Zoho CRM-數(shù)據(jù)安全行業(yè)：安全白皮書

1Security1Security數(shù)據(jù)安全是企業(yè)數(shù)字化轉(zhuǎn)型無法繞開的關(guān)鍵話題1.1從數(shù)字經(jīng)濟(jì)到數(shù)據(jù)安全立法2021年中國(guó)數(shù)字經(jīng)濟(jì)規(guī)模總量達(dá)到45.5萬億元，占到國(guó)內(nèi)GDP總量的39.8%，這也意味著，無論是在我們的個(gè)人生活還是工作中，數(shù)字經(jīng)濟(jì)已經(jīng)滲入到方方面面。因此，對(duì)數(shù)據(jù)安全的重視程度也愈發(fā)明企業(yè)不重視數(shù)據(jù)安全，幾乎是“摸著石頭過河”的狀態(tài)，再加上相關(guān)監(jiān)管的缺失，引發(fā)的數(shù)據(jù)安全問11.2企業(yè)如何應(yīng)對(duì)數(shù)據(jù)安全帶來的挑戰(zhàn)種觀點(diǎn)是對(duì)SaaS產(chǎn)品的誤解。數(shù)據(jù)安全所帶來的危機(jī)是迫在眉睫的，企業(yè)應(yīng)該如何在較少的投入下，22Security2Security云服務(wù)背景下，數(shù)據(jù)安全對(duì)企業(yè)的重要性2.1云服務(wù)背景下的數(shù)據(jù)安全架構(gòu)信息安全，ISO（國(guó)際標(biāo)準(zhǔn)化組織）的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)、管理上的安全保護(hù)，為的是保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。例如ISO硬件、服務(wù)器等設(shè)備安全，以及防止數(shù)據(jù)遭到破壞，在第三章內(nèi)容中，我們會(huì)著重介紹到Zoho的3為了保護(hù)敏感數(shù)據(jù)，我們將系統(tǒng)分割成單獨(dú)的網(wǎng)絡(luò)。支持測(cè)試和開發(fā)活動(dòng)的系統(tǒng)與支持Zoho個(gè)人數(shù)據(jù)安全，或者說隱私保護(hù)，是數(shù)據(jù)安全中的一個(gè)重要組成部分。例如國(guó)內(nèi)的《個(gè)人信息保護(hù)2.2為什么要注重云服務(wù)數(shù)據(jù)安全2021年4月，F(xiàn)acebook近5.33億用戶的信息地址等信息，起因在于2020年的漏洞，導(dǎo)致用戶能夠使用Telegram機(jī)器人來利用Facebook系統(tǒng)。這稱滴滴出行APP存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問題，因此被下架整頓；同年8月，阿里43Security3SecurityZoho的安全保障3.1Zoho安全策略組成我們聘請(qǐng)權(quán)威機(jī)構(gòu)對(duì)Zoho的每一位員工進(jìn)行調(diào)查，核實(shí)員工是否有犯罪記錄，工作經(jīng)歷以及教育背5Zoho員工使用的都是新的OS版本設(shè)備，并配置防病毒軟件。我們要求所有工作站都必須采用Zoho的每個(gè)數(shù)據(jù)中心都有7x24x365夜視攝像頭進(jìn)行日夜監(jiān)控，監(jiān)了保護(hù)敏感數(shù)據(jù)，我們將系統(tǒng)分割成單獨(dú)的網(wǎng)絡(luò)。