商业体验平台
必威英文官网
与我们合作
关于
请求一个演示
    请求一个演示

      安全性和可靠性

      在婆罗门参,我们知道你的内容,产品信息以及与客户的个人数据/信息是你的一些组织最有价值的资产。我们承诺保护您的数据和您对我们的技术和基础设施的投资。以下是我们使用,我们可以公开分享一些关键的安全最佳实践和法规遵从工具。

      合规

      SOC 2

      婆罗门参采用独立的第三方审计师来审计我们的控制和处理。21972-312_SOC_NonCPA

      2017年12月,我们获得了审计公司的SOC 2 Type 1认证。现有客户可要求出具证明。

      在2018年十一月,我们收到了我们的SOC 2类型2的认证。

      这些标准由美国注册会计师协会(会计师协会)。

      一般资料保障规例(GDPR)

      我们根据欧盟委员会(Commission of European Union)修订的标准合同条款(Standard contract clause),转移任何源自欧洲经济区的个人数据,并采用适当的技术、合同和组织补充措施。

      请访问我们的GDPR页面想要查询更多的信息。

      加州消费者隐私法

      在2020年1月1日,婆罗门参更新了其隐私政策和必要的内部程序,以遵守CCPA。

      人是最大的资产,也是最大的安全风险。我们努力确保组织中的每个人都接受年度安全意识培训。新员工也要接受培训。

      我们的业务连续性计划和物理安全保障措施有助于确保人们在非系统事件期间知道要做什么。

      我们的办公室是由安全密钥号码接入和其它安全保护方法保护。员工具有各自的密钥卡来访问我们的地板。

      我们对所有员工在入职前进行彻底的背景调查,包括犯罪和个人推荐调查。

      离登机程序到位,所以当有人离开组织的访问被终止。

      过程

      标准化的安全流程

      Salsify维护标准的安全政策和流程。政策、标准和程序至少每年审查一次,并在必要时进行更新。我们的安全框架是基于NIST 800的建议建立的。

      Salsify每年至少进行一次严格的第三方安全评估,包括网络和应用程序漏洞威胁、渗透测试和应用程序安全框架控制审计。可根据客户要求提供检测证明。

      我们有一个正式的,管理层批准的应急响应和安全事件响应计划。事件响应计划明确了事故指挥员和配角的角色和职责,以及响应程序,包括通知客户,以及死后过程中捕获整治行动。安全事件响应计划定义安全事件响应小组(SIRT)的角色和职责,以及应急预案的步骤。

      软件开发生命周期

      婆罗门参利用与持续集成(CI)的敏捷开发过程。我们的CI管道包括开发,分期和生产环境。这种结构允许每个环境的授权访问控制。

      安全已成为我们流程的每一步。数据处理,代码部署,配置和补丁管理的安全政策和SDLC列出每个后续安全性的最佳实践。

      我们的SDLC要求对所有更改进行代码审查和批准,以及在部署之前对CI环境中的所有自动化测试进行绿色构建。所有开发的代码都会被手动检查,并自动测试潜在的安全漏洞。我们努力遵循OWASP(开放Web应用安全项目)的最佳实践。

      识别和确认的安全漏洞要经过影响和风险评估。补丁或其他补救方法首先部署在开发环境中,在阶段测试中进行测试,然后发送到生产环境中。

      此外,自动化的应用渗透测试是定期在内部运行。

      管理控制

      Salsify遵循“最小特权”原则。我们的做法是只向绝对需要访问系统或资源的个人和系统颁发凭据。访问权限只能由我们的运营团队的成员授予,并被跟踪用于审计目的。管理员可以随时撤销访问权限;这支持我们的离岗过程。

      技术

      安全的设计

      高可用性架构

      Salsify使用容错应用程序体系结构,将所有服务托管在弹性和弹性可伸缩的基础设施上。这确保了高可用性和一致的应用程序性能,如我们的服务条款

      我们的云服务提供商遵守工业标准符合性,在ISO 27001,SOC 2或类似的证明。我们获取并每年检讨,以确保符合这些报告。

      所有SSL证书都使用2048位密钥长度和SHA-256创建和更新。

      我们的密钥通过密钥管理服务进行加密和存储。

      灾难恢复

      我们的基础架构支持可恢复流程。自动数据备份、文档化恢复程序和年度测试确保我们在发生灾难时一切就绪。

      Salsify为我们的服务定义了一个恢复时间目标(RTO)和恢复点目标(RPO)。

      验证和授权

      Salsify利用云服务提供商解决方案,其中包括多因素身份验证以访问环境。用户定义的组和角色遵循我们的“最小权限”概念。

      对基础设施的远程访问仅限于授权用户,并且只能通过我们的VPN访问。

      日志监控是在地方,我们按照我们的保留策略保留审计日志。任何可疑活动或未经授权的访问触发提醒我们的操作人员。安全团队后,只要有必要,按照我们的事件响应计划。

      支持我们基础设施的员工的密码定期轮换。

      客户数据

      我们在多租户环境中托管客户数据。在每个客户的应用程序级别支持数据隔离。这可以防止将客户数据暴露给其他组织的未授权用户。

      所有流量进行加密以最小的TLS V1.2的。婆罗门参实现了最新的加密算法。我们测试并升级到更新,更安全的标准,因为他们成为可用。我们目前使用256位AES加密,包括密钥管理服务作为我们的云服务供应商提供的产品的一部分。

      数据也被加密静止的,包括我们的系统和数据库备份。

      被访问客户数据仅供授权人员。

      产品安全

      认证和单点登录(SSO)

      我们支持与许多大型标识提供商(如Okta、Onelogin、ADFS和谷歌)进行基于SAML 2.0的单点登录(SSO)集成。这样可以简化和更好的用户体验,因为用户只需要说明一个登录凭据。

      登录仅基于HTTPS请求,每个用户会话都需要一个身份验证令牌。

      授权

      客户在其组织的婆罗门参产品分配管理员。这些管理员设置的用户群体为他们的组织,通常是基于组的功能(即,营销团队)。权限在用户组级别上定义和个人被分配到相应的组(一个或多个)。

      日志记录

      发生应用程序日志使用服务提供商的组合。日志用于排除故障,解决问题和取证分析我们的发展和安全团队。

      我们根据保留政策保留日志。

      如果您需要报告安全问题请电邮,security@salsify.com

      如果您想报告与安全相关的错误或配置问题请检查我们的负责任的披露指引提交报告之前。

      有关隐私问题,请参阅我们的隐私政策

      供应商XM

      有关安全控件的更多信息与我们的供应商XM平台,访问此链接:https://www.alkemics.com/en/security-iso-27001/
      Baidu