TimeTec quan tâm nghiêm túc đến vấn đề an ninh và điều tra tất cả các lỗ hổng được báo cáo. Trang này giải thích thực hành TimeTec cho việc giải quyết các lỗ hổng tiềm năng trong các khía cạnh của dịch vụ điện toán đám mây của chúng tôi.
ISO 27001
ISO 27001 là một tiêu chuẩn quản lý an ninh mà xác định thực hành tốt nhất quản lý an ninh và kiểm soát an ninh toàn diện sau 27.002 hướng dẫn thực hành tốt nhất theo tiêu chuẩn ISO. Các cơ sở của chứng nhận này là sự phát triển và thực hiện một chương trình bảo mật nghiêm ngặt, trong đó bao gồm việc phát triển và thực hiện một hệ thống thông tin quản lý an ninh (ISMS) trong đó xác định như thế nào TimeTec vĩnh viễn quản lý an ninh một cách tổng thể, toàn diện. tiêu chuẩn an ninh quốc tế công nhận rộng rãi này quy định tổ chức:
| • |
Có hệ thống đánh giá rủi ro an ninh thông tin của chúng tôi, có tính đến tác động của các mối đe dọa công ty và các lỗ hổng. |
| |
|
| • |
Thiết kế và thực hiện một bộ toàn diện kiểm soát an ninh thông tin và các hình thức quản lý rủi ro để giải quyết các công ty kiến trúc và rủi ro an ninh. |
| |
|
| • |
Thông qua một quá trình quản lý bao quát để đảm bảo rằng các điều khiển bảo mật thông tin đáp ứng nhu cầu bảo mật thông tin của chúng tôi trên cơ sở liên tục. |
Công ty đã thành công đạt được Hệ thống Quản lý An ninh Thông tin ISO / IEC (ISMS) vào ngày 8 tháng 3 năm 2018.
Sử dụng 2-Factor Authentication (2FA) trong TimeTec
Để tăng tính bảo mật, chúng tôi khuyên bạn nên cấu hình 2 nhân tố xác thực (2FA) để giúp bảo vệ tài khoản của bạn TimeTec. 2FA cho biết thêm an ninh bởi vì nó yêu cầu người dùng nhập mã xác nhận độc từ một thiết bị xác thực đã được phê duyệt. Phấn đấu để cung cấp cho người dùng của chúng tôi yên tâm, chúng tôi làm việc với các nhà cung cấp bên thứ ba nổi tiếng - Google Authenticator để tăng cường mức độ bảo mật của tài khoản TimeTec của bạn. tính năng xác thực 2 yếu tố này chắc chắn cải thiện an ninh bởi vì khi đăng nhập sẽ yêu cầu 2 thứ - một mã được tạo ra bởi các ứng dụng di động Google Authenticator ngoài mật khẩu tài khoản của bạn.
HTTPS:
Tất cả các thông tin liên lạc trong và ngoài nền tảng đám mây TimeTec của chúng tôi được thực hiện thông qua https. "Hypertext Transfer Protocol Secure (HTTPS) là một giao thức truyền thông để liên lạc an toàn qua mạng máy tính, đặc biệt là với việc triển khai rộng trên Internet. "
Amazon AWS:
Trong một nỗ lực để đảm bảo tất cả các dữ liệu của bạn sẽ được giữ an toàn chúng tôi đang sử dụng một trong những cái tên tốt nhất trong máy chủ và điện toán đám mây, Amazon AWS PaaS, "Nền tảng như một dịch vụ ". Về mặt kỹ thuật, chúng tôi đảm bảo dữ liệu của chúng tôi với các dịch vụ bảo mật sau.
