Conformità

ISO

Il nostro data center è certificato ISO 27001, 27017, 27018. Per ulteriori informazioni, vedere i dettagli del nostro partner di hosting .

ISO 27001 è uno standard di sicurezza delle informazioni ampiamente riconosciuto e accettato a livello internazionale che specifica le migliori pratiche di gestione della sicurezza e controlli di sicurezza completi seguendo la guida alle best practice ISO 27002.

ISO 27017 è uno standard che fornisce ulteriori indicazioni e consigli di implementazione sugli aspetti della sicurezza delle informazioni specifici per il cloud computing.

ISO 27018 stabilisce obiettivi di controllo, controlli e linee guida comunemente accettati per l'implementazione di misure per proteggere le informazioni di identificazione personale (PII) in conformità con i principi di privacy definiti per gli ambienti di cloud computing pubblico.

GDPR

In qualità di azienda norvegese, siamo pienamente conformi al GDPR. Puoi trovare le nostre politiche in materia di privacy e trattamento dei dati nei nostri termini di servizio . Per un elenco dei nostri subprocessori, contattaci.

Il Regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR) è un regolamento nel diritto dell'UE sulla protezione dei dati e la privacy nell'Unione europea (UE) e nello Spazio economico europeo (SEE). Affronta anche il trasferimento di dati personali al di fuori delle aree dell'UE e del SEE.

SOC

Rapporti su sicurezza, disponibilità e riservatezza. Per ulteriori informazioni, vedere i dettagli del nostro partner di hosting .

SOC1 Tipo 2 è un esame indipendente dei controlli generali IT e dei controlli sulla disponibilità, riservatezza e sicurezza dei dati dei clienti elaborati rilevanti per il reporting finanziario dei clienti.

Il rapporto SOC2 di tipo 2 limitato all'uso è un esame indipendente dell'equità di presentazione e dell'idoneità della progettazione dei controlli rilevanti per la sicurezza, la disponibilità e la riservatezza dei dati dei clienti elaborati.

Il rapporto SOC3 per uso generale è un esame indipendente dell'equità di presentazione e dell'idoneità della progettazione dei controlli rilevanti per la sicurezza, la disponibilità e la riservatezza dei dati dei clienti trattati.

PCI DSS

MakePlans non memorizza i dettagli della carta di credito ma si affida a partner certificati per la trasmissione e l'archiviazione sicura.

PCI DSS è lo standard di sicurezza globale per tutte le entità che archiviano, elaborano o trasmettono dati di titolari di carta e / o dati sensibili di autenticazione

Secure Development

Access Control

MakePlans treats security as a top priority. Our access granting process is designed to follow the principle of least privilege and we authenticate using SSO with hardware tokens as a mandatory second factor.

Device Security

We standardize on macOS devices. All devices are encrypted, and secure device configuration is enforced.

Development Process

We use a pull-request based approach with code reviews and CI/CD pipelines. Every change is tested with automated tests, dependencies are checked for known vulnerabilities, and the code is scanned for security issues.

Infrastructure Security

Hosted on AWS

Our infrastructure is hosted on AWS, which maintains internationally recognized compliance certifications (including ISO 27001 and SOC 2). They maintain industry-leading security practices and provide best-in-class environmental and physical protection for the services and infrastructure. Learn more about AWS security on their Cloud Security page.

Data Encryption

All data is encrypted at rest and in transit. We regularly scan our TLS configuration and ensure that our services only allow HTTPS traffic with HSTS enabled.

Separation of Environments

Non-production environments are separated from production, both in terms of network and access control. Production data is never used for testing purposes.

Audit Logging

We make sure to collect logs from our services to ensure proper auditing without logging sensitive data.

High Availability

Our infrastructure is designed for high availability. Data is backed up to multiple locations for at least 30 days, and we have disaster recovery plans that are tested regularly.

Subprocessors

We perform due diligence on all data processors and minimize the number of third parties involved. A list of our subprocessors is available.

Organization Security

Personnel

MakePlans has a small, highly technical team that treats security as a top priority. Employees sign an NDA, follow security policies and participate in role-specific internal security training.

Incident Response

We have established procedures for responding to security and privacy incidents related to our products and services. We publish a point of contact for security researchers.

Risk Management

We conduct regular risk assessments and internal evaluations of our information security management system, our infrastructure, and all internal processes.

Security Vulnerability Disclosure

If you believe you have found a security vulnerability in MakePlans, or have any other security concerns, please see information about bug bounty or contact us at hello@makeplans.com.

Inizia oggi ad accettare appuntamenti online!