请求演示
    请求演示

      专为成长而设计的安全体验

      您的数据安全和隐私是BetterUp的首要任务,我们珍视您对我们平台产品的信任。

      trust-and-security-enterprise-grade

      企业级安全

      安全和隐私是我们如何继续增强客户信任的核心,BetterUp投入巨资保护客户数据的机密性、完整性、可用性、安全性和隐私。BetterUp持续评估并实施其他措施,以帮助改进我们的安全计划并应对不断变化的威胁。

      Icon_01
      班级语调最好 BetterUp有一个活跃的信息安全委员会ISC。执行领导层和BetterUp董事会定期更新信息安全计划的整体安全威胁、卫生和成熟度。
      Icon_02
      一流的安全认证 BetterUp通过了SOC 2 II类认证,我们将继续努力提高并获得可靠的行业认证/认证。
      Icon_03
      鲁棒共享安全模型 BetterUp使用AWS美国区域与多个可用区(Multi-Az)模型。生产环境由Salesforce公司Heroku管理。Heroku的托管PaaS包括私有空间(也就是微段)中的Web应用程序防火墙(WAF)。AWS和Heroku有几个安全和隐私认证,包括SOC 2 Type II和ISO 27001。

      认证、标准和法规

      保护您的公司和员工的数据是我们的首要任务。我们每天遵守国际隐私、安全和保密协议、规定和要求,赢得您的信任。

      SOC 2类型II
      SOC 2类型II
      gdpr
      GDPR
      ccpa
      CCPA
      专家
      风险智能程序
      风险驱动的信息安全计划包括行政、技术和物理保障措施,以符合适用的要求、标准和最佳实践。
      ondemand-a_2321
      安全保障套件
      BetterUp维护一套全面的信息安全策略,这些策略会按照预定义的时间表定期进行审查、更新和批准。
      专用的
      专门小组
      BetterUp拥有专门的信息安全团队,以确保BetterUp产品和客户数据得到保护。

      风险管理:BetterUp安全的基础

      风险管理是BetterUp信息安全计划的基础。BetterUp定期进行行业标准的安全风险评估,以识别、分析、监控和应对风险。

      我们的多面方法还包括使用多个输入源,如漏洞评估、渗透测试和其他形式的安全审查,以捕获我们的安全态势的整体状态。

      对风险处理进行战略规划,并与关键涉众确定优先级,以确保与安全和业务目标保持一致。在信息安全风险的审查和管理中,与ISC的跨职能合作是不可或缺的。

      trust-and-security-program-governance-1
      trust-and-security-program-governance-2

      项目治理

      BetterUp的资讯保安委员会(ISC)是一个管理机构,由BetterUp的跨职能管理代表组成。ISC定期召开会议,为信息安全计划提供建议、确定优先级并使之成为可能。

      Icon_PeopleSecurity_01c
      人民安全
      制定了相关流程和政策,以确保我们的员工在其最佳旅程中的安全。
      Icon_DataSecurity_01c
      数据安全
      保持数据的安全性和私密性是BetterUp的首要任务。我们在设计保护您的数据的产品时遵循全球安全和隐私原则。
      Icon_SecureDev_01c
      安全发展
      BetterUp使用支持敏捷开发原则的安全编码标准和实践。
      图标\u监视器响应\u 01c
      监测和反应
      管理监控机制和响应程序,以提高在面对安全威胁时的意识和弹性。
      Icon_PenetrationTest_01c
      渗透测试
      在我们的安全开发实践中进行独立的渗透测试和自动化测试,以识别和缓解漏洞。
      Icon_FAQ_01c
      常见问题
      浏览我们的常见问题部分,了解客户常见问题的答案和详细信息。

      人民安全

      人事安全管理

      BetterUp通过使用身份和访问管理(IAM)解决方案,维护既定的政策和程序,使用自动化流程来标准化员工入职和离职。在入职前,根据BetterUp的招聘程序,对新员工、临时员工和教练进行背景调查。保密协议和可接受的使用条款对每一方都有各自的分类。

