了解更多
商业体验平台
必威英文官网
与我们合作
关于
请求一个演示
    请求一个演示

      安全性和可靠性

      在Salsify,我们知道您的内容、产品信息和与您的客户相关的个人数据/信息是您的组织最有价值的资产。我们致力于保护您的数据以及您在我们的技术和基础设施上的投资。下面是我们可以公开分享的一些关键的安全最佳实践和遵从性工具。

      合规

      SOC 2

      Salsify使用独立的第三方审计师来审计我们的控制和过程。21972 - 312 _soc_noncpa

      2017年12月,我们获得了审计公司的SOC 2 Type 1认证。现有客户可要求出具证明。

      2018年11月,我们获得了SOC 2 Type 2认证。

      这些标准由美国注册会计师协会(会计师协会).

      一般资料保障规例(GDPR)

      我们根据欧盟委员会(Commission of European Union)修订的标准合同条款(Standard contract clause),转移任何源自欧洲经济区的个人数据,并采用适当的技术、合同和组织补充措施。

      请访问我们的GDPR页面为更多的信息。

      加州消费者隐私法

      截至2020年1月1日,Salsify更新其隐私政策和必要的内部程序,以遵守CCPA。

      人是最大的资产,也是最大的安全风险。我们努力确保组织中的每个人都接受年度安全意识培训。新员工也要接受培训。

      我们的业务连续性计划和物理安全保障措施有助于确保人们在非系统事件期间知道要做什么。

      我们的办公室有安全钥匙密码和其他安全保护措施。员工有单独的门卡可以进入我们的楼层。

      我们对所有员工在入职前进行彻底的背景调查,包括犯罪和个人推荐调查。

      实行离职程序,当有人离开组织时,访问就终止了。

      过程

      标准化的安全流程

      Salsify维护标准的安全政策和流程。政策、标准和程序至少每年审查一次,并在必要时进行更新。我们的安全框架是基于NIST 800的建议建立的。

      Salsify每年至少进行一次严格的第三方安全评估,包括网络和应用程序漏洞威胁、渗透测试和应用程序安全框架控制审计。可根据客户要求提供检测证明。

      我们有一个正式的,管理层批准的事件响应和安全事件响应计划。事件响应计划定义了事件指挥官和支持角色的角色和职责,以及响应过程,包括客户通知,以及捕获补救行动的事后分析过程。安全事件响应计划定义了安全事件响应团队(SIRT)的角色和职责,以及响应计划的步骤。

      软件开发生命周期

      Salsify利用了具有持续集成(Continuous Integration, CI)的敏捷开发过程。我们的CI管道包括开发、登台和生产环境。此配置允许对每个环境进行授权访问控制。

      安全性内置在流程的每个步骤中。数据处理、代码部署、配置和补丁管理都遵循我们的安全策略和SDLC中概述的安全最佳实践。

      我们的SDLC要求对所有更改进行代码审查和批准,以及在部署之前对CI环境中的所有自动化测试进行绿色构建。所有开发的代码都会被手动检查,并自动测试潜在的安全漏洞。我们努力遵循OWASP(开放Web应用程序安全项目)最佳实践。

      识别和确认的安全漏洞要经过影响和风险评估。补丁或其他补救方法首先部署在开发环境中,在阶段测试中进行测试,然后发送到生产环境中。

      此外,自动化应用程序渗透测试定期在内部运行。

      管理控制

      Salsify遵循“最小特权”原则。我们的做法是只向绝对需要访问系统或资源的个人和系统颁发凭据。访问权限只能由我们的运营团队的成员授予,并被跟踪用于审计目的。管理员可以随时撤销访问权限;这支持我们的离岗过程。

      技术

      安全的设计

      高可用性架构

      Salsify使用容错应用程序体系结构,将所有服务托管在弹性和弹性可伸缩的基础设施上。这确保了高可用性和一致的应用程序性能,如我们的服务条款

      我们的云服务提供商遵循行业标准,通过ISO 27001、SOC 2或类似认证。我们每年获取并审查这些报告以确认合规。

      所有SSL证书都使用2048位密钥长度和SHA-256创建和更新。

      我们的密钥通过密钥管理服务进行加密和存储。

      灾难恢复

      我们的基础架构支持可恢复流程。自动数据备份、文档化恢复程序和年度测试确保我们在发生灾难时一切就绪。

      Salsify为我们的服务定义了一个恢复时间目标(RTO)和恢复点目标(RPO)。

      身份验证和授权

      Salsify利用云服务提供商解决方案,其中包括多因素身份验证以访问环境。用户定义的组和角色遵循我们的“最小权限”概念。

      对基础设施的远程访问仅限于授权用户,并且只能通过我们的VPN访问。

      日志监控是到位的,我们保留审计日志按照我们的保留政策。任何可疑的活动或未经授权的访问都会提醒我们的操作人员。必要时,根据我们的事件应对计划,保安团队已被聘用。

      支持我们基础设施的员工的密码定期轮换。

      客户数据

      我们在多租户环境中托管客户数据。在每个客户的应用程序级别支持数据隔离。这可以防止将客户数据暴露给其他组织的未授权用户。

      所有流量都用最小的TLS V1.2加密。Salsify采用最新的加密算法。我们测试和升级到更新和更安全的标准,因为它们是可用的。我们目前使用256位AES加密,包括密钥管理服务,作为我们云服务提供商提供的一部分。

      数据也被加密,包括我们的系统和数据库备份。

      客户资料只提供给经授权的人员。

      产品安全

      认证和单点登录(SSO)

      我们支持与许多大型标识提供商(如Okta、Onelogin、ADFS和谷歌)进行基于SAML 2.0的单点登录(SSO)集成。这样可以简化和更好的用户体验,因为用户只需要说明一个登录凭据。

      登录仅基于HTTPS请求,每个用户会话都需要一个身份验证令牌。

      授权

      客户将组织中的管理员分配给Salsify产品。这些管理员为他们的组织建立用户组,通常基于组的功能(例如,营销团队)。在用户组级别定义权限,并将个人分配给适当的组。

      日志记录

      应用程序日志记录使用服务提供者的组合。我们的开发和安全团队使用日志进行故障排除、问题解决和取证分析。

      我们根据保留政策保留日志。

      如果您需要报告安全问题,请发送电子邮件,security@salsify.com

      如果您想报告与安全相关的错误或配置问题请检查我们的负责信息披露准则提交报告之前。

      有关隐私问题,请参阅我们的隐私政策

      供应商XM

      有关与供应商XM平台有关的安全控制的更多信息,访问这个链接:https://www.alkemics.com/en/security-iso-27001/
      Baidu