申请演示

为增长而设计的安全体验

您的数据安全和隐私是BetterUp的首要任务,我们珍视您对我们平台产品的信任。

trust-and-security-enterprise-grade

企业级安全

安全和隐私是我们如何继续增强客户信任的核心,BetterUp在保护客户数据的机密性、完整性、可用性、安全性和隐私方面投入了大量资金。BetterUp不断评估和实施额外的措施,以帮助改善我们的安全计划,并应对不断变化的威胁形势。

Icon_01
最好的音调在顶部 BetterUp有一个活跃的信息安全委员会ISC。执行领导层和BetterUp委员会定期更新信息安全计划的总体安全威胁、安全性和成熟度。
Icon_02
一流的安全认证 BetterUp拥有ISO 27001认证和SOC 2 Type II报告。我们继续追求改善和实现强大的行业认证/认证。
Icon_03
健壮的共享安全模型 BetterUp使用AWS美国区域多可用区(Multi-Az)模型。生产环境由Salesforce公司Heroku管理。Heroku的托管PaaS在私有空间(又名微段)中包括一个Web应用程序防火墙(WAF)。AWS和Heroku拥有多项安全和隐私认证,包括SOC 2 Type II和ISO 27001。

认证、标准和法规

保护您的公司和员工的数据是我们的首要任务。我们每天都遵守国际隐私、安全和保密协议、法规和要求,赢得您的信任。

SOC 2第II类
SOC 2第II类
gdpr
GDPR
ccpa
CCPA
的马克- -信任-认证- isoiec - 27001 -信息-安全-管理-黑色-商标- en - gb - 1019 - 1
ISO 27001
专家
风险智能计划
风险驱动的信息安全计划包括管理、技术和物理保障措施,以符合适用的要求、标准和最佳实践。
ondemand-a_2321
保安措施
BetterUp维护一套全面的信息安全策略,并按照预先定义的时间表定期审查、更新和批准这些策略。
专用的
专门小组
BetterUp有一个专门的信息安全团队,以确保BetterUp产品和客户数据受到保护。

风险管理:BetterUp安全的基础

风险管理是BetterUp信息安全计划的基础。BetterUp定期执行行业标准的安全风险评估,以识别、分析、监控和响应风险。

我们的多面方法还包括使用多种输入来源,如漏洞评估、渗透测试和其他形式的安全审查,以获取我们安全态势的整体状态。

风险处理在战略上进行规划,并与主要利益相关者一起确定优先级,以确保与安全和业务目标保持一致。在审查和管理信息安全风险方面,与信息安全委员会的跨职能合作是不可或缺的。

trust-and-security-program-governance-1
trust-and-security-program-governance-2

项目治理

BetterUp的信息安全委员会(ISC)是由BetterUp的跨职能管理代表组成的管理机构。ISC定期召开会议,为信息安全计划提供建议,确定优先级,并使之能够实施。

Icon_PeopleSecurity_01c
人们的安全
流程和政策到位,以确保我们的人员在整个BetterUp旅程中的安全。
Icon_DataSecurity_01c
数据安全
确保您的数据安全和隐私是BetterUp的首要任务。我们在产品设计中遵循全球安全和隐私原则,保护您的数据。
Icon_SecureDev_01c
安全发展
BetterUp使用支持敏捷开发原则的安全编码标准和实践。
Icon_MonitorResponse_01c
监测与响应
管理监测机制和响应程序,以提高对安全威胁的认识和应变能力。
Icon_PenetrationTest_01c
渗透测试
在我们的安全开发实践中进行独立渗透测试和自动化测试,以识别和减轻漏洞。
Icon_FAQ_01c
常见问题
请浏览我们的常见问题部分,了解客户常见问题的答案和详细信息。

人们的安全

人员安全管理

BetterUp维护已建立的策略和流程,旨在通过使用身份和访问管理(IAM)解决方案实现自动化流程,标准化员工入职和离职。在入职前,根据BetterUp的招聘程序,对新员工、临时员工和教练进行背景调查。保密协议和可接受的使用条款适用于各自的分类。