支持測(cè)試和開發(fā)活動(dòng)的系統(tǒng)與支持Zoho生產(chǎn)基 6開發(fā)和測(cè)試活動(dòng)配置的所有服務(wù)器都進(jìn)行了強(qiáng)化處理（通過禁用未使用的端口和帳戶，刪除默認(rèn)密碼 的軟件開發(fā)生命周期（SDLC）要求遵守安全編碼準(zhǔn)則，使用代碼分析器工傳輸過程：通過強(qiáng)大的加密協(xié)議，保護(hù)來自公用網(wǎng)絡(luò)傳輸?shù)轿覀兎?wù)器的所有客戶數(shù)據(jù)。對(duì)于所有連7 動(dòng)數(shù)據(jù)庫(kù)中刪除的數(shù)據(jù)將在3個(gè)月后從備份中刪除。如果您的未付費(fèi)帳戶連續(xù)120天處于停用狀態(tài)，我Zoho提供了單點(diǎn)登錄（SSO用戶可以使用相同的登錄頁(yè)面和身份驗(yàn)證憑據(jù)錄任何Zoho服務(wù)時(shí)，僅通過我們集成的身份和訪問管理（IAM）服務(wù)即可。我們還支持SAML單點(diǎn)登8 9為了確保備份數(shù)據(jù)的安全，我們?cè)趥浞莘?wù)器中使用了獨(dú)立磁盤冗余陣列（RAID）。所有備份都會(huì)定注意陌生電子郵件中的惡意軟件威脅，這些電子郵件，網(wǎng)站和鏈接可能會(huì)通過模擬3.2Zoho安全策略組成基于SaaS模式，我們采用云安全責(zé)任共擔(dān)模型，與用戶、企業(yè)共同創(chuàng)建數(shù)據(jù)安全環(huán)境。安全責(zé)任共擔(dān)在責(zé)任共擔(dān)模型中，Zoho負(fù)責(zé)構(gòu)建安全、可靠和運(yùn)行穩(wěn)定的產(chǎn)品，我們?cè)诰S護(hù)云基礎(chǔ)設(shè)施的同時(shí)，客），我們負(fù)責(zé)隔離客戶存儲(chǔ)在我們這里的數(shù)據(jù)。每個(gè)客戶的服務(wù)數(shù)據(jù)使用框架中的一組安全協(xié)我們將確保存儲(chǔ)在彈性存儲(chǔ)上的應(yīng)用程序數(shù)據(jù)跨數(shù)據(jù)中心共同責(zé)任Zoho會(huì)做什么Zoho給予客戶的建議身份和訪問管理Zoho通過以下方式提供用于通過身份和訪問管理(IAM)服務(wù)管理用戶帳戶的基礎(chǔ)設(shè)施：●用戶注冊(cè)、注銷選項(xiàng)以及如何使用它們的規(guī)范?！裼糜诠芾碓朴脩粼L問權(quán)限的功能?！駨?qiáng)大的身份驗(yàn)證技術(shù)，例如多因素身份驗(yàn)證和IP地址限制?！駥?shí)施強(qiáng)大的用戶訪問管理控制?！窀鶕?jù)組織的策略配置強(qiáng)密碼并保護(hù)它們?！駷榻M織的用戶啟用多重身份驗(yàn)證。●管理用戶帳戶和權(quán)限根據(jù)最低權(quán)限原則配置用戶角色。●定義組織帳戶的管理員并擁有適當(dāng)?shù)乃袡?quán)轉(zhuǎn)移流程。采取必要措施確保您的組織不會(huì)失去對(duì)其管理員帳戶的控制?！穸ㄆ趯彶橛袡?quán)訪問數(shù)據(jù)的用戶列表，并刪除不應(yīng)該擁有數(shù)據(jù)的任何人的訪問權(quán)限。●經(jīng)常查看與組織的用戶帳戶相關(guān)聯(lián)的設(shè)備，并移除未使用或未經(jīng)授權(quán)的設(shè)備?！癖O(jiān)控您組織的用戶帳戶是否存在惡意訪問或使用情●通知任何未經(jīng)授權(quán)使用貴組織帳戶的行為?！褡屇挠脩袅私饬己妹艽a管理的重要性、憑據(jù)重用、社交登錄和網(wǎng)絡(luò)釣魚攻擊的風(fēng)險(xiǎn)。Zoho為您提供一個(gè)平臺(tái)來管理您的數(shù)據(jù)：●用于管理員和用戶級(jí)別控制的數(shù)據(jù)共享功能?！