组织安全

Q4的任务是确保安全等重要原则, 合规和隐私是im体育买球提供的每一个im体育买球和服务的首要问题 . im体育买球相信要确保数据的安全, 保护它是im体育买球最重要的责任之一. 第四季致力保持im体育买球保安措施的透明度,并帮助你了解im体育买球的方法. Q4的业界领先的安全计划是基于设计防御的概念:保护im体育买球的组织, 和你的数据, 在每一层, 在这个过程的每一步. im体育买球的安全计划符合ISO 27000和SOC2标准, 并随着最新的指导和新的行业最佳实践不断发展. Q4的安全团队负责实施和管理im体育买球的安全计划. 第四季度安全团队关注安全架构, im体育买球安全, 安全工程与运营, 检测和响应, 风险与合规.

介绍

保护客户数据

Q4的安全计划的重点是防止未经授权的访问客户和专有数据. 为此, im体育买球的专业安全从业人员团队, 与整个公司的同行合作, 采取详尽的步骤来识别和降低风险, 实现最佳实践, 并不断开发改进的方法.

安全的设计

Q4的im体育买球安全团队建立了一个健壮的安全开发生命周期. 当im体育买球努力捕捉设计和测试阶段的所有漏洞时, im体育买球意识到有时错误会发生. 考虑到这一点,im体育买球鼓励任何人向im体育买球的支持团队提交错误报告以供考虑. 所有已识别的漏洞都经过验证,以确保其准确性、分类并跟踪解决方案.

外部验证

安全合规审计

Q4是持续监测, 审计, 改善im体育买球安全控制系统的设计和运作效率. 这些活动由第三方认证的评估人员和Q4的内部安全人员定期执行, 隐私, 风险和合规团队. 审计结果与高级管理层共享,并及时跟踪所有发现的问题以解决. 第四季度取得了 SOC 2 Type 2认证. 如有需要,请im体育买球的支持团队索取一份副本.

socforserviceorganizationslogosos

渗透测试

除了im体育买球的合规审核, Q4要求独立实体至少每年进行应用程序级和基础设施级渗透测试. 这些检查结果将与高级管理人员分享,并进行分类, 优先, 并及时纠正. 客户可以通过向他们的第四季度客户代表请求获得这些活动的执行摘要.

客户驱动的审计和渗透测试

im体育买球欢迎客户对第四季度的环境进行安全控制评估或渗透测试. 请与您的客户代表联系,了解安排此类活动的选项.

加密

数据在运输途中

Q4客户端和Q4服务之间的所有数据传输都是使用强加密协议完成的. Q4支持最新推荐的安全密码套件,以加密传输中的所有流量, 包括TLS 1的使用.2种协议,AES256加密,SHA256签名,只要客户端支持.

静态数据

Q4生产网络中静止的数据使用符合NIST的加密标准进行加密, 它适用于Q4系统中所有静止的数据类型:磁盘, 卷, 数据库备份, 等. 所有加密密钥都存储在一个隔离网络上的安全服务器中,访问权限非常有限. Q4已经实施了适当的保障措施来保护创建, 存储, 检索, 以及加密密钥和服务帐户凭据等机密信息的销毁. 每个Q4客户的数据都托管在im体育买球的多租户基础设施中,并从逻辑上与其他客户的数据分割. im体育买球使用存储和缓存技术的组合,以确保客户数据免受硬件故障的影响,并迅速得到服务, 来自世界各地, 当请求. 第四季度服务位于由行业领先的服务提供商维护的数据中心, 为构成第四季度运行环境的服务器和基础设施提供最先进的物理保护.

网络安全和服务器加固

Q4将其系统划分为独立的网络,以更好地保护敏感数据. 支持测试和开发活动的系统与支持Q4生产基础设施的系统托管在一个单独的网络中. im体育买球生产环境中的所有服务器都是经过加固的.g. 禁用不必要的端口,删除默认密码等.),并应用基本配置映像来确保整个环境的一致性. 从开放的网络访问Q4的生产环境, 公共网络(互联网)是受限制的, 只有少量的生产服务器可以从Internet访问. 只有那些对Q4的服务提供给用户至关重要的网络协议在im体育买球的外围开放,并且在网络外围部署了针对分布式拒绝服务(DDoS)攻击的缓解措施. 另外, 用于基于主机的入侵检测和防御活动, 第四季度的日志, 监控, 并对所有相关日志进行审计,并对指示通过使用IDS进行潜在入侵的日志发出警报.

