Rods&Cones安全声明

Rods&Cones维持一个信息安全计划,重点是客户数据的安全性和完整性。信息安全计划包括适合其业务规模和处理的信息类型的行政、技术和操作控制。

监测
Rods&Cones通过记录与安全有关的事件,提醒可疑活动,并对可疑活动进行进一步分析来监控其系统。

逻辑访问控制
对客户数据的访问是根据最小特权原则进行限制的;访问是通过文件化的访问授权程序进行的。

用户访问审查
在用户账户的整个生命周期中,从用户账户的创建到终止,我们定期评估用户的访问情况,以确保用户账户的适当性。每个月,Rods&Cones应用程序会生成一份报告,其中包括每个用户的访问权(角色)、最后访问时间、访问频率。这份报告对每个账户都是可用的。Rods&Cones平台运营经理可以为账户经理和超级管理员用户改变角色或撤销访问权,他们的访问权已经改变或不再需要了。账户经理可以为他们账户中的用户做同样的事情。

人员安全
Rods&Cones确保其雇用的熟练专业人员遵循Rods&Cones的安全和数据隐私培训,并签署保密协议、可接受的信息系统使用协议和行为准则。人员调动会导致基于最小权限和角色的访问管理变化。

事故管理
Rods&Cones维持一个信息安全事件管理计划,对安全事件作出及时反应和通知,以保护适合其业务规模的客户信息。

业务连续性政策
所有Rods&Cones拥有的信息都存储在云SAAS系统中,信息由数据处理者在多个站点上进行复制。对于恢复数据,Rods&Cones团队确保有一个合理的备份-恢复政策。

软件安全

软件发布过程
由于SaaS架构,Rods&Cones的云基础设施只有一个单一版本。
敏捷开发过程的结构是:小规模发布的周期为两周,重大发布的周期为一个季度。该过程涉及公司的所有利益相关者,并得到最新工具的支持。

密码安全
用户密码受到行业标准SHA512加密的保护。我们执行2步验证。Rods&Cones的员工不能接触到用户密码。登录凭证总是通过HTTPS安全地传输。

实体安全
数据和应用程序都托管在微软Azure上,都在荷兰托管。这些平台都符合最严格的安全标准。

OWASP 10强
我们用OWASP Top 10检查了我们的应用程序。

加密
数据的存储采用256位AES加密和服务器端解密。

网络安全
Rods&Cones已经实施了防火墙、入侵检测和防病毒安全控制,以保护客户数据不被丢失或未经授权的披露。

备份和灾难恢复
我们对文件系统实行每日备份,在发生灾难时可以重新部署。

通讯
所有与客户实例的网络连接都受到最先进的128位SSL加密的保护。连接使用TLS 1.2。连接是使用AES_128_GCM密码进行加密和认证的。

针对隐私的安保措施
Rods&Cones平台以及所有存储的个人数据都被托管并存储在微软Azure上,通过了ISO 27018认证。这些数据被实际托管在荷兰。

访问控制认证和授权是基于登录密码凭证,并结合基于来源IP地址和目标域名的进一步限制。授权是基于连接到管理员或用户的访问控制列表。

为了履行GDPR第32条所述的限制,Rods&Cones。

  • 依靠微软爱尔兰运营有限公司,拒绝未经授权的人访问用于处理个人数据的数据处理设备(设备访问控制)。
  • 依靠之前描述的认证和授权过程来防止未经授权的阅读、复制、修改或移除数据媒体(数据媒体控制)。
  • 依靠微软爱尔兰运营有限公司和之前描述的适当的认证和授权程序,以防止未经授权的数据输入和未经授权的检查、修改或删除存储的个人数据(存储控制)。
  • 依靠之前描述的认证和授权过程,防止未经授权的人使用数据通信设备使用自动数据处理系统(用户控制)。
  • 依靠之前描述的认证和授权过程,确保被授权使用自动数据处理系统的人只能访问其访问授权所涉及的数据(数据访问控制)。
  • 依靠前面描述的认证和授权程序,结合管理日志和通信加密,确保有可能核实和确定个人数据已经或可能通过数据通信设备传输或提供给哪些机构(通信控制)。
  • 依靠前面描述的认证和授权程序与收集链上收集的数据相结合(如前所述),以确保随后能够核实和确定哪些个人数据已被输入自动数据处理系统,以及这些数据是何时和由谁输入的(输入控制)。
  • 依靠加密的传输(HTTPS)和/或加密的压缩文件,以防止在个人数据传输过程中或数据媒体运输过程中未经授权的阅读、复制、修改或删除个人数据(传输控制)。
  • 依靠备份程序来确保已安装的系统在中断的情况下可以被恢复(恢复)。
  • 依靠定期的回归测试,以确保系统功能的运行,功能中出现的故障被报告(可靠性),存储的个人数据不会因系统的故障而被破坏(完整性)。