點將台認真對待安全問題,對所有呈上的漏洞徹底調查。此頁解釋點將台解決雲服務方面潛在安全漏洞的做法。
ISO 27001
ISO 27001 是一種安全管理標準,它遵循 ISO 27002 的最佳實踐指導原則,並用於指定安全管理最佳實踐以及全面的安全控制。此項認證的基礎是製定並實施嚴格的安全計劃,包括開發和實施信息安全管理系統 (ISMS),規定 點將台應如何通過整體全面的方法持續管理安全性。這種被廣泛認可的國際安全標準指定實體應:
| • |
系統地評估我們的信息安全風險,並將公司威脅和漏洞的影響納入考慮範圍。 |
| |
|
| • |
設計並實施一套全面的信息安全控制以及其他形式的風險管理,以解決公司和架構安全風險。 |
| |
|
| • |
採用總體管理過程,確保信息安全控制能夠持續滿足我們的信息安全需求。 |
公司於2018年3月8日成功獲得ISO / IEC信息安全管理體系(ISMS)。
超文本傳輸安全協議
所有點將台雲應用平台的傳輸採用https規格。 https為超文本傳輸安全協議,為互聯網廣泛使用的一種傳輸和網絡安全的協議。
亞馬遜AWS:
為了確保你的數據安全,我們採用業界知名的亞馬遜雲計算AWS的PaaS,“平台即服務”。技術上稱謂,我們的數據架在得到安全認證規格的雲服務上面。
點將台採用了擁有ISO 27001及PCI DSS L1認證的亞馬遜AWS服務:
• 亞馬遜雲中的虛擬服務器(EC2)
• 亞馬遜簡易儲存服務(S3)
• 亞馬遜關聯數據庫服務 (RDS)
• 亞馬遜彈性負載平衡服務(ELB)
• 亞馬遜身份和訪問管理服務 (IAM)
• 亞馬遜彈性區塊儲存服務(EBS)
• 亞馬遜簡易電郵服務(SES)
• 亞馬遜雲前線
• 亞馬遜路徑53
• 亞馬遜雲監控+亞馬遜簡易通知服務(SNS)
• 亞馬遜VPC
• 亞馬遜Web服務標準的盾防禦DDoS攻擊
漏洞報告
報告疑似漏洞
如果您懷疑點將台雲考勤資源正被用於可疑活動,可以通過這裡將其報告給我們。請提供任何支持資料(概念驗證代碼、工具輸出等),以便我們更高效地回复您的報告。這些資料對於幫助我們了解該漏洞的特性和嚴重性非常有用。
點將台會對您在此過程中共享的信息保密。未經您的許可,點將台不會與第三方共享這些信息。
點將台將查看提交的報告,並為其指定一個追踪編號。然後,我們將回复您,確認已收到該報告,並概述將要進行的後續步驟。
點將台評估
提交報告後,點將台將驗證所報告的漏洞。如果需要其他信息才能驗證或重現該問題,點將台將從您這裡獲得該信息。完成初期調查後,將向您發送結果以及解決問題和公開披露的計劃。
| 關於點將台評估過程的幾個注意事項: |
| 1. |
第三方產品-如果該漏洞影響第三方產品,點將台將通知受影響軟件的作者。點將台將繼續在您和第三方之間進行協調。沒有您的允許,我們不會將您的身份透露給第三方。 |
| |
|
| 2. |
非漏洞確認-如果我們無法驗證該問題,或者認為它不是點將台產品中的漏洞,將與您分享該結果。 |
| |
|
| |
點將台承諾會盡快回應報告,並在我們調查和/或減輕您報告的安全問題期間始終讓您知道我們的進度。在您初次聯繫之後的 24 小時內,您將收到一封非自動郵件回复,確認我們已收到報告的漏洞。您至少每五個工作日都會收到來自我們的進度更新。 |
公開通知
如果適用,點將台將向您發送經過驗證的漏洞的公開通知。
如果可能,我們希望同時發佈各個公開披露的公告。為了保護我們的客戶,點將台請求您在我們對報告的漏洞和知情客戶(如果需要)作出研究、回復和處理之前,不要在任何公共場合發布或分享有關潛在漏洞的任何信息。同樣請不要發布或分享屬於我們客戶的任何數據。處理報告的有效漏洞需要花費一些時間。根據漏洞嚴重性和受影響的系統,具體時間有所不同。
