对 Oortcast 而言,用户产品的安全性一直是我们的首要考量。为了最大限度的保证用户的数据安全,我们严格准循下述实践:
合规性承诺
- Oortcast 由注册在不同司法管辖区的多个工商主体所共同组成,其中包括在爱沙尼亚共和国注册的私人有限公司 Oortcast OÜ(商业注册证号为 14540881)。因此我们将严格遵守《一般数据保护条例(GDPR)》。
- 所有 Oortcast 员工都在入职时签署具有法律约束力的保密协议,并完成机密性、隐私权、社会工程学欺诈及行为准则方面的强制性培训。
- 我们仅使用符合 ISO 27017(云端安全性)、ISO 27018(云端隐私权)、SSAE16/ISEA 3402(美国注册会计师协会服务组织控制和 SOC 3 审核框架) 的机房处理您的数据。
- 我们承诺在内部严格遵循最小化权限原则。积极限制并主动监控拥有接触生产数据权限的员工活动,并且我们在不断地努力以期取消针对特殊任务授予特别访问权限的必要性,改为以安全可控的方式由程序去自动完成同样的任务。
安全技术承诺
为确保我们的数据处理程序符合 GDPR 的要求。我们谨在此向您披露我们已使用下述技术和组织措施来保证服务的安全性:
- 我们遵循由 Google 安全团队提出的 BeyondCorp 零信任网络安全模型。 不同于传统的防火墙技术所建立起的「城堡式」安全模型, BeyondCorp 意味着我们默认无论来自内部网络还是外部网络的请求均是不可信的。具体而言,BeyondCorp 不基于物理位置或发起请求的网络位置来授予用户访问服务和应用的权限;访问策略的制定完全基于设备的信息、状态和当前设备的使用者信息等等。
- 所有的 Oortcast 员工均需要通过多重身份认证(MFA)技术访问内部服务,并会监控相关活动以便发现潜在的破解行为或内部人员非法行为。这意味着即使我们的员工不慎泄漏了其内部账户的密码,入侵者依然无法进入我们的系统。
- 我们使用业界主流的高级加密标准(AES-256)存储所有持久化数据,加密密钥本身还会使用定期轮询的 Master 密钥进行加密。
- 我们采取了包括 HTTP 严格传输安全规范(HSTS)、 Web 应用防火墙(WAF)、基于流的实时日志分析、沙盒技术、Docker镜像的二进制授权与镜像安全扫描等措施来严格控制攻击面的大小与组成。
- 在系统的开发过程中,我们还遵循 OWASP Cheat Sheet、静态代码扫描、模糊测试和人工代码审核 等安全实践。