預測指數的安全性
預測索引(PI)致力於客戶信息的安全。PI有一個專門的安全團隊來保護客戶信息,該團隊通過創建和培養安全文化的使命來實現這一點。團隊領導從關鍵基礎設施、國防和高科技領域帶來了豐富的經驗,並從中建立了高效的安全和隱私程序。
審計和遵從性
我們正努力取得ISO 27001認證。我們在整個組織實施了符合ISO 27001要求的信息安全政策、標準和流程。
我們每年進行第三方滲透測試,並經常進行內部審計和安全評估。對於關鍵服務,我們使用具有強大安全跟蹤記錄的供應商,例如用於產品托管的Microsoft Azure和用於身份和訪問管理的Auth0。
數據中心安全
我們的產品環境是微軟Azure。我們的產品主要使用Azure平台即服務(PaaS)產品。使用PaaS而不是傳統vm大大減少了我們的威脅麵。我們廣泛利用Azure的高級安全特性,例如身份保護保護我們的產品基礎設施。
我們在生產環境中有嚴格的訪問控製,基於Need to Know和Least Privilege原則。隻有預測性188bet真人注册索引(Predictive Index)員工才有訪問生產環境的權限,因為他們需要出於合理的目的(例如部署和排除應用程序故障)訪問生產環境。他們獲得了完成其合法目的所需的最少的特權。
我們已經建立了一個跨部門的Azure治理團隊,它擁有我們Azure基礎設施的路線圖,並確保在架構級別內建了安全性。
係統與網絡安全
我們保持係統的準確庫存,並執行完整的生命周期管理,包括執行及時的補丁和係統退役接近其支持期結束。
我們有一個有效的漏洞管理程序,包括從網絡和端點頻繁掃描和基於代理的安全數據收集。該網絡和端點數據自動與威脅信息相關聯,以根據風險識別和優先考慮漏洞。至少每周審查一次,新問題會在與問題嚴重性成正比的時間框架內迅速得到補救。
數據安全
我們對靜止(在存儲時)和傳輸(在傳輸時)的數據有很強的加密。我們的生產資產隻允許TLS 1.2或更高版本。
對存儲的客戶數據的訪問是在需要知道的基礎上進行的。被授權訪問的典型人員是客戶支持和工程開發人員(用於故障排除),以及部署服務的DevOps人員。
產品安全
我們在產品中有強大的安全控製,包括基於角色的訪問控製(RBAC)、數據隔離、數據匿名化和登錄攻擊保護。
π的應用程序的RBAC具有六種不同的用戶角色,幫助確保我們的客戶有能力為其用戶提供正確級別的訪問。PI RBAC還為第三方用戶提供服務,使我們的客戶能夠安全地與顧問共享數據。
我們的數據隔離特性提供限製對應用程序內數據的訪問的能力。這使我們的客戶能夠隔離數據,例如,根據組織單位或地理位置,以便隻有負責這些組織單位或地理位置的用戶才能訪問數據。
我們在產品中有周到的隱私功能。例如,我們有一個“匿名化個人資料”從係統中刪除所選用戶的個人信息。我們致力於增加諸如此類的安全和隱私功能,使我們的客戶能夠更好地控製他們的數據。
我們在產品中使用業界領先的Auth0作為身份和訪問管理合作夥伴。用戶登錄到我們的應用程序由Auth0保護。我們的產品采用了Auth0攻擊保護特性為了防止惡意活動如暴力脅迫。
安全軟件開發
PI執行與NIST安全軟件開發框架(SSDF)一致的安全軟件開發。作為這種方法的一部分,我們有一個安全的全生命周期方法。這包括安全團隊與產品管理和產品設計團隊密切合作,將安全設計到正在考慮的新功能中;並與客戶支持人員一起確定新的安全特性需求。
我們讚同在開發過程早期發現安全問題的“左移”哲學。按照這種理念,我們執行廣泛而頻繁的安全測試,包括靜態應用程序安全測試(SAST)、動態應用程序安全測試(DAST)和軟件組合分析(SCA)。我們測試WebApps和api的安全缺陷。我們的安全測試包括集成到DevOps管道中的自動化測試。安全質量門應用於自動化測試,這樣開發人員就會收到測試失敗的警告,並且在合並之前對問題進行補救。
我們有一個專門的安全問題積壓,我們的工程開發資源的一部分被分配到安全任務。這表明了組織對安全的明確承諾。有了預設的分配,就可以實現重要的安全補丁或特性,而不必與產品特性請求競爭。
保安教育及保安意識
我們為所有員工提供年度安全意識培訓,這是強製性的。我們還每月進行網絡釣魚測試。我們每月的網絡釣魚測試結果與所有員工共享,並為未通過測試的員工提供額外的資源,如補救培訓。
我們已經為我們的工程人員實施了安全冠軍計劃,以確保開發人員具有相關的安全專業知識。作為項目的一部分,開發人員將獲得豐富的安全資源,如OWASP前10個問題的培訓材料、精心策劃的安全庫和安全編碼標準。我們每個季度都有安全主題,例如訪問控製,並且我們針對該主題設計擴展和資源。這包括實際操作的培訓機會,如捕獲旗幟(CTF)比賽,以加強主題中的概念,並幫助評估團隊的安全編碼知識。
保安監察及事件應變
PI產品環境和應用程序使用安全信息和事件管理(Security Information and Event Management, SIEM)平台進行監視。
PI有正式的和經過測試的事件響應流程。
我們也為客戶提供服務狀態的監控。我們的服務狀態頁麵在這裏.您也可以訂閱此頁麵,以獲得任何維護或事故的通知。
用戶資料私隱
我們非常重視我們的數據保護義務和用戶隱私權利。並與他們簽訂合同,包括保護我們的客戶數據和用戶的條款。我們的隱私政策是可以在這裏.
我們的產品使用信譽良好的供應商,如Microsoft Azure和Auth0。我們的完整清單個子處理器在這裏.
信用卡的安全
PI不存儲任何信用卡信息。信用卡支付由Stripe處理,Stripe是業界領先的PCI數據安全標準(PCI- dss)一級認證服務提供商。看到安全的條紋為更多的信息。聯係我們
如果您對預測指數的安全性有任何疑問,請通過以下方式與我們聯係:
188bet真人注册預測指數有限責任公司
101車站驅動器
韋斯特伍德,馬02090
注意:安全
電話:800-832-8884
電子郵件:security@predictiveindex.com