点将台认真对待安全问题,对所有呈上的漏洞彻底调查。此页解释点将台解决云服务方面潜在安全漏洞的做法。
ISO 27001
ISO 27001 是一种安全管理标准,它遵循 ISO 27002 的最佳实践指导原则,并用于指定安全管理最佳实践以及全面的安全控制。此项认证的基础是制定并实施严格的安全计划,包括开发和实施信息安全管理系统 (ISMS),规定 点将台应如何通过整体全面的方法持续管理安全性。这种被广泛认可的国际安全标准指定实体应:
• |
系统地评估我们的信息安全风险,并将公司威胁和漏洞的影响纳入考虑范围。 |
|
|
• |
设计并实施一套全面的信息安全控制以及其他形式的风险管理,以解决公司和架构安全风险。 |
|
|
• |
采用总体管理过程,确保信息安全控制能够持续满足我们的信息安全需求。 |
本公司于2018年3月8日成功获得ISO / IEC信息安全管理体系(ISMS)。
超文本传输安全协议:
所有点将台云应用平台的传输采用https规格。https为超文本传输安全协议,为互联网广泛使用的一种传输和网络安全的协议。
亚马逊AWS:
为了确保你的数据安全,我们采用业界知名的亚马逊云计算AWS的PaaS,“平台即服务”。技术上称谓,我们的数据架在得到安全认证规格的云服务上面。
点将台采用了拥有ISO 27001及PCI DSS L1认证的亚马逊AWS服务:
• 亚马逊云中的虚拟服务器(EC2)
• 亚马逊简易储存服务(S3)
• 亚马逊关联数据库服务 (RDS)
• 亚马逊弹性负载平衡服务(ELB)
• 亚马逊身份和访问管理服务 (IAM)
• 亚马逊弹性区块储存服务(EBS)
• 亚马逊简易电邮服务(SES)
• 亚马逊云前线
• 亚马逊路径53
• 亚马逊云监控+亚马逊简易通知服务(SNS)
• 亚马逊VPC
• 亚马逊Web服务标准的盾防御DDoS攻击
漏洞报告
报告疑似漏洞
如果您怀疑点将台云考勤资源正被用于可疑活动,可以通过这里将其报告给我们。请提供任何支持资料(概念验证代码、工具输出等),以便我们更高效地回复您的报告。这些资料对于帮助我们了解该漏洞的特性和严重性非常有用。
点将台会对您在此过程中共享的信息保密。未经您的许可,点将台不会与第三方共享这些信息。
点将台将查看提交的报告,并为其指定一个追踪编号。然后,我们将回复您,确认已收到该报告,并概述将要进行的后续步骤。
点将台评估
提交报告后,点将台将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,点将台将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和公开披露的计划。
关于点将台评估过程的几个注意事项: |
1. |
第三方产品-如果该漏洞影响第三方产品,点将台将通知受影响软件的作者。点将台将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。 |
|
|
2. |
非漏洞确认-如果我们无法验证该问题,或者认为它不是点将台产品中的漏洞,将与您分享该结果。 |
|
|
|
点将台承诺会尽快回应报告,并在我们调查和/或减轻您报告的安全问题期间始终让您知道我们的进度。在您初次联系之后的 24 小时内,您将收到一封非自动邮件回复,确认我们已收到报告的漏洞。您至少每五个工作日都会收到来自我们的进度更新。 |
公开通知
如果适用,点将台将向您发送经过验证的漏洞的公开通知。
如果可能,我们希望同时发布各个公开披露的公告。为了保护我们的客户,点将台请求您在我们对报告的漏洞和知情客户(如果需要)作出研究、回复和处理之前,不要在任何公共场合发布或分享有关潜在漏洞的任何信息。同样请不要发布或分享属于我们客户的任何数据。处理报告的有效漏洞需要花费一些时间。根据漏洞严重性和受影响的系统,具体时间有所不同。