安全意识培训

为了促进一种文化,使BetterUp的员工能够以安全的方式保护数据和信息,BetterUp维护了一个全面的安全意识培训计划,以解决一般和基于角色的安全培训。

政策沟通与执行

人员安全策略在内部进行沟通,并在一个集中的位置提供参考。已知的违反政策的行为遵循既定的纪律和执法程序。

数据安全

加密

BetterUp数据在传输和存储过程中使用行业标准的密码和方法进行加密。这包括使用AES-256和TLS加密密码。加密密钥存储安全,访问受限。高级加密应用于各个应用基础架构层,包括磁盘加密、应用加密和数据库加密。禁止共享加密密钥,并每年审查密钥管理程序。

产品访问控制

BetterUp提供了许多机制来帮助客户保持数据安全和控制访问。这包括一系列基于最小特权原则的控制。客户可以配置双因素身份验证,我们鼓励所有客户通过SAML将其集成到联邦身份提供程序中。BetterUp的平台在台式机、笔记本电脑和移动设备上完全响应。它支持用于单点登录(SSO)和用户身份验证的行业标准SAML 2.0。安全事件和审计日志的收集和持续监控,以发现和响应异常行为。

BetterUp教练和员工访问BetterUp信息系统和资源需要多因素身份验证(MFA)。华体会手机登入访问通过中央目录系统进行控制,根据最小权限原则对访问进行限制和授予。

BetterUp平台通过实现基于角色的访问特性,为会员、教练和项目负责人提供了用户友好的体验。

网络控制

BetterUp平台构建在隔离的私有网络上,使用虚拟私有云(VPC)中的安全组和防火墙。所有入站和内部流量都被限制在有限的一组机器上的特定端口上。所有流量速率、源和类型都在网络入口和防火墙之外的各个点上被主动监控。BetterUp使用应用程序容器技术和惟一标识符在逻辑上隔离客户数据,这确保对客户数据的访问仅限于该客户。

数据保留和处理

如有书面要求,我们将删除客户资料。根据需要保留数据,以满足数据分类和/或外部要求。安全处理包含客户数据的有形财产的流程已到位,并考虑到可用的技术,因此客户数据无法实际读取或重构

安全开发生命周期(SDL)

敏捷开发

BetterUp有一个专门的跨职能团队来推动支持敏捷开发原则的安全开发生命周期(SDL)。

该小组负责在我们的流程中协调、沟通、改进、开发和遵守安全控制。为了按时交付安全、高质量的产品,BetterUp利用自动化的安全测试来识别源代码、依赖项和底层基础设施中的任何潜在漏洞,然后再发布给我们的客户。

静态应用程序安全性测试

BetterUp分析应用程序源代码,以确定错误、技术债务和安全漏洞。工程团队严格遵守评分标准,以确保我们产品的代码安全和质量。任何不符合这些标准的代码在解决之前都不会发布。

依赖项和第三方库扫描

BetterUp分析项目依赖关系以确定漏洞。严格的评分标准可以防止在产品中出现易受攻击的依赖项,直到工程团队解决它。

动态应用程序安全测试

BetterUp经常在平台上运行自动的web应用程序扫描。这允许在开发过程的早期发现错误、常见的利用、安全漏洞和问题。通过自动化这种方法,BetterUp能够为我们的客户提高我们平台的质量和安全性。

集装箱安全

BetterUp对所有容器映像执行漏洞评估,以检测在给定容器上运行的任何易受攻击的软件。严格的评分标准阻止易受伤害集装箱的运输,直到工程团队解决这个问题。部署需要通过分数。

代码标准和基于角色的访问控制

为了与行业最佳实践保持一致,BetterUp开发了一个源代码控制标准基线,以提供支持我们平台的代码库的适当卫生。这些标准是在整个公司范围内制定的,并且已经部署了自动化来执行它们。自动执行的标准包括但不限于:基于角色的访问控制、最低权限、代码和存储库所有权、职责隔离、分支保护和秘密管理。