      安全意识培训

      为了促进一种文化,使BetterUp的员工能够以安全的方式保护数据和信息,BetterUp维持一个全面的安全意识培训计划,以解决一般和基于角色的安全培训问题。

      政策沟通与执行

      人员安全政策在内部进行沟通,并可在集中地点供参考。已知违反政策的行为遵循既定的纪律和执行程序。

      数据安全

      加密

      BetterUp的数据在传输和存储过程中使用行业标准的密码和方法进行加密。这包括使用AES-256和TLS加密密码。加密密钥存储安全,访问受限。高级加密适用于各种应用程序基础设施层,可以包括磁盘加密、应用程序加密和数据库加密。禁止共享加密密钥,并每年审查密钥管理程序。

      产品的访问控制

      BetterUp提供了许多机制,以帮助客户保持他们的数据安全和控制访问。这包括一系列基于最小特权原则的控制。客户可以配置双因素身份验证,我们鼓励所有客户支持通过SAML集成到他们的联邦身份提供者。BetterUp的平台可以在台式机、笔记本电脑和移动设备上完全响应。它支持用于单点登录(SSO)和用户身份验证的行业标准SAML 2.0。收集安全事件和审计日志并持续监控,以检测和响应异常行为。

      BetterUp教练和员工访问BetterUp信息系统和资源需要多因素认证(MFA)。访问是通过一个中央目录系统来控制的,访问是根据最小权限原则来限制和授予的。

      BetterUp平台通过实现基于角色的访问功能,为会员、教练和项目负责人提供用户友好的体验。

      网络控制

      BetterUp平台建立在隔离的私有网络上,在VPC内部使用安全组和防火墙。所有入站和内部流量都被限制到跨有限组机器的特定端口。在入口和防火墙之外的网络中,所有流量速率、源和类型都被积极地监控。BetterUp使用应用程序容器技术和唯一标识符在逻辑上隔离客户数据,这确保了对客户数据的访问仅限于该客户。

      数据保留与处理

      客户数据将在收到书面请求后删除。根据需要保留数据,以满足数据分类和/或外部要求。制定了安全处置包含客户数据的有形财产的流程,并考虑了现有技术,因此无法实际读取或重建客户数据

      安全开发生命周期(SDL)

      敏捷开发

      BetterUp有一个专门的跨职能团队来推动支持敏捷开发原则的安全开发生命周期(SDL)。

      该小组负责协调、沟通、改进、开发和遵守我们流程中的安全控制。为了及时交付安全、高质量的产品,BetterUp利用自动化的安全测试来识别源代码、依赖关系和底层基础架构中的任何潜在漏洞,然后再发布给我们的客户。

      静态应用安全测试(sast)

      BetterUp分析应用程序源代码以确定bug、技术债务和安全漏洞。工程团队遵守严格的评分标准,以确保我们产品中代码的安全性以及质量。任何不符合这些标准的代码在解决之前都不会发布。

      依赖项和第三方库扫描

      BetterUp分析项目依赖性以确定漏洞。严格的评分标准可防止产品中存在易受攻击的依赖项,直到工程团队解决该问题。

      动态应用安全测试(dast)

      BetterUp经常对平台运行自动的web应用程序扫描。这允许在开发过程的早期发现bug、常见的利用、安全漏洞和问题。通过自动化这种方法,BetterUp能够为我们的客户提高我们平台的质量和安全性。

      集装箱安全

      BetterUp对所有容器图像执行漏洞评估,以检测在给定容器上运行的任何脆弱软件。严格的评分标准防止运输易受攻击的集装箱,直到工程团队解决。部署需要一个及格的分数。

      代码标准和基于角色的访问控制

      为了与业界最佳实践保持一致,BetterUp开发了源代码控制标准的基线,以便在支持我们平台的代码存储库周围提供适当的卫生。这些标准是在整个公司范围内制定的,并已部署自动化来实施这些标准。自动实施的标准包括但不限于:基于角色的访问控制、最低权限、代码和存储库所有权、职责分离、分支保护和机密管理。