窨蛻魯?shù)據(jù)的審計(jì)功能可提供重要活動(dòng)的透明度并跟蹤更改?！駭?shù)據(jù)互操作性——對(duì)數(shù)據(jù)和配置進(jìn)行完整備份以將全部或部分?jǐn)?shù)據(jù)遷移到另一個(gè)SaaS提供商的選項(xiàng)。●數(shù)據(jù)保留和處置——只要您選擇使用Zoho服務(wù)，我們就會(huì)將數(shù)據(jù)保存在您的賬戶中。一旦您終止您的Zoho用戶帳戶，您的數(shù)據(jù)將在每六個(gè)月發(fā)生一次的下一次清理期間從活動(dòng)數(shù)據(jù)庫(kù)中刪除。從活動(dòng)數(shù)據(jù)庫(kù)中刪除的數(shù)據(jù)將在三個(gè)月后從備份中刪除。●訪問限制功能可限制員工訪問客戶數(shù)據(jù)，并確保他們只有在有特定原因時(shí)才能這樣做?！裨谔幚韺儆谔厥忸悇e的信息（例如，個(gè)人/敏感數(shù)據(jù)）時(shí)進(jìn)行盡職調(diào)查，通過應(yīng)用適當(dāng)?shù)目刂苼碜袷剡m用法律的要求?！衽渲眠m當(dāng)?shù)墓蚕砗筒榭礄?quán)限?！穸ㄆ趯彶閷徲?jì)報(bào)告以識(shí)別任何可疑活動(dòng)?！衽cZoho保持最新的聯(lián)系信息?！褚坏┠Ｖ故褂梦覀兊姆?wù)，就將您的數(shù)據(jù)從系統(tǒng)中取出。否則將被永久刪除，沒有任何恢復(fù)的余地。Zoho致力于通過以下方式對(duì)我們的應(yīng)用程序進(jìn)行安全集成和擴(kuò)展：●市場(chǎng)應(yīng)用程序：在向我們提交應(yīng)用程序后執(zhí)行功能測(cè)試、安全測(cè)試和隱私測(cè)試。我們還進(jìn)行產(chǎn)品審查和內(nèi)容審查?！褡犹幚碚撸涸u(píng)估我們希望簽約的子處理者的安全和隱私實(shí)踐，以確保它們符合Zoho的信息安全和隱私標(biāo)準(zhǔn)。然后，我們與他們簽訂適當(dāng)?shù)臄?shù)據(jù)保護(hù)協(xié)議?！裎覀儠?huì)審查供應(yīng)商的隱私政策和服務(wù)條款，并確保他們的運(yùn)營(yíng)堅(jiān)持下去?！裨诳紤]共享到第三方環(huán)境的數(shù)據(jù)后啟用或禁用第三方集成。您必須查看第三方服務(wù)關(guān)于數(shù)據(jù)收集、使用或披露的條款和隱私政策?！駱?biāo)記您是否愿意在每次安裝擴(kuò)展程序時(shí)與供應(yīng)商共享您的詳細(xì)信息的偏好?！裨诎惭b之前評(píng)估應(yīng)用程序的適用性和請(qǐng)求權(quán)限的合理性。●將Marketplace應(yīng)用程序中發(fā)現(xiàn)的任何惡意行為通知Zoho。數(shù)據(jù)主體權(quán)利●提供使客戶能夠迎合和保護(hù)客戶權(quán)利的功能?！癞?dāng)您的客戶直接聯(lián)系我們以行使他們的權(quán)利時(shí)，通知您他們的請(qǐng)求?！褡鹬夭⑻幚砜蛻籼岢龅臄?shù)據(jù)訪問、更正、刪除和限制處理其個(gè)人信息的請(qǐng)求。加密Zoho通過以下方式在傳輸和靜態(tài)時(shí)使用加密保護(hù)您的數(shù)據(jù)：●傳輸中的數(shù)據(jù)：通過公共網(wǎng)絡(luò)傳輸?shù)轿覀兎?wù)器的客戶數(shù)據(jù)使用強(qiáng)大的加密協(xié)議進(jìn)行保護(hù)。我們要求與我們服務(wù)器的所有連接都使用傳輸層安全性(TLS1.2/1.3)加密和強(qiáng)密碼，用于所有連接，包括WebIMAP/POP/SMTP訪問。