Ładowanie Warunków świadczenia usługi...

Ładowanie Polityki Prywatności...

Bezpieczeństwo

Wraz z dynamicznym rozwojem świata cyfrowego ochrona danych osobowych i finansowych użytkowników staje się priorytetem. W Booksy bezpieczeństwo informacji to fundament naszej działalności. Każdą potencjalną kwestię bezpieczeństwa traktujemy z najwyższą powagą i nieustannie pracujemy nad ochroną danych naszych partnerów i klientów przed zagrożeniami. Poniżej przedstawiamy szczegóły naszego podejścia.

Szyfrowanie przechowywanych i przesyłanych danych
Zapewniamy bezpieczeństwo Twoich danych na każdym etapie przetwarzania – zarówno podczas ich przechowywania, jak i przesyłania. Dzięki zastosowaniu zaawansowanych metod szyfrowania, chronimy je przed nieautoryzowanym dostępem, zapewniając poufność i bezpieczeństwo.

‍Bezpieczeństwo transakcji płatniczych
Nie przechowujemy danych kart płatniczych na naszych serwerach. Zamiast tego współpracujemy z certyfikowanymi dostawcami płatności, którzy specjalizują się w bezpiecznym przetwarzaniu transakcji oraz wszelkich danych płatniczych. Wszyscy nasi dostawcy płatności posiadają certyfikat PCI DSS, co gwarantuje zgodność z najlepszymi praktykami w zakresie bezpieczeństwa i ochrony danych finansowych. Dodatkowo, nasze usługi hostingowe oparte na infrastrukturze Google spełniają najwyższe standardy bezpieczeństwa, zapewniając kompleksową ochronę Twoich danych na każdym etapie.

Bezpieczeństwo procesu rozwoju aplikacji
Bezpieczeństwo jest fundamentem naszej aplikacji już od najwcześniejszych etapów jej tworzenia. Stosujemy sprawdzone praktyki programistyczne i regularnie weryfikujemy wszystkie elementy oprogramowania wspierające jej działanie. Potencjalne zagrożenia eliminujemy na bieżąco, aby nasze systemy były zawsze aktualne i skutecznie chronione przed nowymi typami ataków.

‍Dostęp oparty na rolach
W Booksy dostęp do informacji i narzędzi jest przydzielany w zależności od pełnionej roli, zgodnie z zasadą „need-to-know, need-to-do”. Oznacza to, że pracownicy mają dostęp wyłącznie do tych danych i zasobów, które są niezbędne do wykonywania ich obowiązków. Takie podejście nie tylko zwiększa bezpieczeństwo, ale także chroni prywatność naszych użytkowników. Dzięki temu minimalizujemy ryzyko nieautoryzowanego dostępu do wrażliwych informacji, zapewniając poufność i zgodność z najwyższymi standardami ochrony danych.‍

Rygorystyczne testowanie i monitorowanie aplikacji
Nasz wewnętrzny zespół ds. bezpieczeństwa regularnie testuje nasze aplikacje pod kątem podatności. Dodatkowo corocznie przeprowadzamy testy penetracyjne (czyli kontrolowane i autoryzowane próby ataków na aplikacje, mające na celu praktyczną weryfikację zabezpieczeń)  z udziałem zewnętrznych, niezależnych audytorów. Nasze aplikacje są stale monitorowane, co pozwala nam wykrywać i szybko reagować na potencjalne ataki. Takie, proaktywne podejście, gwarantuje najwyższy poziom bezpieczeństwa i niezawodność działania naszych systemów.

