安保防护
组织安全
信息安全计划
我们已建立信息安全计划,并在整个组织内进行宣传。我们的信息安全计划遵循 SOC 2 框架制定的标准。SOC 2 是由美国注册会计师协会 (AICPA) 制定的广为人知的信息安全审计程序。
第三方审计
我们组织会接受独立的第三方评估,以测试我们的安全和合规控制措施。
第三方渗透测试
我们至少每年进行一次独立的第三方渗透测试,以确保我们服务的安全状况不受损害。
角色和职责
我们信息安全计划及客户数据保护相关的角色和职责均已明确界定并记录在案。所有团队成员都必须审阅并接受所有安全策略。
安全意识培训
我们的团队成员必须接受员工安全意识培训,内容涵盖行业标准实践和信息安全主题,例如网络钓鱼和密码管理。
保密协议
所有团队成员在上岗第一天之前都必须签署并遵守行业标准的保密协议。
背景调查
我们根据当地法律对所有新团队成员进行背景调查。
云安全
云基础设施安全
我们所有的服务均托管于亚马逊云服务 (AWS) 或谷歌云平台 (GCP)。他们采用强大的安全机制,并拥有多项认证。如需了解更多关于我们服务提供商安全流程的信息,请访问[此处插入链接]。 AWS 安全 | GCP 安全.
数据托管安全
我们所有数据均托管于亚马逊云服务 (AWS) 或谷歌云平台 (GCP) 数据库。这些数据库均位于美国。更多信息,请参阅上方链接的供应商特定文档。
静态加密
所有数据库在存储数据时均进行加密。
传输中加密
我们的应用程序仅使用 TLS/SSL 进行传输加密。
漏洞扫描
我们会进行漏洞扫描并主动监控威胁。
记录和监控
我们会主动监控并记录各种云服务。
业务连续性和灾难恢复
我们使用数据托管服务提供商的备份服务,以降低硬件故障导致数据丢失的风险。我们还利用监控服务,在发生任何影响用户的故障时及时通知团队。
事件响应
我们有一套处理信息安全事件的流程,包括升级程序、快速缓解措施和沟通机制。
赏金计划
我们会审核贡献者提供的漏洞反馈,这些反馈需详细描述安全问题,并为修复方案提供具有竞争力的赏金。请注意,我们已采取控制措施,确保每份赏金申请都会经过审核和评估,以确定是否值得赏金。我们仅对已授予赏金的方案提供反馈。所有申请均需通过我们的网站提交。 安全赏金表格请仅通过表格提交安全问题。如果您是消费者并遇到问题,请通过聊天或电子邮件联系我们的客服支持。
访问安全
权限和身份验证
只有因工作需要而获得授权的员工才能访问云基础设施和其他敏感工具。
在条件允许的情况下,我们会采用单点登录 (SSO)、双因素身份验证 (2FA) 和强密码策略,以确保对云服务的访问受到保护。
最小权限访问控制
我们在身份和访问管理方面遵循最小权限原则。
季度准入审查
我们每季度对所有有权访问敏感系统的团队成员进行访问权限审查。
密码要求
所有团队成员都必须遵守一套最低密码要求和复杂度标准才能获得访问权限。
密码管理员
公司配发的所有笔记本电脑都使用密码管理器,供团队成员管理密码并保持密码复杂度。
供应商和风险管理
年度风险评估
我们至少每年进行一次风险评估,以识别任何潜在威胁,包括欺诈方面的考虑。
供应商风险管理
在批准新供应商之前,需要确定供应商风险并进行相应的供应商审查。
联系我们
如果您有任何疑问、意见或疑虑,或者您想报告潜在的安全问题,请联系我们。 [email protected]