郁金香的网络安全政策和基础设施是什么？

目的

了解Tulip的一般安全政策。

安全是Tulip公司软件、运营、基础设施和流程的核心。我们在安全、加密和威胁管理方面采用工业标准的最佳做法。

基础设施

郁金香的云计算在亚马逊网络服务上运行，它提供一流的数据中心和基础设施安全。郁金香的服务器在AWS虚拟私有云中，受到安全组防火墙的保护。管理访问受到SSH密钥登录和IP白名单的保护。所有Tulip AWS和其他云账户都受到强大的密码和多因素认证的保护。亚马逊的数据中心符合许多合规要求，包括ISO 27001、SOC、PCI和FedRAMP。

加密

所有通过公共互联网发送至Tulip的数据在传输过程中都通过TLS进行加密，使用最强的推荐密码套件。郁金香的TLS配置从Qualsys的SSLLabs获得了A+等级。郁金香存储的所有数据，包括应用程序、分析数据和上传的资产，都使用256位AES进行静态加密。

数据存储

Tulip将数据存储在AWS的S3和RDS服务，以及MongoDB公司的MongoDB Atlas服务中。Tulip采用了一个正式的程序来审查处理客户数据的第三方供应商，以确保他们达到或超过Tulip的数据安全标准。

应用程序

Tulip遵循所有网络应用的最佳实践，包括OWASP推荐的那些。Tulip使用HSTS来确保传输中的加密，使用DOM模板和CSP来避免XSS，使用X-Frame-Options来防止点击劫持，使用localStorage而不是cookies来避免CSRF攻击。服务器端ACL的执行是通过代码审查以及现成的和定制的静态分析工具进行的。客户端使用SHA-256对密码进行散列，然后在服务器端使用bcrypt重新散列。

过程

所有生产代码都由多名工程师审查。Tulip定期接受第三方安全公司的渗透测试。Tulip定期进行内部安全审查，并采用文件化的软件开发流程。

共享安全模式

Tulip采用共享安全模式，在Tulip、我们的客户和我们的第三方供应商之间确立责任。

进一步阅读

查看我们的IT安全政策