ความปลอดภัย
ความปลอดภัย
เราออกแบบ EasyAnnounce ให้ปลอดภัย ด้วยแนวปฏิบัติและเทคโนโลยีล่าสุด
เวอร์ชันภาษาอังกฤษของหน้านี้เป็นฉบับอ้างอิงหลักของแนวปฏิบัติด้านความปลอดภัยของเรา เวอร์ชันที่แปลจัดทำขึ้นเพื่อข้อมูลเท่านั้น
บทนำ
ข้อความในหน้านี้อธิบายแนวทางด้านความปลอดภัยของเรา และแสดงให้เห็นว่าเราให้ความสำคัญกับความปลอดภัยอย่างจริงจัง
ความคาดหวัง
เรามุ่งตอบสนองความคาดหวังของคุณด้านข้อกำหนดความปลอดภัย อย่างไรก็ตาม หากคุณมีความต้องการมากกว่านี้ โปรดติดต่อเราเพื่อหารือเกี่ยวกับกรอบเวลา หรือการปรับแก้ที่เป็นไปได้
การเปิดเผยช่องโหว่อย่างรับผิดชอบ
เรายินดีและขอบคุณผู้เชี่ยวชาญที่แจ้งช่องโหว่ของแพลตฟอร์ม แม้ว่าเราจะไม่มีโปรแกรม bug bounty ก็ตาม เราจะพยายามแก้ไขปัญหาที่พบ และหากมีการเผยแพร่ เราจะให้เครดิตคุณ
คำขอทั้งหมดระหว่างเว็บเบราว์เซอร์หรือแอปพลิเคชันของคุณ เกตเวย์เว็บไซต์ของเรา เซิร์ฟเวอร์ worker และผู้ให้บริการภายนอกที่เชื่อถือได้ จะถูกเข้ารหัสระหว่างส่งผ่าน HTTPS โดยใช้ชุดรหัสที่แข็งแกร่ง (AES-256) และลายเซ็นใบรับรอง (RSA หรือ ECDSA) พร้อม SHA-256 หรือสูงกว่า เรารองรับเฉพาะการเชื่อมต่อ TLS1.2+
CDN ส่วนตัวและฐานข้อมูลของเราทั้งหมดถูกเข้ารหัสระหว่างส่งและขณะจัดเก็บ และเป็นไปตาม SOC2 Type 2 และ HIPAA เราไม่เก็บชื่อหรือละเอียดของลูกค้าของคุณที่อยู่ในคำขอประกาศเหล่านั้นเกินกว่าระยะเวลาของประกาศหรือการค้นหาชื่อแต่ละครั้ง
ฐานข้อมูลที่เราใช้สำหรับเว็บแอปของเราใช้ Row Level Security (RLS) เพื่อช่วยให้เป็นไปตามข้อกำหนดระดับ Enterprise ที่คุณอาจมีเกี่ยวกับการแยกข้อมูล รหัสองค์กรจะถูกแฮชก่อนเสมอ ก่อนนำไปใช้ภายนอกฐานข้อมูลนี้ (เช่น สำหรับการบังคับใช้โควตาและการจัดการ API gateway)
ทั้งบริการฝั่งหน้าเว็บและฝั่งหลังบ้านของเราได้รับการป้องกันด้วย Web Application Firewall เฉพาะ โดยกำหนดสิทธิ์การเข้าถึงเฉพาะที่จำเป็น และมีกฎเพื่อลดผลกระทบจากบอตและการโจมตีแบบ DDoS
เราใช้ Stripe ในการประมวลผลการชำระเงินและจัดการการสมัครใช้งานของคุณ เราไม่จัดเก็บหรือประมวลผลข้อมูลบัตรชำระเงินของคุณ เราเป็นผู้ค้าในหมวด PCI DSS SAQ A
เพื่อให้เป็นไปตามภาระหน้าที่ของผู้ค้า PCI-DSS (SAQ-A) ที่เราคาดไว้ เราทำการสแกนเว็บไซต์ฝั่งหน้าเว็บทุกไตรมาส เรามุ่งแก้ไขปัญหาที่พบภายใน 48 ชั่วโมง
เราตรวจสอบและติดตั้งอัปเดตซอฟต์แวร์ที่สำคัญสำหรับเซิร์ฟเวอร์ API ฝั่งหลังบ้านและเว็บไซต์ของเราเป็นประจำ ส่วนแพตช์ที่ไม่สำคัญจะดำเนินการไปพร้อมกับการอัปเดตด้านการพัฒนาและประสิทธิภาพตามปกติ
เราติดตาม CVE ที่ส่งผลต่อโค้ดซอฟต์แวร์ของเราบนแพลตฟอร์ม API และฝั่งหน้าเว็บ และมุ่งดำเนินการแก้ไขที่สำคัญ (CVE >9.0) ภายใน 48 ชั่วโมงหลังจากทราบปัญหา
ระบบควบคุมทั้งหมดของเราต้องใช้ MFA และบัญชีที่ไม่ซ้ำกันสำหรับสมาชิกแต่ละคนในทีมเพื่อเข้าถึง
เราเลือกผู้ให้บริการภายนอกโดยพิจารณาจากที่ตั้งและการปฏิบัติตามข้อกำหนด ผู้ให้บริการของเรา (ฐานข้อมูล ศูนย์ข้อมูล และผู้ให้บริการสร้างข้อความเป็นเสียง) ล้วนเป็นไปตาม SOC 2 Type 2, GDPR และ HIPAA
ปัจจุบันฐานข้อมูลของเราตั้งอยู่ในแคนาดาและสหภาพยุโรป เพื่อช่วยให้เป็นไปตามข้อกำหนด GDPR ที่คุณอาจมี เซิร์ฟเวอร์โครงสร้างพื้นฐานและผู้ให้บริการเว็บเซิร์ฟเวอร์ของเราทั้งคู่ถูกระบุและใช้งานอยู่ภายใต้ EU-US Data Privacy Framework
เราเป็นสตาร์ทอัปใหม่ และหวังว่าคุณจะเห็นว่าเรากำลังสร้างบริการของเราให้แข็งแกร่งและปลอดภัยที่สุดเท่าที่จะเป็นไปได้ ด้วยวิธีนี้เราจะขยายระบบได้ง่าย และน่าจะตอบสนองความคาดหวังของลูกค้าและข้อกำหนดด้านการปฏิบัติตามได้ เรามุ่งรับการตรวจสอบ SOC2 Type 1 ในเร็วๆ นี้ — เรายินดีรับแบบสอบถามด้านความปลอดภัย เพื่อให้เราตอบคำถามของคุณได้ละเอียดขึ้น ติดต่อเราผ่านหน้าติดต่อ
ข้อมูลติดต่อ
หากต้องการข้อมูลเพิ่มเติมหรือส่งคำขอด้านการปฏิบัติตามข้อกำหนด โปรดติดต่อเราผ่านหน้าติดต่อ