安全监控与响应

记录与监控

使用集中式安全信息和事件管理(SIEM)解决方案收集、聚合和关联BetterUp的安全日志。采用了行业标准的日志保护机制,以确保生成的日志的完整性。BetterUp聘请托管安全服务提供商(MSSP)进行监控和响应服务。

事件响应

BetterUp有适当的安全事件响应程序,以便在发生任何安全漏洞时遵循。这些程序包括的领域包括角色和责任、调查、沟通、事件记录和要采取的补救措施。

应急计划

通过使用AWS和Heroku提供的数据复制和备份服务来保护数据的可用性。根据定义的时间表定期捕获数据备份。备份存储在多个高可用性分区中。BetterUp利用自动伸缩来集中部署备份策略,以跨BetterUp的AWS资源配置、管理和治理备份活动。华体会手机登入

保持业务连续性和灾难恢复计划和流程,以应对可能损坏客户数据或包含客户数据的生产系统的紧急情况或不利事件。数据恢复测试工作每半年完成一次,采用基于最佳实践和各种场景的方法。测试结果使BetterUp能够验证备份数据的完整性,并确保实现恢复点和时间目标(RPO/RTO)。

渗透测试

渗透测试

BetterUp利用第三方对我们的应用程序、服务和业务进行独立的渗透测试。这些导致我们的产品和流程不断更新,以提高安全性和可靠性。这些评估是持续的合规性和安全性需求的一部分,以保持BetterUp作为受信任的服务提供商。

在相互保密协议下,客户可获得面向客户的修订执行摘要。

常见问题

初始入职和数据加载

问:你们如何进行会员的初次培训?

BetterUp是一个只接受邀请的平台,邀请链接被发送到手动添加的特定个人。该成员可以访问BetterUp平台并上传CSV文件邀请其他与会者。

问:需要哪些数据?

BetterUp需要会员提供姓、名和电子邮件地址来访问平台。选择使用我们手机应用程序的会员将被要求提供他们的手机号码。我们的许多客户还向我们提供头衔、部门和地点等信息。这只是一个有代表性的样本,并不是一个全面的列表。

问:数据如何加载到betterup ?

BetterUp支持三种数据上传选项:
  1. 获得授权的个人可以上传和附上所需的数据。
  2. 授权的个人可以手动将此文件发送/转发到指定的部署管理器或打开Helpdesk票据。
  3. BetterUp可以根据具体情况帮助设置安全的文件传输,如S-FTP。
  4. BetterUp支持与HRIS系统(如Workday)的自定义集成。

数据保护

问:如何保护客户的静态数据和传输中的数据?

BetterUp数据在传输和存储过程中使用行业标准的密码和方法进行加密。这包括使用AES-256和TLS加密密码。加密密钥使用AWS完全管理的密钥管理服务(KMS)进行安全存储,访问受限。

BetterUp是一个多租户系统,不支持客户自带钥匙(BYOK)。高级加密应用于各个应用基础架构层,包括磁盘加密、应用加密和数据库加密。

问:你是否支持根据租户的决定对存档和备份数据进行安全删除(例如消磁/加密擦除)?

BetterUp有数据删除和媒体消毒政策、标准和指南。这些政策和相关控制的存在已作为SOC 2 Type II报告的一部分由独立审计人员进行了验证。根据客户的书面数据删除请求,BetterUp应在提出请求后三十(30)天内从所有BetterUp存储媒体(包括云提供商的存储服务)中删除客户的数据。除非另有指示或根据适用法律,BetterUp将保留数据七(7)年。根据要求,BetterUp将向客户提供已删除数据的日志或副本。

基于云的(AWS)媒体:当AWS确定媒体已达到其使用寿命的终点,或出现硬件故障时,AWS将遵循国防部(DoD) 5220.22-M(“国家工业安全计划操作手册”)或NIST SP 800-88(“媒体消毒指南”)中详细描述的技术销毁数据,作为退役过程的一部分。有关更多信息,请参阅AWS网站: https://aws.amazon.com/compliance/data-center/controls/

问:你们的数据共享和保留政策和实践是什么?

