安全

您的数据是安全和可用的

在彩神大发集中,彩神大发努力帮助企业更聪明地工作. 但如果不让彩神大发的软件成为一个安全可靠的存储数据的地方,这是不可能的. 这就是为什么数据安全是彩神大发绝对优先考虑的问题. 为了透明度, 以下是彩神大发采取的措施,以确保您的数据安全和全天候可用.

1. 可用性

彩神大发集中是否一直可用?

彩神大发集中努力维持99的正常运行时间.9%,彩神大发使用多个服务来监控正常运行时间和站点可用性. 在停机或紧急情况下, 彩神大发的团队接收实时通知, 使彩神大发能够迅速采取行动.

如果有什么东西不起作用了怎么办?

在极少数情况下,确实出现了问题,彩神大发会通过彩神大发的 状态页 和应用内通知. 彩神大发将尽一切可能尽快解决这个问题.

2. 安全措施

加密传输中的数据

所有到彩神大发集中的流量都要通过ssl加密的连接, 而且彩神大发只接受443港的流量. 可以找到SSL配置的报告 在这里.

第一次访问网站时, 彩神大发集中向用户代理发送一个严格传输安全标头(HSTS), 确保以后所有的请求都是通过HTTPS发出的. 即使指向彩神大发集中的链接被指定为HTTP.

加密静止数据

所有存储在彩神大发集中系统中的数据都是加密的. 存储在彩神大发数据库系统或文件系统中的信息使用行业标准AES-256加密算法进行加密. AWS在其冗余的全局分布式密钥管理服务中存储和管理数据加密密钥.

这意味着,即使入侵者能够访问任何物理存储设备, 如果没有密钥,其中包含的数据仍然无法解密, 使信息变得无用.

AWS安全实践

彩神大发集中使用Amazon Web Services (AWS)存储用户数据. 这些服务器经过反复评估,以确保符合最新的行业标准, 并持续管理风险. 通过使用AWS作为彩神大发的数据中心,彩神大发的基础设施通过以下认证:

  • ISO 27001
  • SOC 1和SOC 2/SSAE 16/ISAE 3402(以前的SAS 70 II型)
  • 一种总线标准1级
  • C5操作安全
  • 存在高
  • IT-Grundschutz

可以找到有关AWS安全性的更多信息 在这里.

密码策略和存储

要访问彩神大发集中,您需要提供至少6个字符的强密码. 彩神大发不以明文形式存储这些用户密码, 彩神大发只使用开源审计Bcrypt存储单向加密的密码哈希, 包括per-user-random-salt. 这可以保护用户免受彩虹表攻击和加密密码匹配.

如果用户连续多次输入错误密码, 帐户将被暂时锁定,以防止暴力破解. 进一步保护帐户存取, 用户可以通过用户帐户安全设置使用谷歌Authenticator或Authy激活双因素身份验证.

申请节流和跟踪

彩神大发阻止来自已知的、易受攻击的IP地址或范围的请求.

对来自同一IP的请求进行限制和速率限制,以避免潜在的误用.

XSS和CSRF保护

阻止跨站脚本攻击(XSS), 默认情况下,在彩神大发的后端应用程序中,所有输出都在攻击浏览器之前转义,这可能会导致XSS攻击. 彩神大发避免使用返回原始数据, 因为这可能会导致不需要的数据被发送到浏览器.

彩神大发的应用程序会阻止不是来自彩神大发自己域的请求, to help reduce the risk of Cross Site Request Forgery (CSRF) attacks; For important actions, 彩神大发还使用了csrf令牌.

最后, 彩神大发已经实现了内容安全策略(CSP) HTTP报头, 哪个白名单哪个资产(javascript, 图片, 样式表, 等.)用户的浏览器应该允许加载和执行. 正确实现的CSP头消除了任何恶意javascript (XSS攻击), 精心制作的文件伪装成图像, 以及基于浏览器对所服务资产的信任的类似攻击.

道德黑客程序

彩神大发建立了一个道德黑客计划与 Intigriti.com. 正如彩神大发所说, 一组独立的安全专家正在持续测试彩神大发的应用程序的安全性, 帮助彩神大发发现并消除潜在的弱点.

组织

彩神大发的团队使用强大的, 彩神大发集中账户的唯一密码,并为他们使用的每个设备和服务设置了双因素认证. 鼓励所有彩神大发集中的员工使用密码管理软件(LastPass), 1密码, )来生成和存储强密码.

彩神大发还确保加密本地硬盘驱动器,并启用自动屏幕锁定. 对应用程序管理功能的所有访问都被限制在选定的一组人员中.

3. 质量保证

代码评审

彩神大发引入了严格的代码审查,对代码库进行任何更改, 确保开发最佳实践在彩神大发所有的代码推送中使用.

漏洞的披露

自从彩神大发集中发布以来,彩神大发邀请了所有人 通知彩神大发 他们在彩神大发的应用程序中发现的问题,不断使彩神大发的平台更加安全可靠. 已阅读所有提交的漏洞报告, 在尽可能短的时间内处理和响应.

友情链接: 1 2 3 4 5 6 7 8 9 10