      安全监控与响应

      日志记录和监控

      BetterUp的安全日志使用集中的安全信息和事件管理(SIEM)解决方案进行收集、聚合和关联。采用了行业标准的日志保护机制,以确保生成的日志的完整性。BetterUp聘请一家托管安全服务提供商(MSSP)提供监控和响应服务。

      事件响应

      BetterUp有适当的安全事件响应程序,一旦发生任何安全违规事件,将遵循该程序。这些程序包括涵盖角色和职责、调查、沟通、事件记录和要采取的补救措施的领域。

      应急计划

      通过使用AWS和Heroku提供的数据复制和备份服务来保护数据的可用性。根据定义的计划定期捕获数据备份。备份跨多个高可用性区域存储。BetterUp利用自动扩展功能集中部署备份策略,以跨BetterUp的AWS资源配置、管理和管理备份活动。

      维护业务连续性和灾难恢复计划和流程,以应对可能损坏客户数据或包含客户数据的生产系统的紧急或不利事件。数据恢复测试每半年完成一次,采用基于最佳实践和各种场景的方法。测试结果使BetterUp能够验证备份数据的完整性,确保实现恢复点和时间目标(RPO/RTO)。

      渗透测试

      渗透测试

      BetterUp利用第三方对我们的应用、服务和业务整体进行独立渗透测试。这导致我们的产品和流程不断更新,以提高安全性和可靠性。这些评估是持续的遵从性和安全性需求的一部分,以保持BetterUp作为可信任的服务提供商。

      根据共同保密协议,客户可以获得一份面向客户的编辑过的执行摘要。

      常见问题

      初始入职和数据加载

      问:贵公司如何安排社员的初步入职?

      BetterUp是一个仅限邀请的平台,将邀请链接发送给手动添加的特定个人。该成员可以访问BetterUp平台并上传CSV文件以邀请剩余的参与者。

      问:需要什么数据?

      BetterUp需要成员提供姓名、姓名和电子邮件地址,以便访问平台。选择使用我们的移动应用程序的会员将被要求提供他们的移动电话号码。我们的许多客户还向我们提供诸如头衔、部门和位置等信息。这只是一个具有代表性的样本,并不是一个全面的清单。

      问:如何将数据加载到BETTERUP?

      BetterUp支持三种数据上传选项:
      1. 授权个人可以上传和附加所需的数据。
      2. 授权人员可以手动将此文件发送/转发到分配的部署管理器或打开Helpdesk票据。
      3. BetterUp可以根据具体情况帮助建立安全的文件传输,如S-FTP。
      4. BetterUp支持与HRIS系统(如Workday)的定制集成。

      数据保护

      问:如何保护客户的静止数据和传输数据?

      BetterUp的数据在传输和存储过程中使用行业标准的密码和方法进行加密。这包括使用AES-256和TLS加密密码。使用完全由AWS管理的密钥管理服务(KMS)安全存储加密密钥,访问权限有限。

      BetterUp是一个多租户系统,不支持客户自带密钥(BYOK)。高级加密适用于各种应用程序基础设施层,可以包括磁盘加密、应用程序加密和数据库加密。

      问:您是否支持由租户决定的对存档和备份数据的安全删除(例如消磁/加密删除)?

      BetterUp有一套数据删除和媒体净化政策、标准和指导方针。作为SOC 2 Type II报告的一部分,这些政策和相关控制的存在已由独立审计师验证。如客户书面要求删除数据,BetterUp应在客户提出要求后三十(30)天内,从所有BetterUp存储媒体(包括云提供商的存储服务)删除客户数据。除非另有指示或依据适用法律,BetterUp将保留数据七(7)年。根据要求,BetterUp将向客户提供已删除数据的日志或副本。

      基于云计算的(AWS)媒体:当AWS确定媒体已经达到其使用寿命的终点,或它经历了硬件故障,AWS遵循国防部(DoD) 5220.22-M(“国家工业安全计划操作手册”)或NIST SP 800-88(“媒体消毒指南”)中详细描述的技术,销毁数据,作为退役过程的一部分。欲了解更多信息,请浏览AWS网站: https://aws.amazon.com/compliance/data-center/controls/

      问:您的数据共享和保留政策和做法是什么?

