隐私和数据保护

为上千家企业提供安全、稳定、优质的服务,客户信任永远是我们的首要考虑,客户数据的安全性和完整性对我们客户的价值观和运营很重要,因此我们致力于为用户构建业务安全防护体系,成为您牢固的数据保险箱。

全方位安全保障

  • 基础设施服务
  • 数据安全
  • 网络安全
  • 安全认证

详情

物理/数据安全

  • 基础设施服务

    沃丰科技SaaS产品的基础设施服务由华为云、阿里云和腾讯云提供,华为云、阿里云和腾讯云均通过CSA-STAR、ISO 27017:2015、ISO27001:2013 等安全管控及隐私相关认证,提供数据实时备份、异地容灾、物理冗余架构以及物理安全防范(备用电源、火灾防范、灾备措施等)。

  • 基础设施安全

    沃丰科技SaaS产品的基础设施由阿里、华为和腾讯云服务商 提供多种安全防范,如阿里高防、WAF、态势感知、云镜、云盾、高可用实例、高可用云盘,提高基础设施安全性和可用性。

  • 基础设施监控

    沃丰科技 使用自建的北斗系统及云服务商提供的监控服务监控系统运行指标,由专门的团队负责监控系统资源、负载、流量等多维度指标以保证其建康运行。

网络安全

  • 高可用和容灾

    沃丰科技除了使用云服务商提供的高可用基础设施(如BGP高防)之外,在每个网络节点都采用多区域、多实例部署以确保没有单点故障,尽可能保护网络层的高可用和容灾性。

  • 网络架构

    沃丰科技在网络架构上提供多重保障,入口为阿里高防DDoS多线BGP。在做到百G级防护时同时保证不同网络的畅通访问;阿里WAF提供应用层过滤和防护; 后端使用负载均衡+VPC+APIgateWay 提供更加精细的安全控制.

  • 渗透测试

    沃丰科技团队每个月会对SaaS服务进行多维度的网络渗透测试,保障产品服务安全健康运行。

  • 网络监控与报警

    沃丰科技提供完备的网络服务监控和报警机制,对于各区域和各IaaS服务商的计算资源提供聚合的监控系统,直观反映核心网络路径的健康状况,对可能出现故障或超过阈值的异常情况进行报警,并由运维团队及时处理、预防和扩容。

加密安全

  • 信息传输加密

    沃丰科技SaaS产品提供全面强制的HTTPS加密访问。

可用性和连续性

  • 服务可用性

    沃丰科技对系统可用性进行多维度的实时监控,从底层网络,主机资源,到系统空间,CPU,内存使用率,到业务层的业务指标,出现异常都会被系统捕抓并报警。将可用性故障发生前或大面积发生前做处理。大大提高服务可用性。

  • 服务冗余

    沃丰科技提供正常业务以外的物理和网络资源冗余,以避免单点故障;在应用层、数据层、网络层均能避免因故障导致的业务中断问题。

  • 故障响应和恢复

    沃丰科技组建专门稳定性应急响应组来应对,以确保故障会被及时、专业、和快速的处理,以保证客户的使用权益和体验。

程序代码安全

  • 安全培训

    所有入职的技术部门职员均会进行安全培训,对于老同事定期进行安全培训和安全知识分享,以保证在技术开发和技术维护工作中遵循安全规范。

  • 程序框架安全

    沃丰科技后端采用Ruby、java、GO、C/C++技术栈,使用最新安全版本进行开发,并对新出CVE漏洞进行积极修复和跟进。

  • 系统性能监控

    沃丰科技采用自建的北斗系统监控产品系统的性能,及时找出系统中的瓶颈进行优化,如查询、列表、存储、操作、缓存和任务执行等,以保证产品服务始终保持高速加载和响应的状态。

  • 代码质量监控

    沃丰科技采用自动和人工两层方式来保证产品代码质量,定期采用SonarQube来对整体代码进行质量扫描并及时优化改进。所有日常更新的代码均会通过人工进行code review,双重保障代码质量。

  • 安全渗透测试和扫描

    沃丰科技每月会对产品程序进行人工渗透、静态扫描及运行时扫描,保持系统可持续性的安全稳定运行。

  • 应急响应

    沃丰科技组建专门的安全应急响应小组,以应对来自公共漏洞、客户发现及自发现的安全漏洞和事件,以及时阻止恶意安全事件发生和修复新发现漏洞。

  • 缺陷管理

    沃丰科技升级使用快速迭代模式,并使用K8s金丝雀发布,以达到功能迭代,BUG修复和客户影响和平衡。

产品安全配置

  • 单点登录

    沃丰科技支持SSO单点登录验证,允许客户的第三方系统的账号信息授权给沃丰科技系统,从而达成用户系统集成目的,保证安全。

  • 密码策略

    沃丰科技提供密码复杂度策略配置及短信认证(MFA),方便管理员根据实际情况配置安全策略,保障登录安全性。

  • IP白名单

    沃丰科技提供登录IP白名单策略以保证员工登录的安全性。

  • API验证

    沃丰允许客户通过API方式与沃丰系统进行通讯及二次开发。签名使用SHA2/AES256等强壮的安全算法。

  • 用户封禁

    管理员可以对员工禁用,且客服可以对恶意客户拉黑名单,防止恶意操作和恶意请求,提高服务安全性和数据完整性。

  • 客服权限划分

    沃丰提供基于角色的权限和细粒度的权限分配,在防止越权操作同时方便用户使用,避免人为的问题而导致安全性降低。

安全认证

  • ISO27001:2013

    ISO 27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心,通过定期评估风险和对应的控制措施来有效保证组织信息安全管理体系的持续运行。

  • CSA-STAR

    CSA STAR认证是由标准研发机构BSI(英国标准协会)和CSA(云安全联盟)合作推出的国际范围内的针对云安全水平的权威认证,旨在应对与云安全相关的特定问题,协助云计算服务商展现其服务成熟度的解决方案。

  • 网络安全等级保护

    网络安全等级保护是公安部用于指导国内各组织单位进行网络安全建设的依据,目前已成为各行业广泛遵循的通用安全标准。沃丰通过了网络安全等级保护三级。

安全操作与规范

  • 产品隐私服务条款

    沃丰会定期修订产品服务政策与隐私服务条款,以根据业务经营情况不断应对和改善产品使用的安全问题,从规范和标准的层面对公司内部员工和外部客户企业进行适当约束以达成安全保障目的。

  • 合同和保密协议

    沃丰对于所有的客户均可提供服务合同和保密协议,从法律的角度避免企业隐私和数据安全性问题。

  • 员工保密协议

    沃丰对于所有的内部职员均签署员工保密协议,对于离职员工签署限时竞业限制协议,避免内部职员和离职员工泄露企业客户隐私,对于违反协议的职员追究法律责任,对于企业运营系统定期修改密码。

本文档适用范围为沃丰科技现有线上SaaS产品,对于私有部署产品,需要具体情况进行分析和解决。