簡介
Vtiger信息和信息系統是寶貴的資產,必須受到保護。 這是通過實施適當的安全框架來管理Vtiger的風險並通過防止安全事件並減少其潛在影響來確保業務連續性來實現的。
組織安全
跨域和業務流程定義和實施策略和過程。 這些策略用於測試控件並保護Vtiger信息和信息資源的機密性,可用性和完整性。
員工審核
每位員工在正式加入公司之前都要經過審查。 Vtiger僱用外部第三方供應商來完成背景驗證,其中包括審查犯罪記錄,以前的工作記錄(如果有)以及教育背景。
培訓和意識
創建安全意識內容並在不同團隊中分發,以確保Vtiger員工了解信息安全策略,新出現的威脅和常見的攻擊媒介。 除此安全意識研討會之外,還舉辦了一些旨在提高人們對威脅,安全實踐和公司策略的意識的會議。
物理安全
Vtiger的公司安全負責保護物理位置的Vtiger資產。 Vtiger使用閉路電視攝像機監控房屋,根據該地點的要求,可以在一定時期內提供備用錄像。 在使用生物識別和鑰匙卡識別後,才可以進入該場所。
對於雲資源(如AWS,DigitalOcean,OVH),雲ISP負責保護資產並維護適當的安全控制。 有關如何找到ISP安全控制的更多詳細信息 這裡.
營運安全
這些做法的重點是監視實時通信系統中的活動威脅和過程,以保護信息系統。
記錄與監控
基礎架構和應用程序使用專有和企業工具進行24X7全天候監控。 我們監視網絡中的內部流量以及設備和終端的使用情況。 我們記錄事件日誌,審核日誌,故障日誌,管理員日誌和操作員日誌,並對這些日誌進行異常和事件分析。 這些日誌以隔離的方式安全地存儲。
漏洞評估
Vtiger還聘請了一個安全團隊來發現和解決我們軟件中的漏洞,並激勵我們更廣泛的軟件安全社區成員識別和報告漏洞。
備份
Vtiger每天都會備份每個客戶實例的數據庫和文件。 此備份存儲在單獨的服務器上,以防止出現硬件故障的風險。 在這種情況下,可以在8小時內恢復數據和服務訪問。
安全補丁
Vtiger進行預防性維護,以通過在內部開發補丁或以其他方式可用時部署補丁來防禦任何潛在的漏洞。
數據保障及安全
數據是業務的關鍵,並且為了始終保持數據的機密性,可用性和完整性,我們遵循圍繞我們的體系結構,開發和運營的嚴格準則。
工程實踐
工程團隊遵循安全的編碼準則,以及在生產中部署代碼之前對其進行人工檢查/篩選。
安全編碼指南基於OWASP標準,並已相應實施,以防止應用程序層中常見的威脅和攻擊媒介(例如SQL注入,跨站點腳本)。
資料隔離
Vtiger 遵循單租戶架構,因此每個實例都有自己的單獨空間分配給它們。 這些實例不知道每個其他實例,因此單獨運行。
加密
在途中
在瀏覽器和Vtiger服務器之間傳輸的所有數據均通過行業標準TLS 1.2 / 1.3保護。 這包括webapps,API,移動應用程序和IMAP / POP / SMTP電子郵件客戶端訪問。
我們已經為所有網絡流量啟用了安全配置,例如完美轉發保密(PFS)和HTTP嚴格傳輸安全標頭(HSTS),這要求瀏覽器僅通過加密的通信通道進行連接。
在休息
所有服務器的存儲磁盤均使用磁盤級加密進行加密。
使用敏感字段的客戶數據使用256位高級加密標準(AES)加密,我們使用AWS Key Management Service(KMS)進行密鑰管理。
在AWS S256上使用AES-3對備份進行加密。
數據保留和刪除
只要客戶數據是該服務的有效訂戶,我們便會保留它們,如果取消或不活動,則遵循以下規則以確保數據處理。
對於未開始付費訂閱的試用帳戶,數據將在試用期結束12天后刪除。
對於已取消的付費帳戶,數據將在其取消日期之後90天被刪除。
對於付款失敗的付費帳戶,該帳戶將在15天內暫停,並在90天后關閉。 賬戶關閉後,所有數據將在1週刪除。
對於免費帳戶,帳戶閒置60天后會刪除數據。
用於業務發票的發票數據將保留7年。
資料位置
Vtiger 的服務器位於美國、英國、歐盟(愛爾蘭、法蘭克福)、澳大利亞、新加坡、日本和印度。 存儲數據的服務器取決於您開始免費 Vtiger 試用時所在的區域。
事件管理
描述組織為識別,分析和糾正危害以防止將來再次發生的活動的過程。 如果不加以管理,則事故可能會升級為緊急情況,危機或災難。
報告
Vtiger每天都會備份每個客戶實例的數據庫和文件。 此備份存儲在單獨的服務器上,以防止出現硬件故障的風險。 在這種情況下,可以在8小時內恢復數據和服務訪問。
專門的團隊有責任查看適用於您的環境中發生的不同事件,我們將按照強制性措施來處理和報告該事件。 我們會跟踪問題的根本原因,並採取預防措施以避免將來再次出現此問題。 採取了進一步的措施和控制措施來緩解類似情況。
違反通知
如果在服務級別發現了違規行為,Vtiger將在發現後72小時內警告其客戶和有關當局。