数据安全、安全与隐私
我们致力于确保机密性、完整性和可用性的信息存储在我们的软件中。我们从威胁采取每一步保护,无论是内部或外部,故意或意外的可能影响数据安全。
上次更新2019年10月31日
物理安全、数据中心和位置
你的数据不会存储在我们的公司网络在任何时间。你的数据是托管在亚马逊网络服务(AWS) EC2平台。获得AWS仅限于授权的人员只有和我们要求我们的员工访问权限无法将数据存储在物理介质之外的数据托管提供商的生产环境。
我们的AWS物理服务器位于AWS的EC2数据中心。这个日期,AWS (i)对符合ISO / IEC 27001:2013认证,27017:2015 27018:2014,(ii)作为PCI DSS 3.2认证一级服务提供者,和(3)经历了SOC 1, SOC 2和SOC 3审计(半年度报告)。更多细节关于AWS的合规程序,包括FedRAMP合规,可以发现AWS的网站。
所有用户内容存储在AWS遵守GDPR的欧盟地区。Simul8的生产环境是托管在一个AWS EC2平台。用户内容也可以发现在Simul8备份,存储在AWS EC2和S3。
操作安全
强大的加密
所有的数据都是加密的HTTPS使用传输层安全(TLS v1.2)协议使用SHA256与最低128位密钥和证书,这意味着我们的用户总是从他们的浏览器安全连接到我们的服务。
我们使用最新的、强有力的密码加密消息认证和密钥交换机制。
此外,用户密码存储在我们的数据库通过单向加密哈希函数用盐(随机数据)。密码不是存储在明文,不可能反向工程存储值等价的。
防止漏洞
我们运行一个不断修补周期,确保操作系统、应用程序和网络基础设施保持最新,以减轻任何漏洞。
应用程序运行在一个安全的和硬架构环境,工程安全根据行业标准的指导方针来帮助减少漏洞。
我们的应用程序是渗透测试,至少每年一次由一个独立的外部认证供应商。这种测试混合识别技术与业务逻辑缺陷暴露可能导致违反安全。所有的测试是由经验丰富的测试人员完成。这可以确保测试人员不仅具有技术能力寻找安全漏洞和弱点,但也有技巧,以确保研究结果提出了一个清晰的、简洁的和可以理解的方式。方法基于行业公认的标准等,但不限于,打开Web应用程序安全性(OWASP) ISECOM(安全研究所和开放的方法),国家标准与技术研究院(NIST)和网络安全中心(CIS)和利用手动测试和自动工具提供保险。
人的过程
我们的工作人员在就业前审查。检查包括身份证明、劳动权利的证明和居住证明。
我们还维护一套内部信息安全政策、程序和指南,包括事件响应计划,所有员工,承包商和第三方必须遵循。这些都是至少每年审查。
此外:
- 只有员工必要的权利和角色可以访问我们的基础数据。我们使用强密码策略管理通过企业密码管理器,再加上双重认证,可用。
- 只根据需要访问客户数据的基础上,只有当客户批准的(即作为支持事件的一部分),或由操作人员提供必要的支持和维护。
- 定期审计执行和整个过程进行管理,确保只有正确的人访问必要的数据和系统在一个正在进行的基础上。
隐私
Simul8公司不出售,出租或与任何第三方分享数据。
然而,我们使用一些第三方提供服务。我们确保在这些第三方安全措施到位,至少,我们采用的同样高的安全标准。
联系我们
如果你有任何问题关于数据安全,请联系我们。