商业体验平台
必威英文官网
与我们合作
关于
请求一个演示
    请求一个演示

      安全性和可靠性

      在Salsify,我们知道您的内容,与客户有关的产品信息和个人数据/信息是您组织最有价值的资产的一些。我们致力于保护您的数据和您在技术和基础设施中所做的投资。以下是我们聘用的一些关键安全性最佳实践和合规性工具,我们可以公开分享。

      合规

      SOC 2

      Salsify使用独立的第三方审计员来审核我们的控件和流程。21972-312_soc_noncpa.

      2017年12月,我们获得了审计公司的SOC 2 Type 1认证。现有客户可要求出具证明。

      2018年11月,我们收到了SOC 2类型2认证。

      这些标准由美国注册会计师协会概述(艾克帕)。

      一般资料保障规例(GDPR)

      我们根据欧盟委员会(Commission of European Union)修订的标准合同条款(Standard contract clause),转移任何源自欧洲经济区的个人数据,并采用适当的技术、合同和组织补充措施。

      请访问我们GDPR页面想要查询更多的信息。

      加州消费者隐私法

      截至1月1日,2020年1月1日,Salsify更新了它隐私政策和必要的内部程序,以遵守CCPA。

      人是最大的资产,也是最大的安全风险。我们努力确保组织中的每个人都接受年度安全意识培训。新员工也要接受培训。

      我们的业务连续性计划和物理安全保障措施有助于确保在非系统事件期间,人们知道该做什么。

      我们的办公室通过安全键盘访问和其他安全保护方法保护。员工有个人钥匙卡来访问我们的地板。

      我们对所有员工在入职前进行彻底的背景调查,包括犯罪和个人推荐调查。

      卸下程序已到位,以便在某人离开本组织时终止访问。

      过程

      标准化的安全流程

      Salsify维护标准的安全政策和流程。政策、标准和程序至少每年审查一次,并在必要时进行更新。我们的安全框架是基于NIST 800的建议建立的。

      Salsify每年至少进行一次严格的第三方安全评估,包括网络和应用程序漏洞威胁、渗透测试和应用程序安全框架控制审计。可根据客户要求提供检测证明。

      我们有正式,管理层批准的事件响应和安全事件响应计划。事件响应计划定义了事件指挥官的角色和责任,以及支持角色以及包括客户通知的响应过程,以及捕获修复行动的后期过程。安全事件响应计划定义了安全事件响应团队(SIRT)角色和职责,以及响应计划步骤。

      软件开发生命周期(SDLC)

      Salsify利用具有连续集成(CI)的敏捷开发过程。我们的CI管道包括开发,分期和生产环境。此配置允许每个环境授权访问控制。

      安全内置于我们流程的每个步骤中。数据处理,代码部署,配置和修补程序管理每个都遵循安全策略和SDLC中概述的安全最佳实践。

      我们的SDLC要求对所有更改进行代码审查和批准,并在部署之前对我们的CI环境中的所有自动测试进行绿色构建。所有开发的代码都会进行手动审查,并自动测试潜在的安全漏洞。我们努力跟进OWASP(打开Web应用程序安全项目)最佳实践。

      已识别和确认的安全漏洞会经过影响和风险评估。修补程序或其他修复方法首先部署在开发环境中,在暂存中进行测试,然后发送到生产环境中。

      此外,自动化应用程序穿透测试经常在内部运行。

      管理控制

      Salsify遵循“最小特权”原则。我们的做法是只向绝对需要访问系统或资源的个人和系统颁发凭据。访问权限只能由我们的运营团队的成员授予,并被跟踪用于审计目的。管理员可以随时撤销访问权限;这支持我们的离岗过程。

      技术

      安全通过设计

      高可用性架构

      Salsify使用容错应用程序体系结构,将所有服务托管在弹性和弹性可伸缩的基础设施上。这确保了高可用性和一致的应用程序性能,如我们的服务条款

      我们的云服务提供商坚持行业标准合规性,在ISO 27001,SOC 2或类似的ISO 27001认证。我们每年获得并审查这些报告以确认合规性。

      所有SSL证书都使用2048位密钥长度和SHA-256创建和更新。

      我们的密钥通过密钥管理服务进行加密和存储。

      灾难恢复

      我们的基础架构支持可恢复流程。自动数据备份、文档化恢复程序和年度测试确保我们在发生灾难时一切就绪。

      Salsify为我们的服务定义了恢复时间目标(RTO)和恢复点目标(RPO)。

      身份验证和授权

      Salsify利用云服务提供商解决方案,其中包括多因素身份验证以访问环境。用户定义的组和角色遵循我们的“最小权限”概念。

      对基础设施的远程访问仅限于授权用户,并且只能通过我们的VPN访问。

      日志监控已到位,我们按照我们的保留策略保留审核日志。任何可疑活动或未经授权的访问权限触发对我们的运营人员提醒。根据我们的事件响应计划,安全团队根据需要订婚。

      支持我们基础设施的员工的密码定期轮换。

      客户数据

      我们在多租户环境中托管客户数据。每个客户在应用程序级别支持数据隔离。这可以防止将客户数据暴露给其他组织中未经授权的用户。

      所有流量都以最少的TLS V1.2加密。Salsify实现了最新的加密算法。我们在可用时测试和升级到更新和更安全的标准。我们目前使用256位AES加密,包括密钥管理服务,作为云服务提供商的一部分。

      数据也在休息时加密,包括我们的系统和数据库备份。

      仅提供给授权人员的客户数据。

      产品安全

      身份验证和单点登录(SSO)

      我们支持与许多大型标识提供商(如Okta、Onelogin、ADFS和谷歌)进行基于SAML 2.0的单点登录(SSO)集成。这样可以简化和更好的用户体验,因为用户只需要说明一个登录凭据。

      登录仅基于HTTPS请求,每个用户会话都需要身份验证令牌。

      授权

      客户将组织中的管理员分配给Salsify产品。这些管理员为其组织设置用户组,通常基于组的函数(即营销团队)。在用户组级别定义权限,并且将各个分配给相应的组。

      日志记录

      应用程序记录使用服务提供商的组合进行。日志用于故障排除,通过我们的开发和安全团队发出问题解决和法医分析。

      我们根据保留政策保留日志。

      如果您需要报告安全问题,请发送电子邮件,security@salsify.com.

      如果您想报告与安全相关的错误或配置问题请检查我们的负责任的披露指南在提交报告之前。

      有关隐私问题,请参阅我们的隐私政策

      供应商XM

      有关与我们的供应商XM平台有关的安全控件的更多信息,访问此链接:https://www.alkemics.com/en/security-iso-27001/
      Baidu