      BetterUp平台使用第三方供应商和服务,如AWS、Heroku和TokBox。有关更多信息,请参考SOC 2 II类报告第三节C和H。除非另有指示或根据适用法律,BetterUp将保留数据七(7)年。

      Q:客户数据托管在哪里?

      客户数据托管在美国。

      问:客户数据是如何分离/细分的?

      BetterUp是一个多租户平台,客户数据使用应用程序代码、基于角色的访问控制和其他各种技术进行逻辑隔离。BetterUp的生产环境托管在Heroku的私人空间(又名微段)。

      访问控制

      问:是否支持与ACTIVE DIRECTORY、AZURE或OKTA等身份提供商(IDP)的集成?

      是的。BetterUp有几个客户使用ADFS、Azure或Okta进行单点登录(SSO)集成。

      问:密码在静止状态下是如何加密的?

      BetterUp支持标准的SAML 2.0认证集成。对于不使用SAML的客户,使用BCrypt等安全算法对密码进行加密。

      问:您是否向客户提供用户管理角色/权限?

      不需要。BetterUp支持RBAC模型,细粒度权限是在应用程序中构建的。客户需要提交申请单才能请求任何角色更改。

      问:描述你的终止和访问删除过程?

      客户可以通过电子邮件向BetterUp支持团队提交帐户终止请求 support@betterup.co

      BetterUp为我们的内部员工和承包商实现了自动离职。

      问:你们的哪些员工可以访问客户数据?为什么?

      BetterUp采用最低特权原则,以“需要知道”为基础限制访问。根据工作职责,对客户数据的访问仅限于特定的一组个人,如客户护理代理、部署管理人员和生产支持工程师。BetterUp平台利用基于角色的访问控制(RBAC)模型,并且在应用程序中构建了细粒度的权限来启用RBAC模型。

      问:你们是否定期进行会员访问审查?

      BetterUp对BetterUp平台的访问和管理资源进行季度回顾,以帮助确保员工的访问是适当的。通过评审确定的任何问题都要进行沟通和解决。

      问:你使用多因素身份验证(mfa)吗?

      是的。Betterup利用NIST 800-63b指南认证直接访问Betterup拥有和管理的资源的员工和教练。要求员工和教练使用MFA (Multi-Factor Authentication)进行密钥应用和特权访问。

      安全日志和监控

      问:您是否有安全信息和事件管理(SIEM)解决方案?

      对BetterUp拥有下一代SIEM解决方案。

      问:你们有数据泄漏预防(dlp)解决方案吗?

      是的。BetterUp有一个下一代的DLP解决方案。

      问:什么审核程序被用来记录和审查你的员工所执行的行动?

      BetterUp收集对关键信息系统的访问和审核日志。BetterUp每季度审查一次该访问。

      问:你们向客户提供安全日志吗?

      否。BetterUp是一个多租户系统,任何客户都不能使用日志。

      人民安全

      问:你们是否对所有员工和教练进行背景调查?

      是的。BetterUp已经与一家外部机构签约,对其所有员工进行背景调查。这些供应商和报告由人力资源部门管理,包括以下内容:
      1. 身份检查
      2. 犯罪记录检查
      3. 学历、资格或其他声称的技能的证明
      4. 在需要的地方进行入境检查
      5. 通过使用工作许可或类似文件来核实就业权利
      6. 以前的工作背景调查
      7. 核实前五(5)年的雇佣日期
      作为服务合同的一部分,第三方必须对其雇员进行背景调查。

      问:你是否要求员工和教练签署/确认任何可接受的使用政策?

      对BetterUp要求所有员工、教练和内部承包商确认可接受的使用政策(AUP)。

      问:是否为组织政策规定并传达了纪律处分?

      对所有信息安全政策(包括AUP)都规定了违规、强制执行和可能的纪律处分。所有员工都可以在内部汇流页面轻松访问这些策略。

      问:如何向处理客户数据的员工传达信息安全责任?的频率?