Zaawansowane monitorowanie i rejestracja zdarzeń
Szybka reakcja na cyberzagrożenia oraz precyzyjne rejestrowanie zdarzeń i zgłoszeń odgrywają kluczową rolę w skutecznym zapobieganiu incydentom i ograniczaniu ich potencjalnych skutków. W Booksy korzystamy z zaawansowanych systemów monitorujących i alarmujących, które umożliwiają nam natychmiastowe identyfikowanie przyczyn i śledzenie przebiegu zdarzeń. Dzięki temu możemy błyskawicznie analizować sytuację i podejmować odpowiednie działania, w celu zapewnienia najwyższych standardów ochrony platformy przed zagrożeniami z zewnątrz. ‍

Program „Responsible Disclosure”
Dbamy o bezpieczeństwo naszych aplikacji i ich użytkowników i wierzymy, że współpraca ze społecznością w zakresie bezpieczeństwa to klucz do ciągłego doskonalenia.  Przy pomocy naszego programu zgłaszania zagrożeń („Responsible Disclosure”) zachęcamy wszystkich użytkowników, a w szczególności specjalistów ds. bezpieczeństwa, do zgłaszania i informowania nas o wszelkich zidentyfikowanych lukach w systemie. Takie podejście pomaga nam skutecznie zwiększać poziom bezpieczeństwa naszej platformy i jeszcze szybciej eliminować ewentualne ryzyka. Zobowiązujemy się do rozpatrywania wszystkich zgłoszeń dotyczących naszych zabezpieczeńz największą uwagą i w odpowiednim czasie, pod warunkiem przestrzegania zasad opisanych w polityce “Responsible Disclosure”. 

Szkolenia z zakresu bezpieczeństwa
Bezpieczeństwo naszych partnerów i klientów to priorytet Booksy. Dążymy do stworzenia niezawodnej platformy, która spełnia najwyższe standardy ochrony w cyfrowym świecie. Dynamicznie zmieniające się cyberzagrożenia wymagają ciągłego doskonalenia, dlatego w Booksy regularnie organizujemy szkolenia dla pracowników, koncentrując się na najnowszych standardach bezpieczeństwa i strategiach minimalizacji ryzyka. Dzięki temu nasz zespół jest zawsze gotowy do skutecznego działania, zapewniając zgodność z najlepszymi praktykami ochrony danych.

‍

Polityka “Responsible Disclosure”

Bezpieczeństwo systemów Booksy oraz danych przechowywanych przez naszą platformę jest dla nas priorytetem. Dokładamy wszelkich starań, aby skutecznie chronić informacje naszych partnerów i klientów przed potencjalnymi zagrożeniami. Jesteśmy otwarci na współpracę z użytkownikami oraz specjalistami ds. bezpieczeństwa, dlatego zachęcamy do zgłaszania wszelkich wykrytych luk w zabezpieczeniach naszej platformy. Każde zgłoszenie traktujemy z najwyższą uwagą i zobowiązujemy się do jego rzetelnego rozpatrzenia w odpowiednim czasie, pod warunkiem przestrzegania poniższych zasad:

I. DEFINICJE:

1. Booksy - Booksy International spółka z ograniczoną odpowiedzialnością, z siedzibą w Warszawie, adres: ul. Prosta 67, piętro 28, 00-868 Warszawa, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000515914.
2. Polityka - niniejsza polityka “Responsible disclosure”.
3. Hall of Fame - sekcja na stronie Booksy, gdzie publicznie wyróżnieni są użytkownicy zgłaszający istotne luki w zabezpieczeniach w sposób zgodny z niniejszą polityką. Publikowane są imiona i nazwiska osób, które przyczyniły się do wykrycia i zgłoszenia nowych, potwierdzonych problemów związanych z bezpieczeństwem platformy.

II. ZAKRES

1. Program “Responsible Disclosure” Booksy obejmuje następujące produkty:some text
   1. Aplikacja kliencka Booksy - https://booksy.com/
   2. Aplikacja biznesowa Booksy - https://booksy.com/biz/
   3. Aplikacje mobilne Boksy:some text
      1. Booksy dla klientów (Android, iOS)
      2. Booksy Biz: Dla firm (Android, iOS)
2. Zgłoszenia i raporty powinny dotyczyć jedynie luk zidentyfikowanych w produktach wymienionych w punkcie 1,  z uwzględnieniem zastrzeżeń określonych w punkcie 3 poniżej.
3. Prosimy o zgłaszanie krytycznych luk w zabezpieczeniach lub potencjalnych wycieków danych, nawet jeśli dotyczą produktów wyłączonych z zakresu określonego w punkcie 1.

