一个安全的工程经验的增长

您的数据安全和隐私是BetterUp的首要任务,我们相信你的价值在我们的平台产品。

企业级安全

安全和隐私的中心如何继续提高消费者的信任,和BetterUp大举投资保护机密性、完整性、可用性、安全性和隐私的客户数据。BetterUp不断评估和实现了额外的措施来帮助改善我们的安全程序和解决景观不断变化的威胁。

最好的基调 ISC BetterUp有一个活跃的信息安全委员会。行政领导和BetterUp董事会提供定期更新对整个安全威胁,信息安全项目的卫生,和成熟。

最好的安全认证 BetterUp持有ISO 27001认证和SOC 2 II型报告。我们继续追求改进和实现健壮的行业认证评估/认证。

强大的共享安全模型 BetterUp使用AWS我们地区有多个可用性区域(Multi-Az)模型。生产环境是由Heroku, Salesforce公司。Heroku的PaaS管理包括一个Web应用程序防火墙(WAF)在私人空间(又名micro-segment)。AWS和Heroku的有几个安全和隐私认证包括SOC 2 II型和ISO 27001。

认证、标准和规定

保护公司和员工的数据是我们的首要任务。我们每天都赢得你的信任,遵守国际隐私、安全、保密协议,规定和要求。

SOC 2 II型

GDPR

CCPA

ISO 27001

风险智能程序

风险驱动的信息安全项目包括行政、技术和物理安全措施结合适用的要求,标准和最佳实践。

套安全保障

BetterUp维护一套综合的信息安全政策,定期检讨,更新,批准了在一个预定义的时间表。

专门小组

BetterUp有一个专门的信息安全团队以确保BetterUp产品和客户数据受到保护。

风险管理:BetterUp安全的基础

风险管理作为BetterUp信息安全项目的基础。BetterUp定期进行行业标准的安全风险评估,识别、分析、监控和应对风险。

我们多方面的方法还包括使用多个源的输入如漏洞评估、渗透测试、和其他形式的安全审查捕捉我们的安全态势的整体状态。

风险的治疗方法与关键利益相关者战略计划和优先级,确保符合安全与业务目标。跨职能协作与ISC积分信息安全风险的评估和管理。

99%正常运行时间保证

项目治理

BetterUp信息安全委员会(ISC)是一个管理机构组成的跨职能管理代表BetterUp。ISC定期开会通知,优先级,使信息安全项目。

人们的安全

流程和政策来确保我们的安全人员在他们BetterUp旅程。

数据安全

确保您的数据的安全和隐私是BetterUp的首要任务。我们遵循全球安全和隐私原则在设计我们的产品,保护您的数据。

安全发展

BetterUp使用安全编码标准支持敏捷开发的原则和实践。

监测和反应

监督机制和响应程序进行管理,使意识和弹性的安全威胁。

渗透测试

独立的渗透测试和自动化测试在我们的安全开发实践进行,使缺陷的识别和缓解。

常见问题

探索我们的常见问题部分的答案和我们的一些客户的共同调查细节。

人们的安全

人员安全管理

BetterUp维护既定的政策和程序旨在规范员工新员工培训和offboarding使用自动化过程,通过使用身份和访问管理(IAM)解决方案。对新员工进行背景调查,应急工人,和教练按照新员工培训前BetterUp的招聘程序。保密协议和可接受的使用条款的每一方各自的分类。

安全意识培训

为了促进文化,使成员BetterUp的劳动力保障数据和信息以一种安全的方式,BetterUp保持全面安全意识的培训计划来解决一般和基于角色的安全培训。

政策沟通和执行

人安全策略进行内部交流和可用在一个集中的位置供参考。已知违反政策遵循一个既定的纪律和执行过程。

数据安全

加密

BetterUp数据加密在运输和存储使用行业标准密码和方法。这包括使用aes - 256和TLS加密密码。加密密钥存储有限的安全访问。高级加密应用到各种应用程序基础设施层,和包括磁盘、应用程序和数据库加密。禁止共享加密密钥和密钥管理程序每年的基础上进行了综述。

