Cloud Security Policy | TimeTec
นโยบายความปลอดภัยของระบบคลาวด์
TimeTec จ่ายความสนใจอย่างจริงจังกับปัญหาการรักษาความปลอดภัยและการสำรวจช่องโหว่รายงานทั้งหมด หน้านี้จะอธิบายถึงการปฏิบัติ TimeTec สำหรับที่อยู่ช่องโหว่ที่มีศักยภาพในด้านของบริการคลาวด์ของเรา
ISO/IEC 27001, ISO/IEC 27017 & ISO/IEC 27018

ISO 27001 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO 27002 best practice guidance. In addition, we align with ISO/IEC 27017 and ISO/IEC 27018 standards to implement enhanced controls specific to cloud security and the protection of personally identifiable information (PII) in cloud environments. These frameworks reinforce our commitment to privacy, confidentiality, and regulatory compliance in delivering secure cloud services. The basis of this certification is the development and implementation of a rigorous security program, which includes the development and implementation of an Information Security Management System (ISMS) which defines how TimeTec perpetually manages security in a holistic, comprehensive manner. This widely-recognized international security standard specifies entities:
ระบบประเมินความเสี่ยงด้านความปลอดภัยข้อมูลของเราคำนึงถึงผลกระทบของภัยคุกคามของ บริษัท และช่องโหว่
   
ออกแบบและดำเนินการแบบครบวงจรของการควบคุมความปลอดภัยข้อมูลและรูปแบบอื่น ๆ ของการจัดการความเสี่ยงให้กับที่อยู่ของ บริษัท และสถาปัตยกรรมเสี่ยงด้านความปลอดภัย
   
นำมาใช้ในกระบวนการบริหารจัดการที่ครอบคลุมเพื่อให้แน่ใจว่าการควบคุมความปลอดภัยข้อมูลที่ตอบสนองความต้องการความปลอดภัยของข้อมูลของเราอย่างต่อเนื่อง


The Company has maintained ISO/IEC Information Security Management System (ISMS) certification since 8th March 2018.
การทดสอบการสอดใส่

TimeTec engages with an external Cyber-security specialist to conduct penetration test (Black Box & White Box for Web and Mobile Application) that focus on real security and compliance problems for TimeTec Cloud System.
การทดสอบการเจาะหรือการทดสอบปากกาเป็นความพยายามในการประเมินความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีได้อย่างปลอดภัยโดยพยายามที่จะใช้ประโยชน์จากช่องโหว่ ช่องโหว่เหล่านี้อาจมีอยู่ในระบบปฏิบัติการบริการและการประยุกต์ใช้ข้อบกพร่องการกำหนดค่าที่ไม่เหมาะสมหรือพฤติกรรมของผู้ใช้ปลายทางมีความเสี่ยง การประเมินผลดังกล่าวยังมีประโยชน์ในการตรวจสอบประสิทธิภาพของกลไกการป้องกัน, เช่นเดียวกับผู้ใช้ปลายทางยึดมั่นในนโยบายด้านความปลอดภัย การทดสอบการเจาะสามารถช่วยตรวจสอบว่าระบบมีความเสี่ยงที่จะถูกโจมตีถ้าป้องกันได้เพียงพอและการป้องกัน (ถ้ามี) การทดสอบความพ่ายแพ้

บริษัท ทำการทดสอบการเจาะระบบเป็นประจำทุกปีเพื่อหาแนวทางแก้ไขเพื่อการจัดการช่องโหว่ที่ดีขึ้น เรามุ่งมั่นที่จะลดช่องโหว่ที่ระบุไว้ทั้งหมดเพื่อรักษาระดับความปลอดภัยที่เหมาะสม ผลลัพธ์ของการทดสอบเหล่านี้เป็นความลับอย่างเคร่งครัดและคำขอใด ๆ เพื่อขอรับรายงานการทดสอบจะต้อง ส่งถึงเรา พร้อมด้วยการลงนามใน NDA พร้อมกับการเผยแพร่รายงานที่เป็นดุลยพินิจของเราอย่างเคร่งครัด