      BetterUp信息安全政策、标准和指南发布在一个聚合页面上,所有员工都可以访问该页面。所有能够合理使用BetterUp系统的员工、教练和内部承包商,在受聘时和之后每年都必须确认可接受使用政策(AUP)。

      BetterUp对所有员工(包括管理层)都有强制性的安全意识和培训计划,包括:
      1. 培训如何实施和遵守其信息安全计划;
      2. 通过高层与员工的定期沟通,促进安全意识的文化。
      此外,BetterUp所有员工每年都必须完成隐私、性骚扰和道德意识培训。

      脆弱性管理

      问:你们是否进行外部评估,频率是多少?

      问:您如何知道您的网络、服务器和应用程序中是否存在新的漏洞?

      问:您如何知道您的网络、服务器和应用程序中是否存在新的漏洞?

      BetterUp托管在AWS美国东部和西部地区。生产环境托管在一个由Salesforce公司Heroku管理的私有空间(微段)中。Heroku负责网关(防火墙、VPC等)和基础设施(OS、AMI、DB实例等)。BetterUp利用AWS和Heroku的服务进行备份。AWS和Heroku已经通过了SOC 2和ISO 27001认证。BetterUp与一个独立的第三方签订了合同,每年使用OWASP top10执行应用渗透测试和静态代码分析。根据保密协议(NDA)的书面要求,可向客户提供一份包含中等及以上级别漏洞状态的执行摘要报告。

      安全应急响应

      问:您能否就所有已知和/或可疑的安全事件提供通知?

      否。BetterUp是一个多租户系统,受影响的客户将收到确认安全漏洞的通知。

      问:你们为安全事件响应提供24x7x365支持吗?

      否。BetterUp没有为安全事件响应提供单独的SLA。有关更多信息,请参阅客户支持SLA。

      业务连续性管理

      问:多久备份一次数据?

      BetterUp根据需要执行每日、每周和每月备份。

      问:你们有没有提供恢复点/时间目标(rpo / rto)?

      客户可以通过https://status.betterup.co/对我们的平台进行按需监控。客户也可以使用相同的链接查看我们的历史正常运行时间。BetterUp与知名的独立第三方签订合同,执行我们的业务影响分析(BIA),并帮助我们建立恢复点和恢复时间目标(RPO/RTO)。现有的这些信息也已由我们的独立第三方审计师在SOC 2 Type II报告中证实。

      移动应用安全

      问:密码/凭据是否存储在移动设备上?

      不。BetterUp不存储凭据。BetterUp使用一个刷新令牌来保持会话活动。

      问:下载BETTERUP移动应用程序的能力是否受到限制?

      不会。任何访问苹果商店和/或谷歌游戏商店的会员都可以下载BetterUp移动应用程序。

      端点安全

      问:用户的笔记本电脑是否加密?

      对BetterUp拥有和管理的笔记本电脑是加密的。

      问:用户有本地管理员权限吗?

      对BetterUp员工、教练和内部承包商必须承认可接受的使用政策(AUP)。

      问:你使用什么恶意软件保护?

      BetterUp使用Falcon作为其下一代AV解决方案。

      问:usb端口启用了吗?

      对无法从前端批量下载客户数据。

      是否执行了数据的安全删除/处置?

      是的。拥有和管理得更好的设备,如笔记本电脑,会被安全地擦除七(7)次或同等的数据。

      加密密钥管理

      问:你支持“自带钥匙”吗?

      不。BetterUp是一个多租户系统,目前不支持BYOK。

      问:加密密钥的轮换频率如何?

      BetterUp使用AWS的完全管理KMS。

      第三方风险管理

      问:你是否监控你的供应商和供应商的安全状况和违规情况?

      对BetterUp平台使用第三方供应商和服务,如AWS、Heroku和TokBox。有关更多信息,请参考SOC 2 II类报告第三节C和H。BetterUp使用第三方服务解决方案持续监控我们主要供应商的安全态势。

      服务水平协议(sla)

      问:你们提供支持服务吗?

      是的。我们在合同/协议中提供服务水平协议。

      问:您是否提供全天候支持?

      BetterUp的客户服务团队具备以同理心解决大多数关注和问题的能力,并能根据需要对问题进行分类或升级。这个团队是24x7x365。
      Baidu