终端安全

所有发给Q4人员的工作站均由Q4进行配置,以符合im体育买球的保安标准. 这些标准要求所有工作站都要正确配置, 更新, 并通过Q4的终端管理解决方案进行跟踪和监控. Q4的默认配置设置工作站在休息时加密数据, 有强壮的密码, 空闲时锁定. 工作站运行最新的监控软件,以报告潜在的恶意软件和未经授权的软件. 禁止将客户数据存储在任何移动设备上或在批准的存储库之外传输.

访问控制

供应

Q4在提供访问时遵循最少特权和基于角色的权限原则. 员工只被授权访问他们为履行当前工作职责而必须合理处理的数据. 所有的生产权限至少每季度通过一个彻底的访问审核.

身份验证

进一步降低未经授权查阅资料的风险, Q4采用多因素认证对所有具有高度敏感数据的系统进行访问, 包括im体育买球的生产环境, 哪些存储im体育买球的客户数据. 在可能和适当的情况下, Q4使用私钥进行身份验证, 除了前面提到的在独立设备上的多因素身份验证之外.

密码管理

Q4要求员工根据严格的密码复杂度策略使用经批准的密码管理器. 密码经理生成, 商店, 并输入唯一和复杂的密码,以避免密码重复使用, 网络钓鱼, 以及其他与密码相关的风险.

系统监控、日志记录和告警

第四季度监控服务器, 工作站和移动设备保留并分析im体育买球公司和生产基础设施的安全状态的全面视图. Q4生产网络中所有服务器的管理访问和活动都被记录并保留. 日志分析在一定程度上实现了自动化,以检测潜在问题并向相关人员发出警报. 所有的生产日志都存储在单独的网络中,仅限相关的安全人员使用.

数据保留及处置

Q4硬删除当前运行的生产系统中的所有信息,并使用NIST数据处理标准对备份进行加密和安全销毁. Q4的主机提供商有责任确保数据在被重新使用之前以负责任的方式从磁盘中删除.

灾难恢复和业务连续性计划

Q4利用托管提供商部署的服务,将生产操作分布在两个独立的物理位置. 这两个地点都以美国为基地(加利福尼亚州和弗吉尼亚州), 并保护Q4的服务不丢失连接, 电力基础设施, 以及其他常见的特定位置故障. 生产事务在这些离散的操作环境中进行复制,以在特定位置的灾难性事件发生时保护Q4服务的可用性. Q4还在这个冗余位置保留了生产数据的完整备份副本, 远离主要操作环境的位置. 每天至少一次将完全备份保存到此远程位置. Q4至少每季度测试一次备份,以确保能够成功地恢复它们.

回应保安事故

Q4制定了应对潜在安全事故的政策和程序. 所有安全事件由第四季度的事件响应团队管理. 剧本定义了必须通过事件响应流程进行管理的事件类型,并根据严重性对它们进行了分类. 如果发生确认的事件, im体育买球的通信团队将通过电子邮件通知受影响的客户. 事故响应程序通过消防演习进行测试,并至少每年更新一次.

供应商管理

为了有效地运行,Q4依赖于子服务组织. 哪些子服务组织可能会影响Q4生产环境的安全性或可靠性, im体育买球采取适当的步骤,通过建立要求服务机构遵守机密性的协议,确保im体育买球的安全状况和正常运行时间得到维护 & im体育买球对用户作出的正常运行时间承诺,同时确保供应商之间的冗余. Q4通过在使用前和至少每年对所有服务组织的控制进行审查,监督组织的保障措施的有效运行.

结论

在第四季度,im体育买球有一个坚定的使命,即保护您的数据. 安全是im体育买球组织的心脏, 是im体育买球业务各个方面的基石. 保护您的数据对im体育买球至关重要,这是im体育买球对客户的责任. im体育买球继续努力工作,一年比一年改善im体育买球的安全状况, 努力在im体育买球和客户之间建立信任.

如果您有任何问题或担忧,请联系您的客户代表或im体育买球的支持团队.