安全性
組織安全
資訊安全計劃
我們已建立資訊安全計劃,並在整個組織內進行宣傳。我們的資訊安全計劃遵循 SOC 2 框架制定的標準。 SOC 2 是由美國註冊會計師協會 (AICPA) 制定的廣為人知的資訊安全審計程序。
第三方審計
我們組織會接受獨立的第三方評估,以測試我們的安全和合規控制措施。
第三方滲透測試
我們至少每年進行一次獨立的第三方滲透測試,以確保我們服務的安全狀況不受損害。
角色和責任
我們資訊安全計畫及客戶資料保護相關的角色和職責均已明確界定並記錄在案。所有團隊成員都必須審閱並接受所有安全策略。
安全意識培訓
我們的團隊成員必須接受員工安全意識培訓,內容涵蓋行業標準實踐和資訊安全主題,例如網路釣魚和密碼管理。
保護機密
所有團隊成員在上崗第一天之前都必須簽署並遵守業界標準的保密協議。
背景調查
我們根據當地法律對所有新團隊成員進行背景調查。
雲安全
雲端基礎設施安全
我們所有的服務均託管於亞馬遜雲端服務 (AWS) 或Google雲端平台 (GCP)。他們採用強大的安全機制,並擁有多項認證。如需了解更多關於我們服務提供者安全流程的信息,請訪問[此處插入連結]。 AWS 安全 | GCP 安全.
資料託管安全
我們所有資料均託管於亞馬遜雲端服務 (AWS) 或Google雲端平台 (GCP) 資料庫。這些資料庫均位於美國。更多信息,請參閱上方連結的供應商特定文件。
靜態加密
所有資料庫在儲存資料時均進行加密。
傳輸中加密
我們的應用程式僅使用 TLS/SSL 進行傳輸加密。
漏洞掃描
我們會進行漏洞掃描並主動監控威脅。
記錄和監控
我們會主動監控並記錄各種雲端服務。
業務連續性和災難復原
我們使用資料託管服務提供者的備份服務來降低硬體故障導致資料遺失的風險。我們也利用監控服務,以便在發生任何影響用戶的故障時及時通知團隊。
事件響應
我們有一套處理資訊安全事件的流程,包括升級程序、快速緩解措施和溝通機制。
賞金計劃
我們會審核貢獻者提供的漏洞回饋,這些回饋需詳細描述安全性問題,並為修復方案提供具競爭力的賞金。請注意,我們已採取控制措施,確保每份賞金申請都會經過審核和評估,以確定是否值得賞金。我們僅對已授予賞金的方案提供回饋。所有申請均需透過我們的網站提交。 安全賞金表格請僅透過表格提交安全問題。如果您是消費者並遇到問題,請透過聊天或電子郵件聯絡我們的客服支援。
訪問安全
權限和身份驗證
只有因工作需求而獲得授權的員工才能存取雲端基礎設施和其他敏感工具。
在條件允許的情況下,我們會採用單一登入 (SSO)、雙重認證 (2FA) 和強密碼策略,以確保對雲端服務的存取受到保護。
最小權限存取控制
我們在身分和存取管理方面遵循最小權限原則。
季度進入審查
我們每季對所有有權存取敏感系統的團隊成員進行存取權限審查。
密碼要求
所有團隊成員都必須遵守一套最低密碼要求和複雜度標準才能獲得存取權限。
密碼管理員
公司配發的所有筆記型電腦都使用密碼管理器,供團隊成員管理密碼並保持密碼複雜度。
供應商和風險管理
年度風險評估
我們至少每年進行一次風險評估,以識別任何潛在威脅,包括詐欺方面的考慮。
供應商風險管理
在批准新供應商之前,需要確定供應商風險並進行相應的供應商審查。
聯絡我們
如果您有任何疑問、意見或疑慮,或者您想報告潛在的安全問題,請與我們聯絡。 [email protected]