Cloud Security Policy | TimeTec
云端安全策略
点将台认真对待安全问题,对所有呈上的漏洞彻底调查。此页解释点将台解决云服务方面潜在安全漏洞的做法。
ISO/IEC 27001, ISO/IEC 27017 & ISO/IEC 27018

ISO 27001 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO 27002 best practice guidance. In addition, we align with ISO/IEC 27017 and ISO/IEC 27018 standards to implement enhanced controls specific to cloud security and the protection of personally identifiable information (PII) in cloud environments. These frameworks reinforce our commitment to privacy, confidentiality, and regulatory compliance in delivering secure cloud services. The basis of this certification is the development and implementation of a rigorous security program, which includes the development and implementation of an Information Security Management System (ISMS) which defines how TimeTec perpetually manages security in a holistic, comprehensive manner. This widely-recognized international security standard specifies entities:
系统地评估我们的信息安全风险,并将公司威胁和漏洞的影响纳入考虑范围。
   
设计并实施一套全面的信息安全控制以及其他形式的风险管理,以解决公司和架构安全风险。
   
采用总体管理过程,确保信息安全控制能够持续满足我们的信息安全需求。


The Company has maintained ISO/IEC Information Security Management System (ISMS) certification since 8th March 2018.
渗透测试

TimeTec engages with an external Cyber-security specialist to conduct penetration test (Black Box & White Box for Web and Mobile Application) that focus on real security and compliance problems for TimeTec Cloud System.
渗透测试是一个试图通过发掘漏洞来评估IT基础架构的安全性的尝试。这些漏洞可能会出现在操作系统、服务和应用程序、不正确的配置或冒险的用户行为。这种评估验证防御机制的有效性,以及确保用户遵守的云端安全策略。渗透测试可以帮助确定系统是否容易受到攻击、防御是否充足、以及确定任何防御试验失败(如有)。

公司每年都会针对我们的解决方案进行渗透测试,以实现更好的漏洞管理。我们致力于缓解所有已识别的漏洞,以保持最佳安全级别。这些测试的结果是严格保密的,任何获取测试报告的请求都必须提交给我们 ;伴随着签署保密协议,报告的发布完全由我们自行决定。

 Download NDA
在点将台使用双因素认证(2FA)

为了提高安全性,我们建议您配置双因素认证(2FA)帮助保护您的点将台帐户。双因素认证需要用户从获得批准的认证设备取得独特的认证码,以此增加安全性。点将台努力让广大用户安心,我们与知名的第三方供应商 - 谷歌身份认证合作,以提高点将台帐户的安全级别。登录具双因素认证功能的账号需要两大因素 - 您的账号密码以及谷歌身份验证器移动App生成的代码, 有效提高安全性。
对双因素认证有任何问题?您可以去http://www.timetecta.com/2step了解更多。
超文本传输安全协议:

所有点将台云应用平台的传输采用https规格。https为超文本传输安全协议,为互联网广泛使用的一种传输和网络安全的协议。
亚马逊AWS:

为了确保你的数据安全,我们采用业界知名的亚马逊云计算AWS的PaaS,“平台即服务”。技术上称谓,我们的数据架在得到安全认证规格的云服务上面。
点将台采用了拥有ISO 27001及PCI DSS L1认证的亚马逊AWS服务:

• 亚马逊云中的虚拟服务器(EC2)
• 亚马逊简易储存服务(S3)
• 亚马逊关联数据库服务 (RDS)
• 亚马逊弹性负载平衡服务(ELB)
• 亚马逊身份和访问管理服务 (IAM)
• 亚马逊弹性区块储存服务(EBS)
• 亚马逊简易电邮服务(SES)
• 亚马逊云前线
• 亚马逊路径53
• 亚马逊云监控+亚马逊简易通知服务(SNS)
• 亚马逊VPC
• 亚马逊Web服务标准的盾防御DDoS攻击
• Amazon GuardDuty - Intelligent Threat Detection
漏洞报告

报告疑似漏洞
如果您怀疑点将台云考勤资源正被用于可疑活动,可以通过这里将其报告给我们。请提供任何支持资料(概念验证代码、工具输出等),以便我们更高效地回复您的报告。这些资料对于帮助我们了解该漏洞的特性和严重性非常有用。

点将台会对您在此过程中共享的信息保密。未经您的许可,点将台不会与第三方共享这些信息。

点将台将查看提交的报告,并为其指定一个追踪编号。然后,我们将回复您,确认已收到该报告,并概述将要进行的后续步骤。
点将台评估
提交报告后,点将台将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,点将台将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和公开披露的计划。
关于点将台评估过程的几个注意事项:
1. 第三方产品-如果该漏洞影响第三方产品,点将台将通知受影响软件的作者。点将台将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。
   
2. 非漏洞确认-如果我们无法验证该问题,或者认为它不是点将台产品中的漏洞,将与您分享该结果。
   
  点将台承诺会尽快回应报告,并在我们调查和/或减轻您报告的安全问题期间始终让您知道我们的进度。在您初次联系之后的 24 小时内,您将收到一封非自动邮件回复,确认我们已收到报告的漏洞。您至少每五个工作日都会收到来自我们的进度更新。
公开通知
如果适用,点将台将向您发送经过验证的漏洞的公开通知。

如果可能,我们希望同时发布各个公开披露的公告。为了保护我们的客户,点将台请求您在我们对报告的漏洞和知情客户(如果需要)作出研究、回复和处理之前,不要在任何公共场合发布或分享有关潜在漏洞的任何信息。同样请不要发布或分享属于我们客户的任何数据。处理报告的有效漏洞需要花费一些时间。根据漏洞严重性和受影响的系统,具体时间有所不同。
报告安全问题

如果您是一个安全研究员并在点将台的云服务中发现任何安全问题,请把您的发现发电邮给security@timeteccloud.com
如果您没把安全漏洞呈报上来,我们将无法解决您的问题。以下几点或许可以帮助您解决问题:
 
 1. 对于未知、可疑的或欺诈性的采购、订单或信用卡交易,可疑的密码更改或账户变更,或任何潜在的欺诈行为,请联系sales@timeteccloud.com
   
 2. 若有其他关于点将台的问题,请联系support@timeteccloud.com