介绍
Vtiger信息和信息系统是宝贵的资产,必须受到保护。 这是通过实施适当的安全框架来管理Vtiger的风险并通过防止安全事件并减少其潜在影响来确保业务连续性来实现的。
组织安全
跨域和业务流程定义和实施策略和过程。 这些策略用于测试控件并保护Vtiger信息和信息资源的机密性,可用性和完整性。
员工审核
每位员工在正式加入公司之前都要经过审查。 Vtiger雇用外部第三方供应商来完成背景验证,其中包括审查犯罪记录,以前的工作记录(如果有)以及教育背景。
培训和意识
创建安全意识内容并在不同团队中分发,以确保Vtiger员工了解信息安全策略,新出现的威胁和常见的攻击媒介。 除此安全意识研讨会之外,还举办了一些旨在提高人们对威胁,安全实践和公司策略的意识的会议。
物理安全
Vtiger的公司安全负责保护物理位置的Vtiger资产。 Vtiger使用闭路电视摄像机监控房屋,根据该地点的要求,可以在一定时期内提供备用录像。 在使用生物识别和钥匙卡识别后,才可以进入该场所。
对于云资源(如AWS,DigitalOcean,OVH),云ISP负责保护资产并维护适当的安全控制。 有关如何找到ISP安全控制的更多详细信息 点击此处.
营运安全
这些做法的重点是监视实时通信系统中的活动威胁和过程,以保护信息系统。
记录与监控
基础架构和应用程序使用专有和企业工具进行24X7全天候监控。 我们监视网络中的内部流量以及设备和终端的使用情况。 我们记录事件日志,审核日志,故障日志,管理员日志和操作员日志,并对这些日志进行异常和事件分析。 这些日志以隔离的方式安全地存储。
漏洞评估
Vtiger还聘请了一个安全团队来发现和解决我们软件中的漏洞,并激励我们更广泛的软件安全社区成员识别和报告漏洞。
备份工具
Vtiger每天都会备份每个客户实例的数据库和文件。 此备份存储在单独的服务器上,以防止出现硬件故障的风险。 在这种情况下,可以在8小时内恢复数据和服务访问。
安全补丁
Vtiger进行预防性维护,以通过在内部开发补丁或以其他方式可用时部署补丁来防御任何潜在的漏洞。
数据保障及安全
数据是业务的关键,并且为了始终保持数据的机密性,可用性和完整性,我们遵循围绕我们的体系结构,开发和运营的严格准则。
工程实践
工程团队遵循安全的编码准则,以及在生产中部署代码之前对其进行人工检查/筛选。
安全编码指南基于OWASP标准,并已相应实施,以防止应用程序层中常见的威胁和攻击媒介(例如SQL注入,跨站点脚本)。
资料隔离
Vtiger 遵循单租户架构,因此每个实例都有自己的单独空间分配给它们。 这些实例不知道每个其他实例,因此单独运行。
加密
在途中
在浏览器和Vtiger服务器之间传输的所有数据均通过行业标准TLS 1.2 / 1.3保护。 这包括webapps,API,移动应用程序和IMAP / POP / SMTP电子邮件客户端访问。
我们已经为所有网络流量启用了安全配置,例如完美转发保密(PFS)和HTTP严格传输安全标头(HSTS),这要求浏览器仅通过加密的通信通道进行连接。
在休息
所有服务器的存储磁盘均使用磁盘级加密进行加密。
使用敏感字段的客户数据使用256位高级加密标准(AES)加密,我们使用AWS Key Management Service(KMS)进行密钥管理。
在AWS S256上使用AES-3对备份进行加密。
数据保留和删除
只要客户数据是该服务的有效订户,我们便会保留它们,如果取消或不活动,则遵循以下规则以确保数据处理。
对于未开始付费订阅的试用帐户,数据将在试用期结束12天后删除。
对于已取消的付费帐户,数据将在其取消日期之后90天被删除。
对于付款失败的付费帐户,该帐户将在15天内暂停,并在90天后关闭。 账户关闭后,所有数据将在1周删除。
对于免费帐户,帐户闲置60天后会删除数据。
用于业务发票的发票数据将保留7年。
资料位置
Vtiger 的服务器位于美国、英国、欧盟(爱尔兰、法兰克福)、澳大利亚、新加坡、日本和印度。 存储数据的服务器取决于您开始免费 Vtiger 试用时所在的区域。
事件管理
描述组织为识别,分析和纠正危害以防止将来再次发生的活动的过程。 如果不加以管理,则事故可能会升级为紧急情况,危机或灾难。
报告
Vtiger每天都会备份每个客户实例的数据库和文件。 此备份存储在单独的服务器上,以防止出现硬件故障的风险。 在这种情况下,可以在8小时内恢复数据和服务访问。
专门的团队有责任查看适用于您的环境中发生的不同事件,我们将按照强制性措施来处理和报告该事件。 我们会跟踪问题的根本原因,并采取预防措施以避免将来再次出现此问题。 采取了进一步的措施和控制措施来缓解类似情况。
违反通知
如果在服务级别发现了违规行为,Vtiger将在发现后72小时内警告其客户和有关当局。