BetterUp平台使用第三方供应商和服务,如AWS、Heroku和TokBox。有关更多信息,请参阅SOC 2 Type II报告III C和H部分。除非另有指示或根据适用法律,BetterUp将保留数据七(7)年。

问:客户数据存放在哪里?

客户数据托管在美国。

问:客户数据是如何分离/细分的?

BetterUp是一个多租户平台,客户数据在逻辑上使用应用程序代码、基于角色的访问控制和各种其他技术进行隔离。BetterUp的生产环境托管在Heroku的私人空间(又名微段)。

访问控制

问:是否支持与idp (identity provider)集成,如active directory、azure或okta ?

是的。BetterUp有几个客户使用ADFS、Azure或Okta进行单点登录(SSO)集成。

Q:密码是如何加密的?

BetterUp支持标准的SAML 2.0认证集成。对于不使用SAML的客户,使用BCrypt等安全算法对密码进行加密。

问:您是否为客户提供用户管理角色/权限?

不。BetterUp支持RBAC模型,细粒度权限是在应用程序中构建的。客户需要提交一张票来要求任何角色更改。

问:请描述您的终止和访问删除流程?

客户可以通过发送电子邮件到BetterUp支持团队提交帐户终止请求 support@betterup.co

BetterUp为我们的内部员工和承包商提供了自动脱机服务。

问:你们的哪些员工可以访问客户数据?为什么?

BetterUp使用最小特权原则在需要知道的基础上限制访问。根据工作职责,对客户数据的访问仅限于特定的一组个人,如客户服务代理、部署经理和生产支持工程师。BetterUp平台利用基于角色的访问控制(Role-Based Access Control, RBAC)模型,在应用程序中构建细粒度权限以启用RBAC模型。

问:你们是否定期进行会员访问审查?

BetterUp每季度对BetterUp平台和托管资源的访问进行一次审查,以帮助确保员工访问是适当的。华体会手机登入审查结果中发现的任何问题都将得到沟通和解决。

问:您使用多因素身份验证(mfa)吗?

是的。Betterup利用NIST 800-63b指南对直接访问Betterup拥有和管理的资源的员工和教练进行认证。华体会手机登入员工和教练必须使用多因素身份验证(MFA)进行密钥申请和特权访问。

安全日志和监控

问:你有安全信息和事件管理(siem)解决方案吗?

是的!BetterUp有一个下一代SIEM解决方案。

问:你有数据泄漏预防(dlp)解决方案吗?

是的。BetterUp有一个下一代DLP解决方案。

问:用什么审核程序来记录和审查员工的行为?

BetterUp收集关键信息系统的访问和审计日志。BetterUp每季度审查一次访问权限。

问:你们向客户提供安全日志吗?

不。BetterUp是一个多租户系统,并且不向任何客户提供日志。

人们的安全

问:你们会对所有员工和教练进行背景调查吗?

是的。BetterUp已经与一家外部机构签约,对所有员工进行背景调查。这些供应商和报告由人力资源部门管理,包括以下内容:华体会手机登入
  1. 身份检查
  2. 犯罪记录检查
  3. 学历或其他技能证明
  4. 在需要时进行注销检查
  5. 通过使用工作许可证或类似文件来核实就业资格
  6. 以前的工作背景调查
  7. 前五(5)年受雇日期的证明
作为服务合同的一部分,第三方必须对其员工进行背景调查。

问:你们是否要求员工和教练签署/承认任何可接受的使用政策?

是的。BetterUp要求所有员工、教练和内部承包商承认可接受使用政策(AUP)。

问:组织政策中是否有纪律处分的定义和沟通?

是的。所有信息安全政策(包括AUP)中都定义了违规行为、执法和潜在的纪律处分。所有员工都可以在内部Confluence页面上轻松访问这些政策。

问:信息安全责任如何与处理客户数据的员工沟通?的频率?