Download NDA
โดยใช้ 2-Factor รับรองความถูกต้อง (2FA) ใน TimeTec

เพื่อเพิ่มความปลอดภัยเราขอแนะนำให้คุณกำหนดค่าการตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA) เพื่อช่วยปกป้องบัญชีของคุณ TimeTec 2FA เพิ่มการรักษาความปลอดภัยเป็นพิเศษเพราะต้องให้ผู้ใช้ป้อนรหัสการตรวจสอบที่ไม่ซ้ำกันจากอุปกรณ์การตรวจสอบได้รับการอนุมัติ มุ่งมั่นที่จะให้ผู้ใช้ของเราสงบของจิตใจเราทำงานร่วมกับผู้ให้บริการของบุคคลที่สามที่มีชื่อเสียง - Google Authenticator เพื่อเพิ่มระดับความปลอดภัยของบัญชี TimeTec ของคุณ คุณลักษณะนี้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยที่ช่วยเพิ่มความปลอดภัยแน่นอนเพราะในการลงชื่อเข้าจะต้องมีสิ่งที่ 2 - รหัสที่สร้างโดยการตรวจสอบโทรศัพท์มือถือ Google Authenticator นอกเหนือไปจากรหัสผ่านของบัญชี
คุณมีคำถามเกี่ยวกับการ 2FA - ไป http://www.timetecta.com/2step
HTTPS:

การสื่อสารทั้งหมดในและออกจากระบบคลาวด์ของเรา TimeTec แพลตฟอร์มจะกระทำผ่าน https "Hypertext Transfer Protocol ที่ปลอดภัย (HTTPS) เป็นโปรโตคอลการสื่อสารสำหรับการสื่อสารที่ปลอดภัยผ่านเครือข่ายคอมพิวเตอร์ที่มีการใช้งานที่กว้างโดยเฉพาะอย่างยิ่งบนอินเทอร์เน็ต. "
AWS Amazon:

ในความพยายามเพื่อให้แน่ใจว่าข้อมูลทั้งหมดของคุณจะถูกเก็บไว้ที่เชื่อถือได้ของเราจะใช้หนึ่งในชื่อที่ดีที่สุดในเซิร์ฟเวอร์และคอมพิวเตอร์เมฆ, Amazon AWS PaaS "แพลตฟอร์มเป็น Service " เทคนิคการพูดที่เรารักษาความปลอดภัยข้อมูลของเรากับบริการรักษาความปลอดภัยต่อไป
TimeTec ใช้บริการ AWS ที่มีมาตรฐาน ISO 27001 และ PCI DSS L1 ได้รับการรับรอง:

• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services บริการการเก็บรักษาง่าย (S3)
• Amazon Web Services สัมพันธ์บริการฐานข้อมูล (RDS)
• Amazon Web Services Elastic Load Balancing (ELB)
• Amazon Web Services อัตลักษณ์และการจัดการการเข้าถึง (IAM)
• Amazon Web Services ยืดหยุ่นการจัดเก็บบล็อก (EBS)
• บริการอีเมล Amazon Web Services ง่าย (SES)
• Amazon Web Services CloudFront
• Amazon Web Services Route 53
• Amazon Web Services CloudWatch + Amazon บริการการแจ้งเตือนง่าย (SNS)
• Amazon Web Services VPC
• Amazon Web Services โล่มาตรฐานเพื่อป้องกันการโจมตี DDoS
• Amazon GuardDuty - Intelligent Threat Detection
รายงานช่องโหว่

รายงานช่องโหว่ที่ต้องสงสัยว่า
หากคุณสงสัยว่าทรัพยากร TimeTec จะถูกใช้สำหรับกิจกรรมที่น่าสงสัยคุณสามารถรายงานมาให้เรา ที่นี่ เพื่อให้เราได้อย่างมีประสิทธิภาพสามารถตอบสนองต่อรายงานของคุณโปรดให้การสนับสนุนวัสดุใด ๆ ที่จะเป็นประโยชน์ในการช่วยให้เราเข้าใจธรรมชาติและความรุนแรงของช่องโหว่

ข้อมูลทั้งหมดที่คุณแชร์กับ TimeTec เป็นในขั้นตอนนี้จะถูกเก็บไว้เป็นความลับภายในทีม TimeTec และจะไม่ถูกใช้ร่วมกันกับบุคคลที่สามโดยไม่ได้รับอนุญาตจากคุณ

