Hoofdnavigatie overslaan
Pagina-inhoud

Beveiligings- en veiligheidshandleiding van Eventbrite


Veilig

Eventbrite voldoet aan PCI-DSS 3.2.1 niveau 1, als handelaar en als serviceprovider.

  • Zowel bij Visa als bij MasterCard geregistreerd als serviceprovider die aan PCI voldoet.
  • Regelmatig gecontroleerd door een erkende beveiligingsauditor (Coalfire, Inc.)
  • Doorstaat interne en externe applicatie- en netwerkpenetratietests die worden uitgevoerd door onafhankelijke beveiligingsfirma's.
  • Maandelijks gescand door een ASV (Approved Scanning Vendor, erkende leverancier van scanservices).
  • Verklaring van PCI-conformiteit (PCI Attestation of Compliance, AOC) is beschikbaar voor download.
  • Eventbrite heeft een multidisciplinair team in dienst dat verantwoordelijk is voor toezicht op de PCI-conformiteit.


SOC-compliant


  • Systems and Organization Controls (SOC)-rapporten van Eventbrite zijn onafhankelijke onderzoeksrapporten van derden die laten zien hoe Eventbrite belangrijke nalevingsdoelen behaalt.
  • Eventbrite SOC 3-rapport over beveiliging, beschikbaarheid en vertrouwelijkheid is beschikbaar om te downloaden.

Documenten over naleving

De volgende documenten zijn beschikbaar voor het publiek. Auditors moeten de toepasselijkheid op je omgeving beoordelen/goedkeuren.


Privacy

Eventbrite heeft een uitgebreid privacyprogramma. We zijn wettelijk verplicht bepaalde zaken te doen, maar we kijken daarnaast voortdurend of we nog meer kunnen doen.

  • We verkopen geen persoonlijke gegevens van onze klanten aan derden.
  • We hebben een team juristen en beveiligingsdeskundigen dat zich fulltime bezighoudt met privacy- en beveiligingszaken.
  • Eventbrite participeert in het VS-EU Privacy Shield Framework. Meer informatie over de participatie van Eventbrite vind je in ons privacybeleid.
  • Je vindt ons privacybeleid op eventbrite.be/privacypolicy.

Hostomgeving

De productiesystemen van Eventbrite worden gehost door Amazon EC2.

  • Serviceprovider PCI-DSS niveau 1
  • ISO 27001-gecertificeerd
  • Onafhankelijk geverifieerd en geaudit
  • SAS-70 type II en SSAE16
  • Amazon AWS PCI Compliance-site

Ontwikkeling van webtoepassingen en mobiele applicaties

Eventbrite zet zich in om goed beveiligde systemen te ontwerpen, ontwikkelen en onderhouden.

  • Alle applicaties worden regelmatig gescand op veelvoorkomende kwetsbare punten in de beveiliging, waaronder de Top tien van OWASP.
  • Er worden regelmatig trainingen verzorgd over het ontwikkelen van goed beveiligde programma's. Deze zijn verplicht voor alle technici.
  • Het is niet toegestaan creditcardgegevens op te slaan op een mobiel apparaat.
  • Er is regelmatige audit door het beveiligingsteam van Eventbrite op het gebruik van versleuteling voor zowel opslag als overdracht van gevoelige gegevens.
  • Alle webtoepassingen en mobiele applicaties worden primair ontwikkeld, getest, geïmplementeerd en onderhouden door een fulltimeteam van eigen technici.

Versleuteling

Eventbrite gebruikt krachtige versleutelingsmethoden en sleutelbeheerprocedures om ervoor te zorgen dat je gevoelige informatie beschermd is.

  • Alle creditcardgegevens worden tijdens overdracht in onze systemen versleuteld middels krachtige, industriestandaard cryptografieprotocollen zoals AES and TLS.
  • De website en API's van Eventbrite zijn toegankelijk via een 256-bits SSL-certificaat dat is verstrekt door Digicert.
  • Creditcardgegevens worden nooit opgeslagen na autorisatie van de transactie.
  • Toegang tot versleutelingssleutels is beperkt tot het kleinst mogelijke aantal Eventbrite-medewerkers.

Onze organisatie

Eventbrite heeft alle benodigde maatregelen genomen om onze medewerkers door te lichten.

  • Van alle medewerkers worden referenties, opleidingen en andere personeelszaken nagetrokken. Bij bepaalde medewerkers wordt ook een gedetailleerd achtergrondonderzoek verricht.
  • Eventbrite heeft een trainingsprogramma op het gebied van informatiebeveiliging dat voldoet aan PCI-DSS-normen en aan de Massachusetts Privacy Law (201 CMR 17).
  • We hebben ervaren beveiligingsmedewerkers fulltime in dienst.
  • We eisen van medewerkers een schriftelijke akkoordverklaring met hun rol en verantwoordelijkheden op het gebied van de bescherming van gebruikersgegevens en -privacy.

Incidentafhandeling

We verwachten niet dat de beveiliging van onze systemen ooit wordt geschonden. We weten echter dat geen enkel computersysteem helemaal veilig is.

  • In het geval de beveiliging van een Eventbrite-informatiesysteem wordt geschonden beschikken we over een gedetailleerd incidentafhandelingsplan.
  • Periodieke test van het incidentafhandelingsplan.
  • Eventbrite houdt de beveiligingsystemen en -alarmen 24x7 in de gaten.

Onderzoek en openbaarmaking

Als je een kwetsbaar punt ontdekt in de Eventbrite-informatiesystemen, meld dit dan eerst bij ons.

Key ID: 351AC626
Key Type: RSA
Key Size: 4096
Fingertprint: 1809 8001 2CFF E338 E92D  8723 9CA7 08B5 351A C626
Email: security@eventbrite.com

-----BEGIN PGP PUBLIC KEY BLOCK-----

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
=j7+z

-----END PGP PUBLIC KEY BLOCK-----