TimeTec sử dụng dịch vụ AWS mà ISO 27001 và PCI DSS L1 Certified:
• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services Simple Storage Service (S3)
• Amazon Web Services Relational Database Service (RDS)
• Amazon Web Services đàn hồi Load Balancing (ELB)
• Amazon Web Services nhận dạng và quản lý truy cập (IAM)
• Amazon Web Services Elastic Khối Storage (EBS)
• Amazon Web Services Simple dịch vụ email (SES)
• Amazon Web Services CloudFront
• Amazon Web Services Route 53
• Amazon Web Services CloudWatch + Amazon Simple Dịch vụ thông báo (SNS)
• Amazon Web Services VPC
• Amazon Web Services khiên chuẩn để bảo vệ chống lại các cuộc tấn công DDoS
Báo cáo dễ bị tổn thương
Báo cáo lỗ hổng Nghi
Nếu bạn nghi ngờ rằng các nguồn lực TimeTec đang được sử dụng cho hoạt động đáng ngờ, bạn có thể báo cáo cho chúng tôi ở đây. Vì vậy mà chúng tôi có hiệu quả có thể đáp ứng với báo cáo của bạn, vui lòng cung cấp bất kỳ hỗ trợ vật chất mà có thể hữu ích trong việc giúp chúng ta hiểu được bản chất và mức độ nghiêm trọng của lỗ hổng.
Tất cả các thông tin mà bạn chia sẻ với TimeTec như trong quá trình này được giữ bí mật trong đội TimeTec và sẽ không được chia sẻ với bên thứ ba mà không có sự cho phép của bạn.
TimeTec sẽ xem xét các báo cáo gửi, sau đó chúng tôi sẽ trả lời bạn, thừa nhận nhận được báo cáo, và phác thảo các bước tiếp theo trong quá trình này.
Đánh giá bởi TimeTec
TimeTec sẽ làm việc để xác nhận các lỗ hổng được báo cáo, một lần báo cáo đã nhận được. Nếu cần thêm thông tin là cần thiết để xác nhận hoặc mô phỏng vấn đề, TimeTec sẽ làm việc với bạn để có được nó. Khi điều tra ban đầu hoàn tất, kết quả sẽ được gửi đến bạn cùng với một kế hoạch giải quyết và công bố công khai.
| Những điều cần lưu ý về Quy trình TimeTec Đánh giá: |
| 1. |
Bên thứ ba Sản phẩm - Nếu lỗ hổng được tìm thấy để ảnh hưởng đến một sản phẩm của bên thứ ba, TimeTec sẽ thông báo cho các bên liên quan. Chúng tôi sẽ tiếp tục phối hợp giữa bạn và bên thứ ba; danh tính của bạn sẽ không được tiết lộ cho bên thứ ba mà không có sự cho phép của bạn. |
| |
|
| 2. |
Xác nhận không lỗ hổng - Nếu vấn đề không thể được xác nhận, hoặc không được tìm thấy là một lỗ hổng trong sản phẩm TimeTec, chúng tôi sẽ chia sẻ thông tin với bạn. |
| |
|
| |
TimeTec muốn giữ cho bạn thông báo về sự tiến bộ của chúng tôi như chúng tôi điều tra và / hoặc giảm thiểu mối quan tâm an ninh báo cáo của bạn. Bạn sẽ nhận được một phản ứng không tự động để xúc ban đầu của bạn trong vòng 24 giờ, xác nhận lỗ hổng báo cáo của bạn. Bạn sẽ nhận được bản cập nhật sự tiến bộ của chúng tôi ít nhất năm ngày làm việc. |
Thông báo công cộng
Nếu có thể, TimeTec sẽ phối hợp thông báo công khai về một lỗ hổng xác nhận với các bạn. Chúng tôi muốn rằng việc tiết lộ công cộng tương ứng của chúng tôi được đăng cùng một lúc.
Để bảo vệ khách hàng của chúng tôi, TimeTec yêu cầu hợp tác của bạn để không gửi hoặc chia sẻ bất kỳ thông tin về một lỗ hổng tiềm năng trong bất kỳ thiết lập nào cho đến khi chúng tôi đã nghiên cứu, trả lời, và lý các lỗ hổng được báo cáo và khách hàng thông tin nếu cần thiết.
Chúng tôi cũng trân trọng đề nghị từ bạn để kiềm chế không đăng hoặc chia sẻ bất kỳ dữ liệu thuộc về khách hàng của chúng tôi. Phát biểu tại một lỗ hổng báo cáo hợp lệ là một quá trình khá dài và nó sẽ thay đổi dựa trên mức độ nghiêm trọng của lỗ hổng và các hệ thống bị ảnh hưởng.
