Cloud Security Policy | TimeTec
雲端安全策略
點將台認真對待安全問題,對所有呈上的漏洞徹底調查。此頁解釋點將台解決雲服務方面潛在安全漏洞的做法。
ISO/IEC 27001, ISO/IEC 27017 & ISO/IEC 27018

ISO 27001 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO 27002 best practice guidance. In addition, we align with ISO/IEC 27017 and ISO/IEC 27018 standards to implement enhanced controls specific to cloud security and the protection of personally identifiable information (PII) in cloud environments. These frameworks reinforce our commitment to privacy, confidentiality, and regulatory compliance in delivering secure cloud services. The basis of this certification is the development and implementation of a rigorous security program, which includes the development and implementation of an Information Security Management System (ISMS) which defines how TimeTec perpetually manages security in a holistic, comprehensive manner. This widely-recognized international security standard specifies entities:
系統地評估我們的信息安全風險,並將公司威脅和漏洞的影響納入考慮範圍。
   
設計並實施一套全面的信息安全控制以及其他形式的風險管理,以解決公司和架構安全風險。
   
採用總體管理過程,確保信息安全控制能夠持續滿足我們的信息安全需求。


The Company has maintained ISO/IEC Information Security Management System (ISMS) certification since 8th March 2018.
滲透測試

TimeTec engages with an external Cyber-security specialist to conduct penetration test (Black Box & White Box for Web and Mobile Application) that focus on real security and compliance problems for TimeTec Cloud System.
滲透測試是一個試圖通過發掘漏洞來評估IT基礎架構的安全性的嘗試。這些漏洞可能會出現在操作系統、服務和應用程序、不正確的配置或冒險的用戶行為。這種評估驗證防禦機制的有效性,以及確保用戶遵守的雲端安全策略。滲透測試可以幫助確定係統是否容易受到攻擊、防禦是否充足、以及確定任何防禦試驗失敗(如有)。

公司每年都會針對我們的解決方案進行滲透測試,以實現更好的漏洞管理。我們致力於緩解所有已識別的漏洞,以保持最佳安全級別。這些測試的結果是嚴格保密的,任何獲取測試報告的請求都必須提交給我們 ;伴隨著簽署保密協議,報告的發布完全由我們自行決定。

Download NDA
在點將台使用雙因素認證(2FA)

為了提高安全性,我們建議您配置雙因素認證(2FA)幫助保護您的點將台帳戶。雙因素認證需要用戶從獲得批准的認證設備取得獨特的認證碼,以此增加安全性。點將台努力讓廣大用戶安心,我們與知名的第三方供應商 - 谷歌身份認證合作,以提高點將台帳戶的安全級別。登錄具雙因素認證功能的賬號需要兩大因素 - 您的賬號密碼以及谷歌身份驗證器移動App生成的代碼, 有效提高安全性。
對雙因素認證有任何問題?您可以去http://www.timetecta.com/2step了解更多。
超文本傳輸安全協議

所有點將台雲應用平台的傳輸採用https規格。 https為超文本傳輸安全協議,為互聯網廣泛使用的一種傳輸和網絡安全的協議。
亞馬遜AWS:

為了確保你的數據安全,我們採用業界知名的亞馬遜雲計算AWS的PaaS,“平台即服務”。技術上稱謂,我們的數據架在得到安全認證規格的雲服務上面。
點將台採用了擁有ISO 27001及PCI DSS L1認證的亞馬遜AWS服務:

• 亞馬遜雲中的虛擬服務器(EC2)
• 亞馬遜簡易儲存服務(S3)
• 亞馬遜關聯數據庫服務 (RDS)
• 亞馬遜彈性負載平衡服務(ELB)
• 亞馬遜身份和訪問管理服務 (IAM)
• 亞馬遜彈性區塊儲存服務(EBS)
• 亞馬遜簡易電郵服務(SES)
• 亞馬遜雲前線
• 亞馬遜路徑53
• 亞馬遜雲監控+亞馬遜簡易通知服務(SNS)
• 亞馬遜VPC
• 亞馬遜Web服務標準的盾防禦DDoS攻擊
• Amazon GuardDuty - Intelligent Threat Detection
漏洞報告

報告疑似漏洞
如果您懷疑點將台雲考勤資源正被用於可疑活動,可以通過這裡將其報告給我們。請提供任何支持資料(概念驗證代碼、工具輸出等),以便我們更高效地回复您的報告。這些資料對於幫助我們了解該漏洞的特性和嚴重性非常有用。

點將台會對您在此過程中共享的信息保密。未經您的許可,點將台不會與第三方共享這些信息。

點將台將查看提交的報告,並為其指定一個追踪編號。然後,我們將回复您,確認已收到該報告,並概述將要進行的後續步驟。
點將台評估
提交報告後,點將台將驗證所報告的漏洞。如果需要其他信息才能驗證或重現該問題,點將台將從您這裡獲得該信息。完成初期調查後,將向您發送結果以及解決問題和公開披露的計劃。
關於點將台評估過程的幾個注意事項:
1. 第三方產品-如果該漏洞影響第三方產品,點將台將通知受影響軟件的作者。點將台將繼續在您和第三方之間進行協調。沒有您的允許,我們不會將您的身份透露給第三方。
   
2. 非漏洞確認-如果我們無法驗證該問題,或者認為它不是點將台產品中的漏洞,將與您分享該結果。
   
  點將台承諾會盡快回應報告,並在我們調查和/或減輕您報告的安全問題期間始終讓您知道我們的進度。在您初次聯繫之後的 24 小時內,您將收到一封非自動郵件回复,確認我們已收到報告的漏洞。您至少每五個工作日都會收到來自我們的進度更新。
公開通知
如果適用,點將台將向您發送經過驗證的漏洞的公開通知。

如果可能,我們希望同時發佈各個公開披露的公告。為了保護我們的客戶,點將台請求您在我們對報告的漏洞和知情客戶(如果需要)作出研究、回復和處理之前,不要在任何公共場合發布或分享有關潛在漏洞的任何信息。同樣請不要發布或分享屬於我們客戶的任何數據。處理報告的有效漏洞需要花費一些時間。根據漏洞嚴重性和受影響的系統,具體時間有所不同。
報告安全問題

如果您是一個安全研究員並在點將台的雲服務中發現任何安全問題,請把您的發現發電郵給security@timeteccloud.com
如果您沒把安全漏洞呈報上來,我們將無法解決您的問題。以下幾點或許可以幫助您解決問題:
 
 1. 對於未知、可疑的或欺詐性的採購、訂單或信用卡交易,可疑的密碼更改或賬戶變更,或任何潛在的欺詐行為,請聯繫sales@timeteccloud.com
   
 2. 若有其他關於點將台的問題,請聯繫support@timeteccloud.com