使用、保密协议和客户帐户访问制定人力资源政策
    • 第三方承包商不能访问生产数据或基础设施
    • 所有技术资产的库存管理过程

将你的反馈付诸行动