TimeTec จ่ายความสนใจอย่างจริงจังกับปัญหาการรักษาความปลอดภัยและการสำรวจช่องโหว่รายงานทั้งหมด หน้านี้จะอธิบายถึงการปฏิบัติ TimeTec สำหรับที่อยู่ช่องโหว่ที่มีศักยภาพในด้านของบริการคลาวด์ของเรา
มาตรฐาน ISO 27001
มาตรฐาน ISO 27001 เป็นมาตรฐานการจัดการความปลอดภัยที่ระบุการจัดการความปลอดภัยปฏิบัติที่ดีที่สุดและการควบคุมความปลอดภัยที่ครอบคลุมต่อไปนี้มาตรฐาน ISO 27002 คำแนะนำปฏิบัติที่ดีที่สุด พื้นฐานของการรับรองนี้คือการพัฒนาและการดำเนินงานของโปรแกรมรักษาความปลอดภัยอย่างเข้มงวดซึ่งรวมถึงการพัฒนาและการดำเนินงานของระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ซึ่งได้กำหนดวิธีการ TimeTec ตลอดการบริหารจัดการด้านความปลอดภัยในแบบองค์รวมลักษณะที่ครอบคลุม มาตรฐานการรักษาความปลอดภัยระหว่างประเทศอย่างกว้างขวางได้รับการยอมรับนี้ระบุหน่วยงาน:
| • |
ระบบประเมินความเสี่ยงด้านความปลอดภัยข้อมูลของเราคำนึงถึงผลกระทบของภัยคุกคามของ บริษัท และช่องโหว่ |
| |
|
| • |
ออกแบบและดำเนินการแบบครบวงจรของการควบคุมความปลอดภัยข้อมูลและรูปแบบอื่น ๆ ของการจัดการความเสี่ยงให้กับที่อยู่ของ บริษัท และสถาปัตยกรรมเสี่ยงด้านความปลอดภัย |
| |
|
| • |
นำมาใช้ในกระบวนการบริหารจัดการที่ครอบคลุมเพื่อให้แน่ใจว่าการควบคุมความปลอดภัยข้อมูลที่ตอบสนองความต้องการความปลอดภัยของข้อมูลของเราอย่างต่อเนื่อง |
บริษัท ได้รับการรับรองระบบการจัดการความมั่นคงข้อมูล ISO / IEC (ISMS) เรียบร้อยแล้วเมื่อวันที่ 8 มีนาคม พ.ศ. 2561
การทดสอบการสอดใส่
TimeTec มีส่วนร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ภายนอกเพื่อดำเนินการทดสอบการรุก (กล่องดำและกล่องสีขาวสำหรับ เว็บ และ แอพพลิเคชันบนมือถือ ) ที่เน้นปัญหาด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของระบบ TimeTec Cloud อย่างแท้จริง
การทดสอบการเจาะหรือการทดสอบปากกาเป็นความพยายามในการประเมินความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีได้อย่างปลอดภัยโดยพยายามที่จะใช้ประโยชน์จากช่องโหว่ ช่องโหว่เหล่านี้อาจมีอยู่ในระบบปฏิบัติการบริการและการประยุกต์ใช้ข้อบกพร่องการกำหนดค่าที่ไม่เหมาะสมหรือพฤติกรรมของผู้ใช้ปลายทางมีความเสี่ยง การประเมินผลดังกล่าวยังมีประโยชน์ในการตรวจสอบประสิทธิภาพของกลไกการป้องกัน, เช่นเดียวกับผู้ใช้ปลายทางยึดมั่นในนโยบายด้านความปลอดภัย การทดสอบการเจาะสามารถช่วยตรวจสอบว่าระบบมีความเสี่ยงที่จะถูกโจมตีถ้าป้องกันได้เพียงพอและการป้องกัน (ถ้ามี) การทดสอบความพ่ายแพ้
HTTPS:
การสื่อสารทั้งหมดในและออกจากระบบคลาวด์ของเรา TimeTec แพลตฟอร์มจะกระทำผ่าน https "Hypertext Transfer Protocol ที่ปลอดภัย (HTTPS) เป็นโปรโตคอลการสื่อสารสำหรับการสื่อสารที่ปลอดภัยผ่านเครือข่ายคอมพิวเตอร์ที่มีการใช้งานที่กว้างโดยเฉพาะอย่างยิ่งบนอินเทอร์เน็ต. "
AWS Amazon:
ในความพยายามเพื่อให้แน่ใจว่าข้อมูลทั้งหมดของคุณจะถูกเก็บไว้ที่เชื่อถือได้ของเราจะใช้หนึ่งในชื่อที่ดีที่สุดในเซิร์ฟเวอร์และคอมพิวเตอร์เมฆ, Amazon AWS PaaS "แพลตฟอร์มเป็น Service " เทคนิคการพูดที่เรารักษาความปลอดภัยข้อมูลของเรากับบริการรักษาความปลอดภัยต่อไป
TimeTec ใช้บริการ AWS ที่มีมาตรฐาน ISO 27001 และ PCI DSS L1 ได้รับการรับรอง:
• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services บริการการเก็บรักษาง่าย (S3)
• Amazon Web Services สัมพันธ์บริการฐานข้อมูล (RDS)
• Amazon Web Services Elastic Load Balancing (ELB)
• Amazon Web Services อัตลักษณ์และการจัดการการเข้าถึง (IAM)
• Amazon Web Services ยืดหยุ่นการจัดเก็บบล็อก (EBS)
• บริการอีเมล Amazon Web Services ง่าย (SES)
• Amazon Web Services CloudFront
• Amazon Web Services Route 53
• Amazon Web Services CloudWatch + Amazon บริการการแจ้งเตือนง่าย (SNS)
• Amazon Web Services VPC
• Amazon Web Services โล่มาตรฐานเพื่อป้องกันการโจมตี DDoS
รายงานช่องโหว่
รายงานช่องโหว่ที่ต้องสงสัยว่า
หากคุณสงสัยว่าทรัพยากร TimeTec จะถูกใช้สำหรับกิจกรรมที่น่าสงสัยคุณสามารถรายงานมาให้เรา ที่นี่ เพื่อให้เราได้อย่างมีประสิทธิภาพสามารถตอบสนองต่อรายงานของคุณโปรดให้การสนับสนุนวัสดุใด ๆ ที่จะเป็นประโยชน์ในการช่วยให้เราเข้าใจธรรมชาติและความรุนแรงของช่องโหว่
ข้อมูลทั้งหมดที่คุณแชร์กับ TimeTec เป็นในขั้นตอนนี้จะถูกเก็บไว้เป็นความลับภายในทีม TimeTec และจะไม่ถูกใช้ร่วมกันกับบุคคลที่สามโดยไม่ได้รับอนุญาตจากคุณ
TimeTec จะตรวจสอบรายงานที่ส่งแล้วเราก็จะกลับไปหาท่านยอมรับได้รับรายงานและร่างขั้นตอนต่อไปในกระบวนการ
การประเมินผลโดย TimeTec
TimeTec จะทำงานเพื่อตรวจสอบช่องโหว่รายงานเมื่อรายงานที่ได้รับ หากต้องการข้อมูลเพิ่มเติมในการตรวจสอบหรือการจำลองปัญหาที่ TimeTec จะทำงานร่วมกับคุณที่จะได้รับมัน เมื่อเริ่มต้นการสอบสวนเสร็จสมบูรณ์แล้วผลจะถูกส่งไปให้คุณไปพร้อมกับแผนการสำหรับการแก้ปัญหาและการเปิดเผยข้อมูลสาธารณะ
| สิ่งที่ควรทราบเกี่ยวกับขั้นตอนการประเมินผล TimeTec: |
| 1. |
พรรคที่สามผลิตภัณฑ์ - หากช่องโหว่ดังกล่าวพบว่าส่งผลกระทบต่อผลิตภัณฑ์ของบุคคลที่สาม TimeTec จะแจ้งให้บุคคลที่เกี่ยวข้อง เราจะยังคงประสานงานระหว่างคุณและบุคคลที่สาม ตัวตนของคุณจะไม่ถูกเปิดเผยต่อบุคคลที่สามไม่ได้รับอนุญาต |
| |
|
| 2. |
ยืนยันไม่ใช่ช่องโหว่ - หากปัญหายังไม่สามารถตรวจสอบได้หรือไม่ได้พบว่ามีข้อบกพร่องในผลิตภัณฑ์ TimeTec เราจะใช้ข้อมูลร่วมกันกับคุณ |
| |
|
| |
TimeTec ต้องการที่จะแจ้งให้คุณทราบถึงความคืบหน้าของเราที่เราตรวจสอบและ / หรือบรรเทาความกังวลความปลอดภัยของคุณรายงาน คุณจะได้รับการตอบสนองที่ไม่ใช่อัตโนมัติเพื่อการติดต่อครั้งแรกของคุณภายใน 24 ชั่วโมงเพื่อยืนยันการรับของช่องโหว่การรายงานของคุณ คุณจะได้รับการอัปเดตความคืบหน้าจากเราอย่างน้อยทุกห้าวันทำการ |
การแจ้งเตือนประชาชน
หากเป็นไปได้ TimeTec จะได้ประสานงานการแจ้งเตือนประชาชนในการตรวจสอบช่องโหว่กับคุณ เราต้องการให้การเปิดเผยข้อมูลสาธารณะของเรานั้นถูกโพสต์ไปพร้อม ๆ กัน
เพื่อที่จะปกป้องลูกค้าของเรา TimeTec ขอความร่วมมือของคุณจะไม่โพสต์หรือแบ่งปันข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในการตั้งค่าสาธารณะใด ๆ จนกว่าเราจะได้วิจัยการตอบสนองและการแก้ไขช่องโหว่รายงานและลูกค้าทราบหากมีความจำเป็น
นอกจากนี้เรายังกราบขอจากคุณให้ละเว้นจากการโพสต์หรือแบ่งปันข้อมูลใด ๆ ที่เป็นลูกค้าของเรา Addressing รายงานช่องโหว่ที่ถูกต้องเป็นกระบวนการที่ค่อนข้างยาวและมันจะแตกต่างกันขึ้นอยู่กับความรุนแรงของความเสี่ยงและระบบได้รับผลกระทบ