产品的访问控制

BetterUp提供了一些机制来帮助客户保持数据安全、控制访问。这包括一系列的控制,是基于最小特权原则。用户可以配置两因素身份验证,我们鼓励所有客户启用集成到他们的联邦通过SAML身份提供商。BetterUp平台充分响应在桌面、笔记本电脑和移动设备。它支持行业标准SAML 2.0为单点登录(SSO)和用户身份验证。安全事件和审计日志收集和连续监测发现和应对异常行为。

多因素身份验证(MFA)需要BetterUp教练和员工BetterUp信息系统和资源的访问。华体会手机登入通过一个中央目录访问控制系统,提供有限的,基于最小特权原则。

BetterUp平台提供一个用户友好体验会员,教练,和项目领导人通过实现基于角色的访问功能。

网络控制

BetterUp平台是建立在孤立的,私人网络使用安全组和防火墙内的虚拟私有云(VPC)。所有入站和内部流量被限制在一个特定的端口有限群的机器。所有流量率、来源和类型是积极地监控各点在网络入口和防火墙之外。BetterUp逻辑上隔离客户数据使用应用程序容器技术和独特的标识符,这确保对客户数据的访问是有限的,只有这个客户。

数据存储与处理

客户数据将被删除在书面请求。数据保留根据需要来满足数据分类和/或外部需求。过程是对有形财产的安全处理包含客户数据,考虑可用的技术,这样客户数据不能实用地读或重建

安全开发生命周期(SDL)

敏捷开发

BetterUp专用的跨职能团队来推动安全开发生命周期(SDL)支持敏捷开发的原则。

这组负责协调、沟通、改进、发展和坚持安全控制在我们的流程。为了船舶安全、高质量的产品在速度,BetterUp利用自动化安全测试来识别任何潜在的漏洞在源代码中,依赖,底层基础设施之前释放给我们的客户。

静态应用程序安全性测试(科协)

BetterUp分析应用程序源代码来确定缺陷,技术债务,和安全漏洞。严格的评分标准由工程团队坚持以确保不仅在我们产品的安全代码质量。任何代码满足这些标准是不发货直到解决。

依赖和第三方库扫描

BetterUp分析项目依赖关系来确定漏洞。严格的评分标准防止脆弱的依赖产品的出货,直到通过工程团队来解决。

动态应用程序安全性测试(DAST)

BetterUp自动化运行web应用程序扫描在平台的频繁。这允许错误,常见的利用,安全漏洞和问题被发现在开发过程的早期。这种方法通过自动化,BetterUp能够改善我们的平台为我们的客户的质量和安全。

集装箱安全

BetterUp执行漏洞评估在所有容器图像来检测任何脆弱的软件运行在一个给定的容器。严格的评分标准预防的脆弱的容器,直到通过工程团队来解决。部署所需的合格分数。

代码标准和基于角色的访问控制

符合行业最佳实践,BetterUp已经开发了一个基线的源代码控制标准提供适当的卫生在代码存储库支持我们的平台。这些标准是整个公司开发和自动化部署实施。标准自动执行包括但不限于:基于角色的访问控制、最小特权,代码和库所有权、职责分离、分支保护,和秘密的管理。

安全监视和响应

日志记录和监控

BetterUp安全日志收集、聚合和关联使用一个集中的安全信息和事件管理(SIEM)解决方案。行业标准日志保护机制以保证生成的日志的完整性。BetterUp从事托管安全服务提供者(MSSP)监测和响应服务。

事件响应

BetterUp已经安全应急响应程序时遵循任何安全漏洞。这些程序包括区域覆盖的角色和职责,调查、沟通、事件日志和remediative行动。

应急计划

可用性的数据保护通过使用提供的数据复制和备份服务AWS和Heroku。捕获数据备份定期根据定义的时间表。备份存储在多个高可用性区域。BetterUp利用自动缩放集中部署备份配置的政策,管理和管理备份在BetterUp AWS资源的活动。华体会手机登入

业务连续性和灾难恢复计划和流程应对紧急维护或不良事件可能损害客户数据或包含客户数据的生产系统。数据恢复测试练习完成每半年一次使用方法基于最佳实践和各种场景。测试结果使BetterUp验证备份数据的完整性和保证实现时间和恢复点目标(RPO / RTO)。

渗透测试

BetterUp利用第三方独立渗透测试的应用程序、服务和企业作为一个整体。这些导致了不断更新我们的产品和流程改善安全性和可靠性。这些评估是持续的合规和安全需求的一部分保持BetterUp作为一个可信的服务提供商。

面向客户的修订执行概要相互保密协议下提供给客户。

常见问题

最初的新员工培训&数据加载

问:你如何执行最初的新员工培训的成员?

