Tulip 的网络安全政策和基础设施有哪些？

目的

了解 Tulip 的一般安全政策。

安全是 Tulip 软件、运营、基础设施和流程的核心。我们在安全、加密和威胁管理方面采用工业标准的最佳实践。

基础设施

Tulip 的云在亚马逊网络服务或微软 Azure 上运行，具体取决于地区可用性和部署过程中的选择。两者都提供一流的数据中心和基础设施安全性。对于 AWS，Tulip 服务器位于 AWS 虚拟私有云中，受安全组防火墙保护。管理访问受短期访问密钥和 IP 白名单的保护。所有 Tulip AWS 账户和其他云账户都受到强密码和多因素身份验证的保护。亚马逊的数据中心符合众多合规要求，包括 ISO 27001、SOC、PCI 和 FedRAMP。

加密

所有通过公共互联网发送到 Tulip 或从 Tulip 发出的数据在传输过程中均使用推荐的最强密码套件通过 TLS 进行加密。Tulip 的 TLS 配置获得了 Qualsys SSLLabs 的 A+ 级认证。Tulip 存储的所有数据，包括应用程序、分析数据和上传的资产，都使用 256 位 AES 进行静态加密。

数据存储

数据由 Tulip 存储在 AWS 的 S3 和 RDS 服务以及 MongoDB Inc.Tulip 采用正式流程审查处理客户数据的第三方供应商，以确保他们达到或超过 Tulip 的数据安全标准。

应用程序

Tulip 遵循网络应用最佳实践，包括 OWASP 推荐的最佳实践。Tulip 使用 HSTS 来确保传输中加密，使用 DOM 模板和 CSP 来避免 XSS，使用 X-Frame-Options 来防止点击劫持，使用 localStorage 而不是 cookies 来避免 CSRF 攻击。通过代码审查以及现成和定制的静态分析工具来执行服务器端 ACL。密码在客户端使用 SHA-256 进行散列，然后在服务器端使用 bcrypt 重新散列。

流程

所有生产代码均由多名工程师审核。Tulip 定期接受第三方安全公司的渗透测试。Tulip 定期进行内部安全审查，并采用记录在案的软件开发流程。

共享安全模式

Tulip 采用共享安全模式，在 Tulip、客户和第三方供应商之间建立责任关系。

更多阅读

查看我们的IT 安全政策