安全政策

安全政策

最后修改2023 年 7 月 4 日

以 PDF 格式下载本政策
Electrotechnik Pty Ltd("ELEK")致力于为我们的软件客户提供网络威胁防护,防止数据丢失并满足合规要求。

我们采用了 ISO/IEC 27001 原则,这是世界上最著名的信息安全管理系统(ISMS)标准。通过采用这种方法,我们可以管理与公司所拥有和处理的数据安全相关的风险,同时确保我们采用最佳实践和原则,避免因网络犯罪和不断出现的新威胁而造成潜在的负面影响。

我们如何提供信息安全

我们致力于信息安全,以确保建立严格的系统和控制措施,维护我们的业务和客户的信息安全。我们从员工入职开始,其中涉及的流程和公司政策概述了确保所有用户数据保密的重要性,以及访问这些数据仅用于完成与其工作相关的任务,包括为我们的用户提供服务。我们的信息安全政策还规定了对任何用户数据进行保密的重要性,以及对任何本地存储或打印的个人数据进行适当处置的机制。
作为雇佣合同的一部分,我们的员工承诺维护保密性和信息安全,并接受网络安全意识培训和定期复习培训。
除了 ELEK 的流程、政策和培训外,我们还有严格的入口点来访问包含敏感用户数据的系统。 有关详细信息,请参阅 我们的 隐私政策

身份和访问管理

我们使用微软作为企业身份供应商,并采用高度安全的密码策略。所有员工都必须使用双因素身份验证(2FA)登录。
对亚马逊网络服务(AWS)云服务的访问是通过 AWS 身份和访问管理(IAM)根据角色和 "需要知道 "和 "最少特权 "原则授予的。
每季度进行一次用户访问审查,取消不再需要的访问权限。员工离职时,所有系统访问权限都会立即取消。

电子邮件保护

我们使用 Microsoft 365 作为员工电子邮件提供商,亚马逊简单电子邮件服务 (SES) 用于从我们的应用程序中发送电子邮件,电子邮件票务系统用于发送客户支持电子邮件。我们的电子邮件域采用 DMARC 和 SPF。
不断向员工宣传和指导避免网络钓鱼的最佳做法。

网络安全

我们员工的工作站都在一个专用的虚拟局域网(VLAN)上,仅限于我们的员工使用。

访问用户数据

我们将用户提交给我们任何软件服务的所有数据视为 "黑盒",由我们全权代表用户进行处理。这意味着用户数据一般不会被用于执行服务,我们将以最高的安全级别处理所有提交的用户数据,并对其进行敏感和保密处理。
根据我们的《使用条款》或与用户签订的相关协议,我们的员工对用户数据的访问会根据具体情况加以限制。

漏洞管理

我们定期对网站和软件代码库进行安全审计,查找并修复可能导致数据丢失、服务中断、未经授权访问敏感信息或其他安全问题的已知依赖性漏洞。发现的任何漏洞都会记录在开发积压中,并根据我们对其对服务和用户数据的保密性、完整性和可用性影响的评估进行分类。我们的工程师会根据内部补丁管理政策进行修复。

软件开发生命周期

我们使用问题跟踪产品,其工作流程有据可查,涉及同行评审过程。我们的源代码存放在高度安全的私有存储库中,以确保版本控制和安全性。对我们代码库的修改要经过一系列自动和手动测试(有详细计划)。获得批准的代码变更会首先推送到暂存服务器,我们的员工可以在这里测试变更,然后再最终推送到生产服务器和我们的用户群。我们的持续集成/持续部署(CI/CD)流程受到集成审批流程的限制。

事件响应

我们非常重视事件管理,并制定了《事件响应程序》,其中概述了如何管理事件。事件是指计划外事件,如数据泄露、服务中断或服务质量下降。事故也是指服务以前可以正常运行,但现在不能按预期运行的问题。该程序概述了我们如何评估、控制、评价、通知、审查和监控事件。
所有事件都记录在《事件响应登记簿》中,从事件中吸取的经验教训将用于改进我们的流程、程序、系统和工具,这是我们不断改进的承诺的一部分。

灾难恢复和业务连续性

我们制定了一项业务连续性计划,以应对影响我们实体办公室(不保留任何生产基础设施)的灾难。
此外,我们还制定了灾难恢复计划 (DRP),用于处理影响我们生产环境的灾难,这些灾难被评估为重大意外事件,是事件响应流程的一部分,其中包括从另一个地点恢复服务的核心功能。我们的主数据中心托管在澳大利亚悉尼的 AWS 上,并在同一 AWS 区域设有冗余。如果单个 AWS 数据中心丢失,恢复程序将在无需人工干预的情况下调用另一个数据中心的节点。每年至少进行一次测试。我们的灾难恢复测试可能采取走查、模拟灾难或组件测试的形式。

数据保留和处置

数据保留

我们仅在必要的目的和期限内保留我们控制的关于您的有限信息,以实现我们隐私政策中列出的目的。我们的系统代表用户持有的数据将根据我们的使用条款政策以及与这些客户签订的其他商业协议予以保留。
我们提供基于云的软件产品和本地安装的基于 PC 的软件产品。对于我们的云端软件产品,客户数据存储在我们安全的云端系统中(如本文所述)。另一方面,对于基于 PC 的软件产品,客户数据则存储在其 IT 基础架构的本地。

数据删除

我们的客户对其提交的数据拥有完全控制权,可以通过我们的软件或联系我们的方式修改、导出或删除这些数据。
账户终止后,用户可要求删除其数据,这是账户关闭程序的一部分。用户数据将在提出申请后 90 天内删除,其中包括 30 天的回滚期和 60 天的继续删除期。
或者,用户可以选择将账户数据保留在平台中,在这种情况下,我们可以继续保留这些数据,但也可以随时酌情删除。

数据销毁

我们的云服务由 AWS 托管,AWS 实施安全的数据分发和删除策略,以便在多租户环境中安全存储敏感数据。存储介质退役由 AWS 根据 NIST 800-88 执行。

监测

我们使用来自边缘位置和负载平衡器的流量日志、用于跟踪和审计事件的应用级日志以及用于审计访问和高权限操作的系统级日志来收集和监控网络日志。所有日志都安全地存储在亚马逊 S3 或亚马逊 CloudWatch 中,并予以保留。
我们监控基础设施资源的能力利用情况,确保提供的服务符合服务水平协议。此外
  • 亚马逊服务用于触发基于事件的自动消息传递,以发出关键基础设施警报。
  • 我们使用专有的错误记录和跟踪服务,通过触发基于事件的自动消息传递来发出应用程序警报。

隐私权

请参阅我们的隐私政策

办公室安全

我们的办公场所和电梯均通过门禁卡限制进出。大楼保安部门制定了若干程序,对大楼和楼层的出入情况进行例行监控。每层楼都安装了安保系统,可追踪门的使用情况,并可向大楼安保人员索取出入报告。办公桌空间 24 小时都有闭路电视监控,整个辖区也有巡回保安。闭路电视视频记录可保存 18 个月。首席商务官负责向楼宇管理小组通报雇员在获取或撤销楼宇出入卡方面的任何变动。

数据中心安全

我们依靠 AWS 数据中心的控制措施(如选址、冗余、可用性和容量规划)来维持适当的安全级别。我们不托管任何自己的服务器。

政策更新

本政策可能随时更改,可在我们的网站www.elek.com上查阅。

联系我们

如需了解更多信息或与我们联系,请访问我们的联系页面