III. ZGŁASZANIE PODATNOŚCI

1. Prosimy o przesyłanie raportów dotyczących potencjalnych luk w zabezpieczeniach na adres security@booksy.com.
2. W zgłoszeniu należy podać jak najwięcej informacji, w tym zrzuty ekranu, szczegółowe kroki w celu odtworzenia i zreplikowania podatności, wersje aplikacji, których dotyczy problem, oraz wszelkie inne informacje, które mogą pomóc w skuteczniejszej ocenie podatności.

IV. PROCEDURA UJAWNIANIA LUK W ZABEZPIECZENIACH

1. Użytkownik przekazuje szczegóły luki w zabezpieczeniach zespołowi ds. bezpieczeństwa, zgłaszając problem zgodnie z treścią punktu III niniejszej polityki.
2. Zgłoszenie jest weryfikowane przez zespół ds. bezpieczeństwa Booksy, a potencjalna podatność zostaje zreplikowana (tj. odtworzona przez Booksy za pomocą wskazówek przesłanych przez Użytkownika). Odpowiedź na zgłoszenie jest udzielana zazwyczaj w ciągu 2 dni roboczych.
3. Jeśli podatność zostanie uznana za istotną i zgłoszona zgodnie z warunkami niniejszej polityki, zespół produktowy Booksy rozpocznie proces opracowywania poprawek w celu jej wyeliminowania.
4. Po wyeliminowaniu podatności użytkownik zgłaszający zostanie o tym powiadomiony i, za jego zgodą, wyróżniony w sekcji "Hall of Fame".

V. OGÓLNE ZASADY WSPÓŁPRACY W ZAKRESIE ZGŁASZANIA PODATNOŚCI

1. W celu zapewnienia najwyższych standardów prywatności użytkowników i bezpieczeństwa platformy Booksy, prosimy o przestrzeganie następujących zasad współpracy podczas identyfikowania podatności:some text
   1. W żaden sposób nie ingeruj w niepubliczne dane Booksy (z wyjątkiem danych niezbędnych do udokumentowania i zgłoszenia potencjalnej luki w zabezpieczeniach).
   2. Nie próbuj uzyskiwać dostępu do danych należących do innych użytkowników Booksy ani ich modyfikować.
   3. Nie podejmuj prób ataków, które mogłyby zakłócić dostępność i niezawodność platformy i systemów Booksy (np. Ataki typu DoS).
   4. Nie używaj skanerów, narzędzi automatycznych ani żadnych innych metod, które mogą generować nadmierny ruch i negatywnie wpływać na obciążenie i dostępność systemów Booksy.
   5. Nigdy nie stosuj ataków nietechnicznych, takich jak socjotechnika, phishing, itp. wobec użytkowników i pracowników Booksy.
   6. Nie ujawniaj publicznie informacji o lukach w zabezpieczeniach bez naszej uprzedniej zgody (zgłaszanie podatności powinno odbywać się wyłącznie zgodnie z niniejszą polityką, a w szczególności z procedurą opisaną w punkcie IV powyżej).

VI. JAKIE PODATNOŚCI ZGŁASZAĆ?

1. Aby ułatwić replikację błędu, prosimy o przygotowanie PoC (czyli opisu wraz z dokładnymi wskazówkami np. z załączonym zrzutem ekranu lub skryptem potwierdzającym wykrytą podatność). Dobre udokumentowanie problemu pozwoli nam lepiej zrozumieć jego zakres oraz lokalizację w aplikacji.
2. Podatności brane pod uwagę w programie “Responsible Disclosure” Booksy:
   
   some text
   1. Podatności typu Injection;
   2. Podatności typu Cross-Site Scripting (XSS), występujące w aktualnych wersjach obsługiwanych przeglądarek
   3. Luki związane z procesami uwierzytelniania lub zarządzania sesją, umożliwiające nieautoryzowany dostęp do wrażliwych danych lub przejmowanie kont.
   4. Podatności umożliwiające zdalne wykonywanie kodu lub zdalny odczyt wrażliwych plików/danych (RCE, LFI, RFI, SSRF, XXE).
   5. Błędy związane z kontrolą dostępu (“privilege escalation”, IDOR, CSRF);
   6. Błędy związane z ujawnieniem wrażliwych informacji (PII, dane dotyczące rezerwacji, sekrety, wrażliwe klucze API, pliki konfiguracyjne)
   7. Podatności logiki biznesowej, umożliwiające ominięcie standardowych procesów biznesowych, związane z negatywnymi skutkami dla platformy Booksy lub jej użytkowników.
   8. Pozostałe podatności, które jednoznacznie negatywnie wpływają na bezpieczeństwo danych i systemów Booksy.
      
