Insider 的資料安全性

超過 400 間頂尖企業品牌放心把資料交給 Insider 打理。作為 100% 符合 GDPR 規範的公司,資料的隱私和安​​全是我們的技術和文化核心。我們打造一流的安全功能並持續進行深度審查,以確保客戶所有的資料和活動徹底安全。建構資料安全是持續的過程,奠定我們發展的基礎,和領導業界技術的出色表現。

身份驗證的安全性

密碼管理

Insider 厲行一組密碼要求,以確保符合安全標準:

  • 密碼長度最少要有 8 碼,由大小寫字母和數字、符號混合而成。
  • 使用者名稱或密碼多次登入錯誤者,將產生安全通知。若用戶點選忘記密碼,臨時密碼的重設連結會寄到用戶註冊時的電郵地址。若有必要,你的帳戶將被手動停用。
  • 最終用戶儲存在 Insider 伺服器的密碼,使用隨機字串做雜湊處理。

雙重身份驗證(2FA)

你可以為帳戶啟用雙重身份驗證(2FA),讓它更安全。請聯繫你的帳戶管理員,啟動 2FA。啟用之後,即便有人知道你的密碼,也沒辦法登入你的帳戶,除非透過簡訊、Google 身份驗證器或 Authy 應用程式進行驗證。

安全憑證的儲存

憑證以加密形式儲存,不是人類可讀的格式。它們做了單向雜湊處理。

API 安全性和身份驗證

Insider 預設透過 SSL 提供服務。需要身份驗證的高敏感服務只透過 HTTPS 提供。這是強制操作,這些類型的服務禁用 HTTP。

連線管理

連線逾時

靜置 30 分鐘設為連線逾時,不可連續在線超過 1 天。

登出

一旦登出,所有客戶端的連線暫存會被刪除,連線識別碼也會失效。

附加的產品安全功能

存取權限和角色

Insider 提供精細的存取權限,可以為不同用戶配置權限等級,例如管理用戶、協作、編輯和閱讀。

IP 位址限制

Insider 可以限制 IP 位址,防止或限縮對特定用戶或代理的存取。

IP位址限制僅適用於企業支援用戶。請聯繫你的用戶管理員啟用此功能。

裝置追蹤

當用戶從新裝置登入時,會被記錄到他們的檔案裡。此時,用戶會收到電子郵件通知,如果這是不明的登入行為,或認為事有蹊蹺,就必須有所反應。

裝置追蹤僅適用於企業支援用戶。請聯繫你的用戶管理員啟用此功能。

網路和傳輸控制

SSL/TLS

Insider 採用業界標準的通訊加密技術,確保所有的通訊都是安全的。所以,所有最終用戶在 Insider 的通訊都被加密保護。Insider 使用傳輸層安全性協定(TLS)進行定期更新和配置。

網路安全

防護

Insider 不斷在更新網路架構。我們的備援防火牆,完覆公共網路的安全 HTTPS 傳輸,和最新的路由器技術一起運作,確保用戶得到最大的防護。Insider 內部持續在做深度審查,也同時透過第三方安全顧問公司執行。

架構

我們採用 DMZ 為當地的網路架構再添一層防護。用了 DMZ 之後,不同的服務根據各自的敏感層級,有不同的子網(資料庫、快取層或應用程式伺服器)。每個區域都有特定的監控和存取控制。

減緩阻斷服務攻擊

Insider 和阻斷服務攻擊(DDoS)的清理供應商合作,減緩阻斷服務攻擊。也和第三方安全顧問公司合作,模擬阻斷服務攻擊。我們還使用 Cloudflare 來防止阻斷服務和其他的安全攻擊。

存取日誌

Insider 有全面的活動監控系統,可儲存所有帳戶層級的日誌,如登入/登出帳戶,建立新用戶,設置用戶權限和變更密碼,以及建立,刪除,更新,啟用和/或暫停方案/個人化設定。

你可以聯繫你的用戶管理員,存取詳細的 Insider 日誌歷史,查看你在方案/個人化設定所有的內容變更。

資料保密性和職務控制

內部對資料的存取

我們的員工或承包商都不能存取你在 Insider 伺服器上的訪客和帳戶資料,除非他們需要這些資訊來執行特定的職務,像是提供客戶支援。若有必要,我們的員工要用強力密碼或雙重身份驗證,才能登入 Insider 的伺服器。

