目的
了解 Tulip 的一般安全政策。
安全是 Tulip 软件、运营、基础设施和流程的核心。我们在安全、加密和威胁管理方面采用工业标准的最佳实践。
基础设施
Tulip 的云在亚马逊网络服务或微软 Azure 上运行,具体取决于地区可用性和部署过程中的选择。两者都提供一流的数据中心和基础设施安全性。对于 AWS,Tulip 服务器位于 AWS 虚拟私有云中,受安全组防火墙保护。管理访问受短期访问密钥和 IP 白名单的保护。所有 Tulip AWS 账户和其他云账户都受到强密码和多因素身份验证的保护。亚马逊的数据中心符合众多合规要求,包括 ISO 27001、SOC、PCI 和 FedRAMP。
加密
所有通过公共互联网发送到 Tulip 或从 Tulip 发出的数据在传输过程中均使用推荐的最强密码套件通过 TLS 进行加密。Tulip 的 TLS 配置获得了 Qualsys SSLLabs 的 A+ 级认证。Tulip 存储的所有数据,包括应用程序、分析数据和上传的资产,都使用 256 位 AES 进行静态加密。
数据存储
数据由 Tulip 存储在 AWS 的 S3 和 RDS 服务以及 MongoDB Inc.Tulip 采用正式流程审查处理客户数据的第三方供应商,以确保他们达到或超过 Tulip 的数据安全标准。
应用程序
Tulip 遵循网络应用最佳实践,包括 OWASP 推荐的最佳实践。Tulip 使用 HSTS 来确保传输中加密,使用 DOM 模板和 CSP 来避免 XSS,使用 X-Frame-Options 来防止点击劫持,使用 localStorage 而不是 cookies 来避免 CSRF 攻击。通过代码审查以及现成和定制的静态分析工具来执行服务器端 ACL。密码在客户端使用 SHA-256 进行散列,然后在服务器端使用 bcrypt 重新散列。
流程
所有生产代码均由多名工程师审核。Tulip 定期接受第三方安全公司的渗透测试。Tulip 定期进行内部安全审查,并采用记录在案的软件开发流程。
共享安全模式
Tulip 采用共享安全模式,在 Tulip、客户和第三方供应商之间建立责任关系。
更多阅读
查看我们的IT 安全政策