BetterUp是一个邀请链接邀请平台和发送给特定的个人,手动添加。这个成员可以访问BetterUp平台和CSV文件上传到邀请剩下的参与者。

问:需要什么数据?

BetterUp需要成员提供名字、姓氏和电子邮件地址来访问该平台。成员选择使用我们的手机应用程序将被要求提供手机号码。我们的许多客户也为我们提供信息,如标题、部门和位置。这只是一个代表性样本,而不是全面的列表。

问:数据加载到BETTERUP怎么样?

BetterUp支持数据上传三个选项:

授权人可以上传并附上所需的数据。
授权个人可以手动发送/这个文件转发到指定的部署管理器或打开一个帮助台票。
BetterUp可以帮助建立一个安全文件传输等S-FTP在个案基础上。
BetterUp支持自定义与人力资源系统集成等工作。

数据保护

问:客户数据和传输中数据是如何保护?

BetterUp数据加密在运输和存储使用行业标准密码和方法。这包括使用aes - 256和TLS加密密码。加密密钥存储有限的安全访问使用密钥管理服务(公里)完全由AWS管理。

BetterUp是一种多租户系统,不支持Bring-Your-Own-Key (BYOK)的客户。高级加密应用到各种应用程序基础设施层,和包括磁盘、应用程序和数据库加密。

问:你支持安全删除(例如,消磁/加密擦拭)归档和备份数据由租户?

BetterUp杀毒软件有数据删除和媒体政策,标准和指导方针。这些政策和相关控制的存在已由一个独立的审计师作为SOC 2 II型的一部分报告。BetterUp,经客户书面请求的数据擦除,应将客户的数据从所有BetterUp存储媒体,包括云存储服务提供者的三十(30)天内请求。除非另有指示或根据适用法律,BetterUp将保留七(7)年的数据。要求,BetterUp将为客户提供一个日志或复制的数据删除。

云(AWS)媒体:当AWS确定媒体已经达到使用寿命,或者出现硬件故障,AWS遵循的技术详细在国防部(DoD) 5220.22 - m(“国家工业安全项目操作手册”)或NIST SP 800 - 88(“媒体卫生处理准则”)破坏数据的一部分退役过程。有关更多信息,请参阅AWS网站: https://aws.amazon.com/compliance/data-center/controls/

问:什么是您的数据共享和保留政策和做法?

BetterUp平台使用第三方供应商和服务,如AWS, Heroku, TokBox。请参阅SOC 2 C和H II型报告第三部分获得更多信息。除非另有指示或根据适用法律,BetterUp将保留七(7)年的数据。

问:客户数据托管在哪里?

客户数据托管在美国。

问:客户数据分离/段怎么样?

BetterUp多承租者平台和客户数据使用应用程序代码逻辑隔离,基于角色的访问控制和各种各样的其他技术。BetterUp的生产环境是驻留在Heroku的私人空间(又名micro-segment)。

访问控制

问:集成身份提供者(IDP)如ACTIVE DIRECTORY, AZURE,还是OKTA支持?

是的。使用ADFS BetterUp有几个客户,Azure或Okta单点登录(SSO)集成。

问:密码加密在休息怎么样?

BetterUp标准支持SAML 2.0集成身份验证。对于客户不使用SAML, BCrypt等使用安全密码加密算法。

问:你为客户提供用户管理角色/权限吗?

不。BetterUp支持RBAC模型和细粒度的权限是在应用程序中构建的。客户要求提交票请求任何角色的变化。

问:描述你的终止和访问删除过程?

客户可以通过电子邮件提交一个帐户终止请求BetterUp支持团队 support@betterup.co

BetterUp自动化场外的了我们的内部员工和承包商。

问:哪些员工对客户数据的访问,为什么?

BetterUp使用最小特权原则限制的访问需要。访问客户数据仅限于特定群体的个人基于客户服务代理等工作职责,部署管理器和生产支持工程师。BetterUp平台利用基于角色的访问控制(RBAC)模型和细粒度的权限是建立在应用程序中启用RBAC模型。

问:你定期执行成员访问评论?

