安全和数据保护对Device Control Plus来说一直至关重要,早在这些问题成为焦点之前,Device Control Plus就已重视这些问题。Device Control Plus旨在创造一个安全的操作环境,因此,开发了一套全面的实践、技术和策略,以确保您的数据保持安全。本文件旨在帮助您理解我们如何为客户提供安全保障。我们的安全策略包括以下几个组成部分:
我们建立了信息安全管理系统(ISMS),考虑到我们的安全目标及所有相关方的风险和缓解措施。我们执行严格的策略和程序,涵盖客户数据的安全性、可用性、处理、完整性和保密性。
员工背景调查
每位员工在开始工作之前都需经过背景验证程序。我们聘请信誉良好的外部机构为我们执行此检查。我们这样做是为了核实他们的犯罪记录、此前的工作记录(如有)和教育背景。在进行此检查之前,员工不会被分配可能对用户构成风险的任务。
安全意识
每位员工在入职时都会签署保密协议和可接受使用策略,随后接受信息安全、隐私和合规培训。此外,我们通过测试和测验评估他们的理解,以确定他们需要进一步培训的主题。我们根据员工的角色,提供他们可能需要的安全特定方面的培训。
我们在内部联系中不断教育员工有关信息安全、隐私和合规的知识,员工定期签到,以使他们及时了解组织的安全实践。我们还举办内部活动以提高安全和隐私方面的意识,推动创新。
专门的安全和隐私团队
我们有专门的安全和隐私团队,负责实施和管理我们的安全和隐私项目。他们规范和维护防御系统,开发安全审查流程,并持续监控我们的网络以检测可疑活动。他们为我们的工程团队提供特定领域的咨询服务和指导。
内部审计和合规
我们有专门的合规团队,审查Device Control Plus的程序和策略,以使其符合标准,并确定满足这些标准所需的控制、流程和系统。该团队还定期进行内部审计,并协助第三方进行独立审计和评估。
有关更多详细信息,请查看我们的 合规档案。
终端安全
所有发给Device Control Plus员工的工作站均运行最新的操作系统版本,并配置有防病毒软件。它们的配置符合我们的安全标准,要求所有工作站都要正确配置、打补丁,并被ManageEngine的终端管理解决方案跟踪和监控。这些工作站在默认情况下是安全的,因为它们配置为加密静态数据,具有强密码,并在空闲时锁定。用于商业目的的移动设备注册到移动设备管理系统中,以确保它们符合我们的安全标准。
安全设计
我们遵循软件开发生命周期(SDLC)的安全编码指南,所有开发人员都意识到这些指南。在下一步中,我们筛查代码更改,首先手动审查以查看潜在安全问题,然后使用我们的代码分析器。在发布任何新功能之前,必须进行整个过程。如果在此检查中出现任何问题,我们将立即进行修复。此外,在应用层实施了基于OWASP标准的强大安全框架。该框架提供了减轻SQL注入、跨站脚本、应用层DoS攻击、代码注入、身份验证绕过和文件上传相关漏洞等威胁的手段。除此之外,我们还定期举办会议,使开发人员了解安全编码实践。
身份和访问控制
基于角色的访问控制:基于角色的访问控制仅允许授权用户访问特定功能。用户仅能访问其指定角色允许的功能。我们遵循基于角色的权限管理,以最小化数据暴露的风险。
加密
a) 传输中:
b) 静态数据:敏感数据(例如密码、认证令牌等)在数据库中以256位高级加密标准(AES)进行加密。每个客户都有一个唯一的安装密钥用于加密。
数据库保护
数据库仅通过提供实例特定的凭据进行访问,且仅限于本地主机访问。存储的密码采用单向哈希处理,并从我们所有的日志中过滤。此外,数据库仅位于客户设置中。
应用程序二进制保护
防止恶意软件DLL从代理二进制文件加载。
一般
在Device Control Plus中,我们对PPM(修补)文件进行签名验证。在PPM升级过程中,如果任何PPM文件被篡改,UpdateManager将拒绝加载该文件进行服务器升级。
客户数据安全
客户数据仅存在于客户自己的环境中,对于Device Control Plus的本地版本。
注意:如果任何客户需要帮助解决任何问题,我们可能需要客户的日志。客户通过我们拥有的安全门户上传日志,该门户仅可由授权人员访问,并授权我们访问它们。日志将在上传后25天自动删除。
漏洞和补丁管理
我们有一个专门的漏洞处理程序,使用认证的第三方扫描工具和内部工具积极扫描安全威胁或漏洞。随后执行自动化和手动测试。此外,安全团队积极审查入境安全报告,并监控公共邮件列表、博客文章和维基,以识别可能影响公司的安全事件。一旦识别出需要修复的漏洞,将记录下来,按严重程度优先级进行处理,并指定责任人。我们进一步识别相关风险,并通过打补丁或应用相关控制进行缓解。
在根据影响分析评估漏洞的严重性后,我们承诺在我们的SLA(服务水平协议)内解决问题。根据严重性,我们会向所有客户发送安全通告,描述漏洞、补丁及客户需采取的步骤。
业务连续性
我们有备用电源、温控系统以及消防和防火系统,以确保业务连续性。为技术支持提供专门的业务连续性计划。
我们制定了良好的业务连续性和灾难恢复计划,以助我们在长期服务中断时恢复服务,避免影响客户服务的外部因素,例如自然灾害、人为灾难等,以尽量在最短的时间内恢复终端管理操作。该计划涵盖了我们所有的内部操作,确保为客户持续提供服务。我们有三个恢复团队,即应急管理团队(EMT)、灾难恢复团队(DRT)以及IT技术服务(IT)团队,以便于在各团队之间进行更好的协调和支持。
我们有专门的事件管理团队。我们会通知您我们的环境中适用于您的事件,以及您可能需要采取的适当措施。我们跟踪并关闭事件,并采取适当的纠正措施。每当适用时,我们会提供与您相关的事件的必要证据。此外,我们实施控制措施以防止类似情况的再次发生。
我们对您通过 incidents@zohocorp.com 报告的安全或隐私事件给予高度优先处理。对于一般事件,我们会通过我们的博客、论坛和社交媒体通知用户。对于特定于个人用户或组织的事件,我们会通过电子邮件(使用您订阅违规通知所用的电子邮件,而不是您在我们这注册的主要电子邮件)通知相关方。请订阅我们的 数据泄露通知,以便及时接收有关任何安全事件的通知。
注意:用户需要订阅数据泄露通知才能接收事件通知,因为只有已订阅的成员才能收到此邮件。
我们设有“漏洞报告计划”,即“漏洞奖金计划”,旨在接触研究人员社区,认可并奖励安全研究人员的工作。我们致力于与社区合作,验证、重现、响应、合法化并实施适当的解决方案来处理报告的漏洞。
如果您发现任何漏洞,请在 https://bugbounty.zoho.com/ 提交问题。如果希望直接向我们报告漏洞,请发送电子邮件至 security@zohocorp.com。
Device Control Plus非常重视安全,并持续努力创造一个安全的环境,最大限度地降低安全风险。然而,作为客户,您也肩负着责任,因为安全是一条双向街道。需要全员共同努力,持续加强安全。请阅读 Device Control Plus安全建议,了解您可以为实现最大安全性所做的努力。
您数据的安全是您的权利,也是Zoho永不停止的使命。我们将继续努力保护您的数据安全,就像我们一直以来所做的那样。如需对此主题的进一步查询,请查看我们的 常见问题解答 或通过 support@manageengine.cn 与我们联系。