點將台認真對待安全問題,對所有呈上的漏洞徹底調查。此頁解釋點將台解決雲服務方面潛在安全漏洞的做法。
ISO/IEC 27001, ISO/IEC 27017 & ISO/IEC 27018
ISO 27001 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO 27002 best practice guidance. In addition, we align with ISO/IEC 27017 and ISO/IEC 27018 standards to implement enhanced controls specific to cloud security and the protection of personally identifiable information (PII) in cloud environments. These frameworks reinforce our commitment to privacy, confidentiality, and regulatory compliance in delivering secure cloud services. The basis of this certification is the development and implementation of a rigorous security program, which includes the development and implementation of an Information Security Management System (ISMS) which defines how TimeTec perpetually manages security in a holistic, comprehensive manner. This widely-recognized international security standard specifies entities:
• |
系統地評估我們的信息安全風險,並將公司威脅和漏洞的影響納入考慮範圍。 |
|
|
• |
設計並實施一套全面的信息安全控制以及其他形式的風險管理,以解決公司和架構安全風險。 |
|
|
• |
採用總體管理過程,確保信息安全控制能夠持續滿足我們的信息安全需求。 |
The Company has maintained ISO/IEC Information Security Management System (ISMS) certification since 8th March 2018.
超文本傳輸安全協議
所有點將台雲應用平台的傳輸採用https規格。 https為超文本傳輸安全協議,為互聯網廣泛使用的一種傳輸和網絡安全的協議。
亞馬遜AWS:
為了確保你的數據安全,我們採用業界知名的亞馬遜雲計算AWS的PaaS,“平台即服務”。技術上稱謂,我們的數據架在得到安全認證規格的雲服務上面。
點將台採用了擁有ISO 27001及PCI DSS L1認證的亞馬遜AWS服務:
• 亞馬遜雲中的虛擬服務器(EC2)
• 亞馬遜簡易儲存服務(S3)
• 亞馬遜關聯數據庫服務 (RDS)
• 亞馬遜彈性負載平衡服務(ELB)
• 亞馬遜身份和訪問管理服務 (IAM)
• 亞馬遜彈性區塊儲存服務(EBS)
• 亞馬遜簡易電郵服務(SES)
• 亞馬遜雲前線
• 亞馬遜路徑53
• 亞馬遜雲監控+亞馬遜簡易通知服務(SNS)
• 亞馬遜VPC
• 亞馬遜Web服務標準的盾防禦DDoS攻擊
• Amazon GuardDuty - Intelligent Threat Detection
漏洞報告
報告疑似漏洞
如果您懷疑點將台雲考勤資源正被用於可疑活動,可以通過這裡將其報告給我們。請提供任何支持資料(概念驗證代碼、工具輸出等),以便我們更高效地回复您的報告。這些資料對於幫助我們了解該漏洞的特性和嚴重性非常有用。
點將台會對您在此過程中共享的信息保密。未經您的許可,點將台不會與第三方共享這些信息。
點將台將查看提交的報告,並為其指定一個追踪編號。然後,我們將回复您,確認已收到該報告,並概述將要進行的後續步驟。
點將台評估
提交報告後,點將台將驗證所報告的漏洞。如果需要其他信息才能驗證或重現該問題,點將台將從您這裡獲得該信息。完成初期調查後,將向您發送結果以及解決問題和公開披露的計劃。
關於點將台評估過程的幾個注意事項: |
1. |
第三方產品-如果該漏洞影響第三方產品,點將台將通知受影響軟件的作者。點將台將繼續在您和第三方之間進行協調。沒有您的允許,我們不會將您的身份透露給第三方。 |
|
|
2. |
非漏洞確認-如果我們無法驗證該問題,或者認為它不是點將台產品中的漏洞,將與您分享該結果。 |
|
|
|
點將台承諾會盡快回應報告,並在我們調查和/或減輕您報告的安全問題期間始終讓您知道我們的進度。在您初次聯繫之後的 24 小時內,您將收到一封非自動郵件回复,確認我們已收到報告的漏洞。您至少每五個工作日都會收到來自我們的進度更新。 |
公開通知
如果適用,點將台將向您發送經過驗證的漏洞的公開通知。
如果可能,我們希望同時發佈各個公開披露的公告。為了保護我們的客戶,點將台請求您在我們對報告的漏洞和知情客戶(如果需要)作出研究、回復和處理之前,不要在任何公共場合發布或分享有關潛在漏洞的任何信息。同樣請不要發布或分享屬於我們客戶的任何數據。處理報告的有效漏洞需要花費一些時間。根據漏洞嚴重性和受影響的系統,具體時間有所不同。