      
3. Podatności, które NIE są brane pod uwagę w programie “Responsible Disclosure” Booksy: some text
   1. Niewłaściwa konfiguracja nagłówków HTTP (chyba że można udowodnić rzeczywiste zagrożenie wynikające z takiej konfiguracji).
   2. Niewłaściwa konfiguracja SSL/TLS (chyba że można udowodnić rzeczywiste zagrożenie wynikające z takiej konfiguracji).
   3. Podatności Cross-Site Scripting (XSS) występujące wyłącznie w nieobsługiwanych lub przestarzałych przeglądarkach albo wymagające mało prawdopodobnych działań ze strony użytkownika.
   4. Podatności związane z enumeracją użytkowników lub adresów e-mail.
   5. Ujawnienia ścieżek plików lub problemy z obsługą błędów, które nie niosą znaczącego ryzyka.
   6. Ataki clickjacking lub phishing, które wykorzystują techniki socjotechniczne.
   7. Nieoptymalne polityki haseł.
   8. Tymczasowe ataki typu DoS i DDoS, polegające na obciążaniu zasobów (procesora, sieci lub pamięci) poprzez stały napływ żądań/pakietów.
   9. Luki bezpieczeństwa związane z brakiem odpowiedniej ochrony przed inżynierią wsteczną lub problemami po stronie klienta, które można wykorzystać wyłącznie na zainfekowanym urządzeniu.
   10. Ujawnienie informacji, które nie niosą za sobą znaczącego ryzyka (np. typ serwera).
   11. Nieoptymalna konfiguracja polityk bezpieczeństwa dotyczących e-maili (np. DKIM, DMARC).
       
       
4. W przypadku dodatkowych pytań dotyczących zakresu zgłoszeń, zachęcamy do kontaktu pod adresem mailowym security@booksy.com.

VII. WYRÓŻNIENIA

1. W przypadku zgłoszenia aktualnej i istotnej podatności (patrz punkt VI (2)), w ramach wyróżnienia umieścimy, dane zgłaszającego (za uprzednią zgodą) w sekcji Booksy Security Hall of Fame.
2. W szczególnych przypadkach, za zgłoszenie podatności o kluczowym (krytycznym) znaczeniu dla bezpieczeństwa Booksy, np. ujawniającej istotne dane lub dającej dostęp do najważniejszych funkcji systemu, Booksy może przewidzieć dodatkową nagrodę dla zgłaszającego.

VII. HALL OF FAME

Chcielibyśmy serdecznie podziękować poniższym osobom za ich wkład w poprawę bezpieczeństwa Booksy: 

2022

• Takshal Patel
• Mubassir Patel
• Nikhil Rane
• Shivansh Khari
• Sam Crowther
• Opinder Singh

‍

2023

• Mohamed Shibil
• Robert Muchacki

‍

Regulaminy promocyjne

2024

• Regulamin Świątecznej Kampanii Promocyjnej “Do X get Y”
• Regulamin Lead Magnet Booksy
• Regulamin Konkursu Booksy & Lash Me! in Warsaw 2024
• Regulamin Konkursu Letnia stylizacja z marką Semilac
• Regulamin organizacji webinaru “Jak przygotować się do kontroli sanepidu? Wymogi sanitarne w branży beauty” w dniu 03.10.2024

2023

• Regulamin akcji promocyjnej 1 miesiąc Booksy za 1 zł netto dla branży beauty
• Regulamin Programu Partnerskiego Booksy
• Regulamin akcji promocyjnej 1 miesiąc Booksy za 1 zł netto dla Pets
• Regulamin akcji promocyjnej - Black Friday

‍