BetterUp信息安全政策、标准和指导方针发布在一个合流页面上,所有员工都可以访问。所有符合逻辑访问BetterUp系统的员工、教练和内部承包商都必须在受雇时和以后的年度中承认可接受使用政策(AUP)。

BetterUp对所有员工(包括管理层)都有强制性的安全意识和培训计划,其中包括:
  1. 就如何实施和遵守其信息安全计划进行培训;
  2. 透过高层定期与员工沟通,推广保安意识文化。
此外,所有BetterUp员工每年都必须完成隐私、性骚扰和道德意识培训。

脆弱性管理

问:你们是否进行外部评估?频率如何?

是的,外部评估至少每年进行一次。

问:您如何知道您的网络、服务器和应用程序中是否存在新的漏洞?

BetterUp托管在AWS美国东部和西部地区。生产环境托管在一个私有空间(微分段)中,由Salesforce公司Heroku管理。Heroku负责网关(防火墙,VPC等)和基础设施(OS, AMI, DB实例等)。BetterUp利用AWS和Heroku服务进行备份。AWS和Heroku已通过SOC 2和ISO 27001认证。BetterUp已经与独立第三方签约,每年使用OWASP前10名进行应用渗透测试和静态代码分析。根据保密协议的书面要求,可以与客户共享中等及以上级别漏洞的执行摘要报告。

安全事件响应

问:你能否为所有已知和/或怀疑的安全事件提供通知?

不。BetterUp是一个多租户系统,受影响的客户将在确认安全漏洞时收到通知。

问:你们是否提供24x7x365的安全事件响应支持?

不。BetterUp没有为安全事件响应提供单独的SLA。有关更多信息,请参阅客户支持sla。

业务连续性管理

问:数据多久备份一次?

BetterUp根据需要执行每日、每周和每月备份。

问:你们是否提供你们的恢复点/时间目标(rpo / rto)?

客户可以在https://status.betterup.co/上按需监控我们的平台。客户还可以使用相同的链接查看我们的历史正常运行时间。BetterUp与知名的独立第三方签订了业务影响分析(BIA)合同,帮助我们建立恢复点和恢复时间目标(RPO/RTO)。我们的独立第三方审计师在SOC 2 Type II报告中也证实了这些信息的存在。

移动应用安全

问:密码/凭据是否存储在移动设备上?

不。BetterUp不存储凭据。BetterUp使用一个刷新令牌来保持会话活动。

问:下载betterup手机应用的能力是否受到限制?

不。任何可以访问Apple商店和/或谷歌Play商店的会员都可以下载BetterUp移动应用程序。

终端安全

问:用户的笔记本电脑加密了吗?

是的。BetterUp拥有和管理的笔记本电脑都是加密的。

问:用户是否有本地管理员权限?

是的。BetterUp员工、教练和内部承包商必须承认可接受使用政策(AUP)。

问:你用什么恶意软件保护?

BetterUp使用Falcon作为其下一代AV解决方案。

问:是否启用usb端口?

是的。从前端执行批量下载客户数据的功能被禁用。

问:是否安全删除/处理数据?

是的。拥有和管理得更好的设备,如笔记本电脑,可以安全地擦除七(7)次或同等次数。

加密密钥管理

Q:你们支持自带钥匙吗?

不。BetterUp是一个多租户系统,目前不支持BYOK。

问:加密密钥旋转的频率是多少?

BetterUp使用AWS的全管理KMS。

第三方风险管理

问:你是否监控你的供应商和供应商的安全态势和漏洞?

是的。BetterUp平台使用第三方供应商和服务,如AWS, Heroku和TokBox。有关更多信息,请参阅SOC 2 Type II报告III C和H部分。BetterUp使用第三方服务解决方案来持续监控我们主要供应商的安全状况。

服务水平协议(sla)

问:你们提供支援服务吗?

是的。我们在合同/协议中提供服务水平协议。

问:你们提供24/7/365的支持吗?

BetterUp的客户服务团队具备同情心地解决大多数关注和问题,并可以根据需要分类或升级问题。这个团队全天候待命。
Baidu
map