TimeTec จะตรวจสอบรายงานที่ส่งแล้วเราก็จะกลับไปหาท่านยอมรับได้รับรายงานและร่างขั้นตอนต่อไปในกระบวนการ
การประเมินผลโดย TimeTec
TimeTec จะทำงานเพื่อตรวจสอบช่องโหว่รายงานเมื่อรายงานที่ได้รับ หากต้องการข้อมูลเพิ่มเติมในการตรวจสอบหรือการจำลองปัญหาที่ TimeTec จะทำงานร่วมกับคุณที่จะได้รับมัน เมื่อเริ่มต้นการสอบสวนเสร็จสมบูรณ์แล้วผลจะถูกส่งไปให้คุณไปพร้อมกับแผนการสำหรับการแก้ปัญหาและการเปิดเผยข้อมูลสาธารณะ
สิ่งที่ควรทราบเกี่ยวกับขั้นตอนการประเมินผล TimeTec:
1. พรรคที่สามผลิตภัณฑ์ - หากช่องโหว่ดังกล่าวพบว่าส่งผลกระทบต่อผลิตภัณฑ์ของบุคคลที่สาม TimeTec จะแจ้งให้บุคคลที่เกี่ยวข้อง เราจะยังคงประสานงานระหว่างคุณและบุคคลที่สาม ตัวตนของคุณจะไม่ถูกเปิดเผยต่อบุคคลที่สามไม่ได้รับอนุญาต
   
2. ยืนยันไม่ใช่ช่องโหว่ - หากปัญหายังไม่สามารถตรวจสอบได้หรือไม่ได้พบว่ามีข้อบกพร่องในผลิตภัณฑ์ TimeTec เราจะใช้ข้อมูลร่วมกันกับคุณ
   
  TimeTec ต้องการที่จะแจ้งให้คุณทราบถึงความคืบหน้าของเราที่เราตรวจสอบและ / หรือบรรเทาความกังวลความปลอดภัยของคุณรายงาน คุณจะได้รับการตอบสนองที่ไม่ใช่อัตโนมัติเพื่อการติดต่อครั้งแรกของคุณภายใน 24 ชั่วโมงเพื่อยืนยันการรับของช่องโหว่การรายงานของคุณ คุณจะได้รับการอัปเดตความคืบหน้าจากเราอย่างน้อยทุกห้าวันทำการ
การแจ้งเตือนประชาชน
หากเป็นไปได้ TimeTec จะได้ประสานงานการแจ้งเตือนประชาชนในการตรวจสอบช่องโหว่กับคุณ เราต้องการให้การเปิดเผยข้อมูลสาธารณะของเรานั้นถูกโพสต์ไปพร้อม ๆ กัน

เพื่อที่จะปกป้องลูกค้าของเรา TimeTec ขอความร่วมมือของคุณจะไม่โพสต์หรือแบ่งปันข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในการตั้งค่าสาธารณะใด ๆ จนกว่าเราจะได้วิจัยการตอบสนองและการแก้ไขช่องโหว่รายงานและลูกค้าทราบหากมีความจำเป็น

นอกจากนี้เรายังกราบขอจากคุณให้ละเว้นจากการโพสต์หรือแบ่งปันข้อมูลใด ๆ ที่เป็นลูกค้าของเรา Addressing รายงานช่องโหว่ที่ถูกต้องเป็นกระบวนการที่ค่อนข้างยาวและมันจะแตกต่างกันขึ้นอยู่กับความรุนแรงของความเสี่ยงและระบบได้รับผลกระทบ
รายงานปัญหาด้านความปลอดภัย

หากคุณเป็นนักวิจัยด้านความปลอดภัยและคุณเชื่อว่าคุณได้พบปัญหาความปลอดภัยในบริการใด ๆ TimeTec กรุณาส่ง E-mail ที่คุณพบเพื่อ security@timeteccloud.com
หากคุณไม่ได้รายงานช่องโหว่ความปลอดภัยเราไม่สามารถที่จะตอบสนองกับข้อความของคุณ ต่อไปนี้อาจช่วยแก้ไขปัญหาของคุณ:
 
 1. สำหรับไม่ทราบสงสัยหรือหลอกลวงซื้อคำสั่งหรือการทำธุรกรรมบัตรเครดิต, การเปลี่ยนแปลงรหัสผ่านที่น่าสงสัยบัญชีการเปลี่ยนแปลงหรือการทุจริตที่อาจเกิดขึ้นโปรดติดต่อ sales@timeteccloud.com
   
 2. สำหรับ TimeTec ปัญหาอื่น ๆ ติดต่อ support@timeteccloud.com