職務控制

除了在伺服器上存取資料有嚴格的規範,Insider 員工也必須在被核准登入伺服器前,簽署保密協議。我們所有的工程師都必須參加一年一次的安全編碼培訓,內容涵蓋 OWASP 十大安全漏洞、常見攻擊案例和 Insider 的安全控制。

安全意識

政策

Insider 製訂了一套適用員工和承包商的全面安全政策。

培訓

所有 Insider 的員工一到職就必須完成安全意識培訓。培訓每年重複一次。工程師每年還會接受一次安全編碼培訓。

除了由我們合作的第三方顧問公司進行深度安全測試,我們負責安全措施的工程師也會定期檢測程式庫。該團隊受過訓練,可以偵測潛在安全漏洞。

員工審核

背景調查

在零信任政策之下,我們的員工或承包商都不能存取你在 Insider 伺服器上的訪客和帳戶資料,除非他們需要這些資訊來執行特定的職務,像是提供客戶支援。所有員工在伺服器上的存取活動都會被記錄和審查。若有濫用行為,Insider 員工將遭受懲處,包括但不限於開除。自 2012 年 4 月起,Insider 員工必須在就職之前完成背景調查。

保密協議

所有新員工在招聘過程都要通過安全檢查,而且必須簽署保密協議。

程式安全

產品安全概述

我們使用端對端、單元、整合等三種測試,進行深入的第三方安全漏洞評估,部署控制也正常運作(藍綠部署、變更管理等)。

程式評估

我們打造一流的安全功能,持續進行深度審查,以確保客戶所有的資料和活動徹底安全。建構資料安全是持續的過程,奠定我們發展的基礎,和領導業界技術的出色表現。我們的工程師會進行同儕編碼和評鑑,確保最高品質。我們的自動程式測試則在偵測和修復常見漏洞。我們在程式庫的敏感區域進行手動測試,並且固定半年做一次安全掃描。

可用性的控制

災難復原與失效切換

Insider 的草創精神就是災難復原。我們採用著名的雲端服務供應商,亞馬遜網路服務(AWS)。為了在發生災難時降低服務中斷的風險,我們複製了敏感資料,分放於數個資料中心。我們的基礎建設和資料儲存在 3 個 AWS 的可用區域中。如果發生災難或故障,服務不會中斷。

我們每天、每周、每月都會備份資料。至於高度敏感的資料,我們按小時做備份。我們的總部設在新加坡,全球有 16 個辦事處,萬一發生災難,可以提供現地服務和支援,確保業務不中斷。

事件回應

Insider 有一支事件回應團隊,可以在發生安全事件時做出快速、有系統的回應。你可以來信 security@useinsider.com給我們

隔離控制

資料隔離

每個客戶的帳戶都有一段獨特的 Insider 代碼(javascript 客戶端)。如此一來,你的資料在邏輯上就和其他客戶的有所區隔。若你有多個網域,透過啟用多域功能,你可以用一樣的JS提供服務。但是,若不啟動多域功能,和 Insider 整合所有網域,就不能在其他網域使用一樣的 JS。

每個客戶的資料都只會用在該客戶身上,而且只在提供該客戶支援時進行存取。我們絕不和第三方共享或販賣客戶資料。關於資料保護的政策,我們明確規定在服務協議和資料保護協議(DPA)。

用戶角色

IInsider 為指定的角色提供不同的用戶權限層級,幫你輕鬆管理用戶。用戶角色包括管理用戶、協作、編輯和閱讀。若你邀請多人在同一方案/個人化設定上作業,Insider 讓你有彈性去賦予每位用戶不同的權限層級。

實體安全

Insider 的服務和資料由位於愛爾蘭的亞馬遜網路服務(AWS)設施支援(隸屬 eu-west-1 區)。

A資料中心僅限通過生物特徵身份辨識的授權人員進入。AWS 資料中心由警衛,攝像監控,和其他現場的安全措施具體保護著。

所有 Insider 的伺服器都在我們的虛擬私有雲端(VPC)。我們的網路存取控制清單(ACLs)正常運作,防阻未經授權的請求。

我們將測試和預備環境與製造環境隔開。服務資料不會被用在開發或測試環境。

附加條款

若你對 Insider 的安全措施有任何疑問,請來信 security@useinsider.com 或聯繫你的帳戶管理員。我們的安全措施會視狀況做變化,因為建構資料安全是持續的過程,奠定我們發展的基礎,和領導業界技術的出色表現。我們偶爾會更新此頁來反映變動。所以請常查看此頁。Insider 的服務視我們服務條款中的條款、條件和免責聲明而定。