组织安全
信息安全计划
- 我们有一个信息安全计划,并在整个组织内进行了交流。我们的信息安全计划遵循SOC 2框架所规定的标准。SOC 2是一个广为人知的信息安全审计程序,由美国注册会计师协会创建。
第三方审计
- 我们的组织经历了独立的第三方评估,以测试我们的安全和合规控制。
第三方渗透测试
- 我们至少每年进行一次独立的第三方渗透,以确保我们服务的安全态势不受影响。
角色和责任
- 与我们的信息安全计划和保护客户数据有关的角色 和责任都有明确的规定和文件。我们的团队成员被要求审查并接受所有的安全政策。
安全意识培训
- 我们的团队成员被要求通过员工安全意识培训,涵盖行业标准做法和信息安全主题,如网络钓鱼和密码管理。
保密
- 所有团队成员在工作的第一天之前都必须签署并遵守行业标准的保密协议。
背景调查
- 我们根据当地法律对所有新的团队成员进行背景调查。
云安全
云基础设施安全
- 我们所有的服务都托管在亚马逊网络服务(AWS)和谷歌云平台(GCP)。他们采用了一个强大的安全程序,并获得了多项认证。关于我们供应商的安全程序的更多信息,请访问AWS安全和GCP安全。
数据托管安全
- 我们所有的数据都托管在亚马逊网络服务(AWS)和谷歌云平台(GCP)的数据库上。这些数据库都位于美国。请参考上面链接的上述供应商的具体文件以了解更多信息。
静态加密
- 所有数据库都在静态下进行加密。
转运中的加密
- 我们的应用程序仅在运输中使用TLS/SSL进行加密。
漏洞扫描
- 我们进行漏洞扫描并积极监测威胁。
记录和监测
- 我们积极监测和记录各种云服务。
业务连续性和灾难恢复
- 我们使用我们的数据托管供应商的备份服务,以减少在硬件故障情况下的任何数据损失风险。我们利用监测服务,在发生任何影响用户的故障时提醒团队。
事件响应
- 我们有一个处理信息安全事件的程序,包括升级程序、快速缓解和沟通。
访问安全
权限和认证
- 对云基础设施和其他敏感工具的访问仅限于经授权的员工,因为他们的角色需要这样做。在有条件的地方,我们有单点登录(SSO)、双因素认证(2FA)和强密码政策,以确保对云服务的访问受到保护。
最低权限访问控制
- 在身份和访问管理方面,我们遵循最低权限的原则。
季度访问审查
- 我们对所有可以访问敏感系统的团队成员进行季度访问审查。
密码要求
- 所有团队成员都必须遵守一套最低的密码要求和访问的复杂性。
密码管理器
- 所有公司发放的笔记本电脑都使用密码管理器,供团队成员管理密码和保持密码的复杂性。
供应商和风险管理
年度风险评估
- 我们至少要进行年度风险评估,以确定任何潜在的威胁,包括对欺诈的考虑。
供应商风险管理
- 在授权新的供应商之前,我们会确定供应商的风险,并进行适当的供应商审查。
联系我们
如果您有任何问题、意见或疑虑,或者您希望报告一个潜在的安全问题,请联系security@joor.com。