BetterUp执行季度审查访问BetterUp平台和管理资源来帮助确保员工访问是合适的。华体会手机登入任何问题确定为审议的结果是沟通和解决。

问:你使用多因素身份验证(MFA) ?

是的。Betterup利用NIST 800 - 63 b准则验证员工和教练,直接访问Betterup拥有和管理资源。华体会手机登入员工和教练都必须使用多因素身份验证(MFA)关键应用程序和访问权限。

安全日志和监测

问:你有一个安全信息和事件管理(SIEM)解决方案吗?

是的!BetterUp有下一代SIEM解决方案。

问:你有数据泄漏预防(DLP)解决方案?

是的。BetterUp下一代DLP的解决方案。

问:什么是审计过程用于执行的操作日志和评论你的员工吗?

BetterUp收集访问和获取关键信息系统审计日志。按季度BetterUp评论这个访问。

问:你为客户提供安全日志吗?

不。BetterUp是一种多租户系统和日志不提供给任何客户。

人们的安全

问:你对所有员工进行背景调查和教练?

是的。BetterUp收缩外部机构对所有员工进行背景调查。这些供应商和报告由人力资源管理功能,包括以下:华体会手机登入

身份检查
犯罪记录检查
验证的教育资格或其他技能
排除检查,必需的
验证的就业权利通过使用工作许可证或类似文件
以前的就业参考检查
验证日期就业声称前五(5)年

第三方必须对员工进行背景调查服务合同的一部分。

问:你需要员工和教练签字/承认任何可接受的使用政策?

是的。BetterUp要求所有员工,教练,和内部承包商承认一个可接受的使用政策(AUP)。

问:有纪律的行为被定义为组织政策和沟通?

是的。违规,执法和潜在的纪律行动中定义的所有信息安全政策,包括AUP。这些政策是易于访问的内部融合页面上的所有员工。

问:信息安全责任是如何传达给员工处理客户数据?的频率?

BetterUp信息安全政策、标准和指导方针是发表在一个融合页面,可以访问所有员工。所有员工,教练和逻辑访问BetterUp系统内部承包商需要承认一个可接受的使用政策(AUP)当雇佣和每年。

BetterUp有强制性的安全意识和培训项目的所有成员BetterUp的劳动力(包括管理),包括:

培训如何实现并遵守其信息安全项目;
促进文化安全意识通过定期从高级管理层与员工沟通。

此外,所有BetterUp员工每年必须完成隐私,性骚扰,道德意识培训。

脆弱性管理

问:你执行外部评估,以及以什么频率?

是的,每年至少执行外部评估。

问:你怎么知道有新的漏洞在你的网络、服务器和应用程序?

BetterUp托管在AWS美国东部和西部地区。生产环境是驻留在私人空间(小音段)由Heroku, Salesforce公司。Heroku负责网关(防火墙,VPC,等等)和基础设施(操作系统、AMI DB实例等)。为备用BetterUp利用AWS & Heroku服务。AWS和Heroku SOC 2和ISO 27001认证。BetterUp萎缩每年一个独立的第三方来执行应用程序渗透测试和静态代码分析使用OWASP前十名。执行总结报告状态中等及以上的额定漏洞与客户可以共享,NDA保密协议书面请求。

安全应急响应

问:你能提供通知所有已知或可疑的安全事故?

不。BetterUp是一种多租户系统和受影响的客户将通知确认安全漏洞。

问:你提供24 x7x365支持安全事件反应?

不。BetterUp并不为安全应急响应提供一个单独的SLA。有关更多信息,请参考客户支持sla。

业务连续性管理

问:是数据备份的频率?

BetterUp执行每日、每周和每月的备份。

问:你提供你的恢复点目标(RPO / RTO) /时间?

我们的客户可以执行按需监控平台https://status.betterup.co/。客户也可以查找我们的历史正常运行时间使用相同的链接。BetterUp简约认为独立的第三方来执行我们的业务影响分析(BIA)和帮助我们建立恢复点(RPO / RTO)和恢复时间目标。现有的信息证实了我们的独立的第三方审计人员在SOC 2 II型报告。