安全政策
FlowHunt 以强大的基础设施、加密、合规与灾难恢复为客户、员工和企业数据提供优先保护。
数据中心符合高合规标准,组织协议确保资产处置和员工合规。定期评估与灾难恢复计划进一步保障数据安全。
我们高度重视数据安全。我们结合多项安全功能,确保客户、员工和企业数据始终受到保护,让客户安心无忧,数据安全、通信加密、业务防护万无一失。
基础设施安全
基础设施安全涉及保护支持组织信息技术(IT)运营的底层硬件、软件和网络组件。这涵盖数据中心、服务器到网络连接和终端设备。有效的基础设施安全旨在防止未经授权的访问、滥用和中断,确保 IT 系统的完整性、机密性和可用性。
基础设施安全的关键组成部分
加密密钥访问受限
政策: 仅限有业务需要的授权用户访问加密密钥。
实施: 确保只有具有适当权限的人员才能解密敏感信息,最大限度降低数据泄露风险。强制唯一账户认证
政策: 系统和应用需要唯一用户名和密码或授权的安全外壳协议(SSH)密钥。
实施: 通过确保每个用户身份唯一,降低未经授权访问的风险。生产应用访问受限
政策: 仅限授权人员访问生产应用。
实施: 防止未经授权者篡改企业关键业务应用。建立访问控制流程
政策: 对用户访问的添加、修改和移除有书面要求。
实施: 明确流程确保访问权限系统性且安全地管理。生产数据库访问受限
政策: 数据库的特权访问仅限有业务需要的授权用户。
实施: 保护存储在数据库中的敏感数据不被未授权访问或更改。防火墙访问受限
政策: 防火墙的特权访问仅限有业务需要的授权用户。
实施: 防火墙对网络安全至关重要,受限访问可防止配置被篡改。生产操作系统访问受限
政策: 操作系统的特权访问仅限有业务需要的授权用户。
实施: 保护操作系统层免受未经授权更改,保障系统稳定与安全。生产网络访问受限
政策: 生产网络的特权访问仅限有业务需要的授权用户。
实施: 仅授权人员可访问网络,降低内部威胁风险。员工离职即撤销访问权限
政策: 离职员工的访问权限在服务级协议(SLA)范围内被撤销。
实施: 防止前员工在离职后访问公司系统。强制唯一网络系统认证
政策: 网络访问需唯一用户名和密码或授权 SSH 密钥。
实施: 增强安全性,确保网络访问可追溯到个人。强制加密远程访问
政策: 仅允许通过批准的加密连接远程访问生产系统。
实施: 保护远程通信中的数据不被截获。使用入侵检测系统
政策: 持续监控网络,及早发现安全漏洞。
实施: IDS 提供实时预警,快速响应潜在威胁。监控基础设施性能
政策: 利用监控工具跟踪系统性能,并在达到阈值时发出警报。
实施: 确保基础设施稳健运行,及时处理各类问题。实施网络分段
政策: 对网络进行分段,防止未经授权访问客户数据。
实施: 通过隔离网络不同部分,限制安全事件蔓延范围。定期审核网络防火墙
政策: 每年审查防火墙规则集并记录变更。
实施: 保持防火墙配置与当前安全标准一致。使用网络防火墙
政策: 防火墙配置用于阻止未经授权的访问。
实施: 防止外部威胁,是第一道防线。维护网络与系统加固标准
政策: 依据行业最佳实践制定并每年审查文档化标准。
实施: 确保系统安全配置,抵御攻击。
数据中心安全
我们以行业最佳实践保障您的数据机密性和完整性。FlowHunt 服务器托管于符合 Tier IV 或 III+、PCI DSS、SSAE-16 或 ISO 27001 标准的数据中心。安全团队不断推送安全更新并积极响应安全预警与事件。
物理安全
| 设施 | 描述 |
|---|---|
| 服务器环境 | FlowHunt 服务器托管于 Tier III+、IV 或 PCI DSS、SSAE-16、ISO 27001 合规的数据中心,配备冗余电力、UPS 及备用发电机。 |
| 现场安保 | 数据中心设有安全外围,多级安全区,全天候人员值守,CCTV 视频监控,多因子生物识别门禁,实体锁及安全报警系统。 |
| 监控 | 所有生产网络系统、联网设备和线路由 FlowHunt 管理员持续监控和逻辑管理。物理安全、电力及互联网连接由设施提供商在共置机柜门外监控。 |
| 地理位置 | 公有 FlowHunt 服务主要在欧盟(法兰克福数据中心)托管数据。私有云可根据需求部署在美国、欧洲、亚洲。客户可选择将服务数据仅存放于美国或欧洲。 |
网络安全
我们的网络配备冗余防火墙、顶级路由器技术、通过公共网络的安全 HTTPS 传输,以及网络入侵检测/防御系统(IDS/IPS)监控并拦截恶意流量和网络攻击。
其他措施
- DDoS 缓解: 采用业内领先的基础设施防护和缓解拒绝服务攻击的影响。
- 通信加密: 您与 FlowHunt 服务器间的通信通过行业最佳实践的 HTTPS 和 TLS 进行加密。
组织安全
资产处置流程
- 资产清查:识别并登记所有待处置设备。
- 数据备份:处置前安全备份所需数据。
- 数据清除:使用认证工具按行业标准彻底清除设备数据。
- 实体销毁:无法清除数据的设备,采用粉碎、消磁等方式物理销毁。
- 环保合规:所有处置方式符合环保法规。
认证与合规
- 文档记录:详细记录所有处置资产,包括序列号、处置方式及日期。
- 第三方验证:委托认证第三方供应商验证并记录处置过程。
员工与承包商合规
- 背景调查:新员工入职前进行全面背景调查。
- 行为准则:员工及承包商均须签署并遵守公司行为准则,违规有相应惩处措施。
- 保密协议:所有员工入职、承包商签约时均须签署保密协议。
访客与安保流程
- 访客管理:访客需签到、佩戴访客证,并有授权员工陪同进入安全区域。
- 安全意识培训:员工入职 30 天内及每年参加安全意识培训,及时了解最佳实践与新兴威胁。
产品安全
数据加密
所有包含敏感客户数据的 FlowHunt 数据库及备份均已加密。账单与支付数据加密由我们的支付处理方(Stripe)负责。
- 列级加密: 对数据库中特定列加密,针对敏感字段(如 API 密钥)实现精细保护。
- 加密协议: 网络数据传输采用 SSL 和 TLS 协议加密。
渗透测试
FlowHunt 定期开展渗透测试,并通过漏洞赏金计划鼓励外部安全研究人员协助发现漏洞。
更新日期:2025 年 5 月 30 日