Pematuhan

ISO

Pusat data kami diperakui ISO 27001, 27017, 27018. Untuk maklumat lebih lanjut, lihat butiran daripada rakan hosting kami .

ISO 27001 adalah piawaian keselamatan maklumat yang diakui secara meluas dan diterima secara antarabangsa yang menentukan amalan terbaik pengurusan keselamatan dan kawalan keselamatan yang komprehensif mengikuti panduan amalan terbaik ISO 27002.

ISO 27017 adalah standard yang memberikan panduan tambahan dan nasihat pelaksanaan mengenai aspek keselamatan maklumat khusus untuk pengkomputeran awan.

ISO 27018 menetapkan objektif, kawalan dan panduan kawalan yang diterima umum untuk melaksanakan langkah-langkah untuk melindungi Maklumat Pengenalpastian Pribadi (PII) sesuai dengan prinsip privasi yang ditentukan untuk persekitaran pengkomputeran awan awam.

GDPR

Sebagai syarikat Norway, kami sepenuhnya mematuhi GDPR. Anda boleh mendapatkan dasar kami mengenai privasi dan pemprosesan data dalam syarat perkhidmatan kami. Untuk senarai subproses kami sila hubungi kami.

Peraturan Perlindungan Data Umum (EU) 2016/679 (GDPR) adalah peraturan dalam undang-undang EU tentang perlindungan data dan privasi di Uni Eropa (EU) dan Kawasan Ekonomi Eropah (EEA). Ini juga menangani pemindahan data peribadi di luar kawasan EU dan EEA.

SOC

Laporan Keselamatan, Ketersediaan & Kerahsiaan. Untuk maklumat lebih lanjut, lihat perincian dari rakan hosting kami .

SOC1 Type 2 adalah pemeriksaan bebas terhadap kawalan dan pengendalian IT Umum mengenai ketersediaan, kerahsiaan dan keselamatan data pelanggan yang diproses yang relevan untuk pelaporan kewangan pelanggan.

Laporan SOC2 Jenis 2 yang terhad untuk digunakan adalah pemeriksaan bebas terhadap kewajaran penyampaian dan kesesuaian reka bentuk kawalan yang berkaitan dengan keselamatan, ketersediaan dan kerahsiaan data pelanggan yang diproses.

Laporan penggunaan umum SOC3 adalah pemeriksaan bebas terhadap kewajaran penyampaian dan kesesuaian reka bentuk kawalan yang berkaitan dengan keselamatan, ketersediaan dan kerahsiaan data pelanggan yang diproses.

PCI DSS

MakePlans tidak menyimpan butiran kad kredit tetapi bergantung pada rakan kongsi yang diperakui untuk penghantaran dan penyimpanan yang selamat.

PCI DSS adalah standard keselamatan global untuk semua entiti yang menyimpan, memproses, atau menghantar data pemegang kad dan / atau data pengesahan sensitif

Secure Development

Access Control

MakePlans treats security as a top priority. Our access granting process is designed to follow the principle of least privilege and we authenticate using SSO with hardware tokens as a mandatory second factor.

Device Security

We standardize on macOS devices. All devices are encrypted, and secure device configuration is enforced.

Development Process

We use a pull-request based approach with code reviews and CI/CD pipelines. Every change is tested with automated tests, dependencies are checked for known vulnerabilities, and the code is scanned for security issues.

Infrastructure Security

Hosted on AWS

Our infrastructure is hosted on AWS, which maintains internationally recognized compliance certifications (including ISO 27001 and SOC 2). They maintain industry-leading security practices and provide best-in-class environmental and physical protection for the services and infrastructure. Learn more about AWS security on their Cloud Security page.

Data Encryption

All data is encrypted at rest and in transit. We regularly scan our TLS configuration and ensure that our services only allow HTTPS traffic with HSTS enabled.

Separation of Environments

Non-production environments are separated from production, both in terms of network and access control. Production data is never used for testing purposes.

Audit Logging

We make sure to collect logs from our services to ensure proper auditing without logging sensitive data.

High Availability

Our infrastructure is designed for high availability. Data is backed up to multiple locations for at least 30 days, and we have disaster recovery plans that are tested regularly.

Subprocessors

We perform due diligence on all data processors and minimize the number of third parties involved. A list of our subprocessors is available.

Organization Security

Personnel

MakePlans has a small, highly technical team that treats security as a top priority. Employees sign an NDA, follow security policies and participate in role-specific internal security training.

Incident Response

We have established procedures for responding to security and privacy incidents related to our products and services. We publish a point of contact for security researchers.

Risk Management

We conduct regular risk assessments and internal evaluations of our information security management system, our infrastructure, and all internal processes.

Security Vulnerability Disclosure

If you believe you have found a security vulnerability in MakePlans, or have any other security concerns, please see information about bug bounty or contact us at hello@makeplans.com.

Mula menerima janji dalam talian hari ini!