安全
安全
我们采用最新实践和技术,为 EasyAnnounce 构建了安全可靠的服务。
本页英文版本为我们安全实践的正式版本。任何译文仅供参考。
简介
本页说明我们的安全状况,旨在表明我们认真对待安全。
预期
我们致力于满足您对安全要求的预期。不过,如果您有更高需求,欢迎联系我们,讨论可能的时间安排或调整。
负责任的漏洞披露
我们欢迎专业人士披露平台漏洞,也非常感谢。但目前没有运行漏洞赏金计划。我们会尽力修复发现的问题;如果相关内容被公开,我们也会注明您的贡献。
您浏览器或应用、我们的网站、API 网关、工作服务器以及受信任的第三方提供商之间的所有请求,均通过 HTTPS 进行传输加密,采用强加密套件(AES-256)和证书签名(RSA 或 ECDSA),并使用 SHA-256 或更强算法。我们仅支持 TLS1.2+ 连接。
我们的私有 CDN 和数据库在传输中及静态存储时均已加密,并符合 SOC2 Type 2 和 HIPAA 要求。对于这些广播请求中的客户姓名或详情,我们不会在该广播或姓名查询的生命周期之外保留任何数据。
我们用于 Web 应用的数据库采用行级安全(RLS),以帮助满足您可能提出的企业级数据隔离要求。组织 ID 在数据库外部任何使用前都会先进行哈希处理(例如用于配额控制和 API 网关管理)。
我们的前端和后端服务均受专用 Web 应用防火墙保护,仅配置必要访问,并通过规则限制机器人和 DDoS 攻击造成的干扰。
我们使用 Stripe 处理您的付款并管理订阅。我们不存储或处理任何支付卡数据。我们属于 PCI DSS SAQ A 类别商户。
为满足我们预期的 PCI-DSS(SAQ-A)商户义务,我们会每季度扫描前端网站。我们力求在 48 小时内解决发现的问题。
我们会定期检查并应用后端 API 服务器和网站的关键软件更新;非关键补丁则会随常规开发和性能更新一并处理。
我们会监控 API 平台和前端软件代码中受影响的任何 CVE,并力求在获知后 48 小时内处理严重问题(CVE >9.0)的修复。
所有控制系统都要求使用 MFA,并且每位团队成员都必须拥有独立账户才能访问。
我们根据所在地和合规性选择第三方供应商。我们的提供商(数据库、数据中心和语音合成生成提供商)均符合 SOC 2 Type 2、GDPR 和 HIPAA 要求。
我们的数据库目前位于加拿大和欧盟,以帮助满足您可能提出的 GDPR 要求。我们的基础设施服务器和 Web 服务器提供商均已列入并启用欧盟-美国数据隐私框架。
我们是一家新创公司,希望您能看到,我们正在尽可能把服务建设得稳健且安全。这样我们可以轻松扩展,也应当能够满足客户和合规要求。我们计划不久后完成 SOC2 Type 1 审计——欢迎您发送安全问卷,以便我们更详细地回答您的问题。请通过联系页面与我们联系。
联系信息
如需更多信息或合规相关请求,请通过我们的联系页面与我们联系。