- 打印
目的
了解Tulip的一般安全政策。
安全是Tulip公司软件、运营、基础设施和流程的核心。我们在安全、加密和威胁管理方面采用工业标准的最佳做法。
基础设施
郁金香的云计算在亚马逊网络服务上运行,它提供一流的数据中心和基础设施安全。郁金香的服务器在AWS虚拟私有云中,受到安全组防火墙的保护。管理访问受到SSH密钥登录和IP白名单的保护。所有Tulip AWS和其他云账户都受到强大的密码和多因素认证的保护。亚马逊的数据中心符合许多合规要求,包括ISO 27001、SOC、PCI和FedRAMP。
加密
所有通过公共互联网发送至Tulip的数据在传输过程中都通过TLS进行加密,使用最强的推荐密码套件。郁金香的TLS配置从Qualsys的SSLLabs获得了A+等级。郁金香存储的所有数据,包括应用程序、分析数据和上传的资产,都使用256位AES进行静态加密。
数据存储
Tulip将数据存储在AWS的S3和RDS服务,以及MongoDB公司的MongoDB Atlas服务中。Tulip采用了一个正式的程序来审查处理客户数据的第三方供应商,以确保他们达到或超过Tulip的数据安全标准。
应用程序
Tulip遵循所有网络应用的最佳实践,包括OWASP推荐的那些。Tulip使用HSTS来确保传输中的加密,使用DOM模板和CSP来避免XSS,使用X-Frame-Options来防止点击劫持,使用localStorage而不是cookies来避免CSRF攻击。服务器端ACL的执行是通过代码审查以及现成的和定制的静态分析工具进行的。客户端使用SHA-256对密码进行散列,然后在服务器端使用bcrypt重新散列。
过程
所有生产代码都由多名工程师审查。Tulip定期接受第三方安全公司的渗透测试。Tulip定期进行内部安全审查,并采用文件化的软件开发流程。
共享安全模式
Tulip采用共享安全模式,在Tulip、我们的客户和我们的第三方供应商之间确立责任。
进一步阅读
查看我们的IT安全政策