אבטחה
סקירת אבטחה
Besticoder מפעילה פלטפורמת תוכנה כשירות רב-דיירית (multi-tenant) בשימוש גלובלי ב-vmoox.com וב-app.vmoox.com. דף זה מתאר את גישת האבטחה הכללית שלנו ומבהיר אחריות בין Vmoox ללקוחות.
מידע זה מסופק לשקיפות בלבד. הוא אינו אחריות, התחייבות לרמת שירות או ייעוץ משפטי.
אין אחריות לאבטחה מוחלטת
בעוד שאנו פועלים להגן על השירות באמצעים מסחריים סבירים, אף שירות מקוון אינו יכול להיות מובטח כמאובטח לחלוטין. Vmoox אינה מתחייבת לאבטחה בלתי מופסקת, לתפעול ללא שגיאות או לחסינות מפני גישה לא מורשית, אובדן נתונים, תוכנות זדוניות או התקפות צד שלישי.
אתה משתמש בשירות על אחריותך ועליך ליישם בקרות מתאימות בארגונך בהתאם לרגישות הנתונים ולחובות הרגולטוריות שלך.
אחריות אבטחה של הלקוח
אתה אחראי באופן בלעדי לאבטחה, לסודיות, לשלמות, לזמינות, לתאימות ולגיבוי של נתונים ופעולות בתוך סביבות העבודה שלך. זה כולל הקצאה וביטול משתמשים, בקרת גישה מבוססת תפקידים, אימות חזק, ניהול סודות, הגדרת אינטגרציות מאובטחת, בדיקת ספקים, הדרכת עובדים, תגובה לאירועים בארגונך ועמידה בחוקים החלים על התעשייה והגיאוגרפיה שלך.
Vmoox אינה אחראית לאירועים הנובעים מסיסמאות חלשות, אישורים משותפים, הרשאות מוגזמות, אוטומציות שגויות, מכשירי לקוח שלא עודכנו, פריצות צד שלישי או אי-תחזוקת גיבויים עצמאיים.
אמצעי פלטפורמה שאנו עשויים ליישם
אנו עשויים להשתמש באמצעי הגנה נפוצים בתעשייה כגון הצפנה בתעבורה (TLS), הצפנה במנוחה היכן שנתמכת בתשתית שלנו, הפרדה לוגית של סביבות עבודה, הרשאות מבוססות תפקידים, רישום, ניטור, תהליכי ניהול פגיעויות ובקרות גישה לכוח אדם של Vmoox על בסיס צורך לדעת.
בקרות ספציפיות עשויות להתפתח לאורך זמן ולהשתנות לפי תכונה, תוכנית או הגדרת פריסה. התיאורים בדף זה הם ברמה גבוהה ואינם ממצים.
בידוד סביבת עבודה ובקרת גישה
נתוני סביבת עבודה מופרדים לוגית במסגרת ארכיטקטורת הפלטפורמה. הרשאות מבוססות תפקידים נועדו להגביל מה חברי סביבת העבודה יכולים לצפות או לשנות בהתאם להגדרת המנהל.
בידוד יעיל תלוי בניהול נכון מצדך. תפקידים שגויים, חשבונות מנהל משותפים או שיתוף חיצוני של ייצואים עלולים לערער בידוד למרות בקרות הפלטפורמה.
אינטגרציות וסיכון צד שלישי
חיבורים ל-API ולפלטפורמות מסרים של צד שלישי מוסיפים משטחי סיכון מחוץ לשליטה הישירה של Vmoox. צדדים שלישיים עשויים לשנות דרישות אבטחה, לבטל אסימונים, לדלוף אישורים או לסבול הפסקות ופריצות.
אתה אחראי להעריך סיכון אינטגרציה, לסובב אישורים, להגביל היקפים ולנטר הודעות אבטחה של צד שלישי. Vmoox אינה אחראית לאירועי אבטחה המקורם במערכות צד שלישי.
גיבויים ושחזור נתונים
אתה אחראי לתחזק אסטרטגיית גיבוי ושחזור משלך לנתונים קריטיים לעסק, כולל ייצואים ועותקים מיותרים המאוחסנים מחוץ לשירות היכן שמתאים.
כל גיבוי או snapshot פנימי של הפלטפורמה שאנו שומרים, אם בכלל, מיועדים להמשכיות תפעולית ושחזור אסון של השירות עצמו—ולא תחליף לגיבויים בשליטת הלקוח. Vmoox מוותרת על אחריות לאובדן נתונים במידה המרבית המותרת על פי חוק.
אירועי אבטחה והודעה
אם נודע לנו על אירוע אבטחה המשפיע על הפלטפורמה ופוגע מהותית בסודיות נתוני חשבון לקוחות תחת שליטתנו, ננקוט צעדים סבירים לחקור, למתן ולהודיע ללקוחות או לבקרים מושפעים כנדרש על פי דין והסכמים.
אתה אחראי להודיע למשתמשים, לרגולטורים ולנפגעים היכן שתפקידך כבקר מחייב הודעה על אירועים בארגונך או באינטגרציות שאתה מנהל.
גילוי פגיעויות אחראי
אם אתה סבור שגילית פגיעות אבטחה בשירות, פנה ל-support@vmoox.com עם פרטים מספיקים לשחזור הבעיה. אין לפרסם פגיעויות בפומבי עד שתינתן לנו הזדמנות סבירה לחקור ולתקן.
איננו מאשרים בדיקות חדירה (penetration testing) למערכות ייצור ללא אישור מראש בכתב. בדיקה לא מורשית עשויה להפר חוק ותנאים אלה.
תאימות והסמכות
אלא אם נאמר במפורש בהסכם חתום, Vmoox אינה מצהירה שהשירות עומד במסגרת רגולטורית ספציפית לשימוש שלך, כולל HIPAA, היקף PCI DSS לסביבתך, או משטרים סקטוריים.
אתה אחראי לקבוע האם השירות מתאים לצרכי התאימות שלך וליישם בקרות משלימות.
יצירת קשר לאבטחה
פניות אבטחה ודיווחי פגיעויות: support@vmoox.com.
אנא כלול כתובות URL מושפעות, חותמות זמן, מזהי סביבת עבודה (אם רלוונטי) ומידע proof-of-concept המאפשר שחזור בטוח.