●靜態(tài)數(shù)據(jù)：敏感的客戶數(shù)據(jù)使用高級(jí)加密標(biāo)準(zhǔn)(AES)256位算法進(jìn)行靜態(tài)加密。靜態(tài)加密的數(shù)據(jù)因您選擇的服務(wù)而異。我們使用內(nèi)部密鑰管理服務(wù)(KMS)擁有和維護(hù)密鑰。●確定您的加密需求。對(duì)于靜態(tài)數(shù)據(jù)，在許多情況下，在使用我們的服務(wù)時(shí)，您可能需要負(fù)責(zé)定義哪些字段需要加密。●當(dāng)我們?cè)浦械臄?shù)據(jù)下載或?qū)С龅侥沫h(huán)境中或在Zoho中的集成或任何其他第三方集成中同步時(shí)，您需要確保應(yīng)用相關(guān)的加密控制。例如，在您的設(shè)備上啟用磁盤加密并使用啟用密碼保護(hù)的導(dǎo)出功能等。備份●維護(hù)使用AES-256位算法加密并安全存儲(chǔ)的系統(tǒng)級(jí)備份。自動(dòng)運(yùn)行完整備份的完整性和驗(yàn)證檢查?！駟⒂脭?shù)據(jù)恢復(fù)請(qǐng)求并在保留期內(nèi)提供對(duì)其的安全訪問。為客戶提供導(dǎo)出和備份數(shù)據(jù)的功能?！駷槟臄?shù)據(jù)安排備份，從其各自的Zoho服務(wù)中導(dǎo)出，并在必要時(shí)將其本地存儲(chǔ)在您的基礎(chǔ)設(shè)施中。您有責(zé)任以安全的方式存儲(chǔ)它。事件管理●報(bào)告我們知曉違規(guī)事件、影響細(xì)節(jié)，以方便提供適當(dāng)?shù)慕ㄗh處理，對(duì)于有關(guān)個(gè)人或組織用戶的特定事件，我們將通過注冊(cè)郵件通知相關(guān)方?！窀櫞祟愂录㈥P(guān)閉它們。●如果出現(xiàn)違規(guī)行為，請(qǐng)采取Zoho建議的措施?！駶M足您的數(shù)據(jù)泄露披露和通知要求，例如在相關(guān)時(shí)通知您的最終用戶和數(shù)據(jù)保護(hù)機(jī)構(gòu)。意識(shí)和培訓(xùn)●培訓(xùn)我們的員工具有安全意識(shí)并遵守安全的開發(fā)標(biāo)準(zhǔn)。新雇用的員工除了通過信息電子郵件、演示文稿和我們內(nèi)聯(lián)網(wǎng)上提供的資源定期接受安全意識(shí)培訓(xùn)外，還參加強(qiáng)制性安全和隱私培訓(xùn)?！衽嘤?xùn)我們的員工正確處理云服務(wù)客戶數(shù)據(jù)?！袷褂梦覀兎?wù)的標(biāo)準(zhǔn)和程序?！袢绾喂芾砼c我們的服務(wù)相關(guān)的風(fēng)險(xiǎn)。●一般系統(tǒng)和網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)?！襁m用的法律和監(jiān)管注意事項(xiàng)。政策與合規(guī)●我們制定了全面的風(fēng)險(xiǎn)管理計(jì)劃并有效實(shí)施了控制措施?！裎覀?cè)诮?jīng)營(yíng)所在的各個(gè)司法管轄區(qū)的法律范圍內(nèi)開展業(yè)務(wù)?！裎覀兏鶕?jù)我們的合同要求提供遵守適用法律的證據(jù)?！裎覀儗⒃谶m用法律允許的范圍內(nèi)協(xié)助對(duì)客戶進(jìn)行DPIA評(píng)估?！裨u(píng)估適用于您的法規(guī)和法律，并審查我們對(duì)您業(yè)務(wù)所需的法規(guī)和標(biāo)準(zhǔn)的遵守情況。您可以要求提供更多信息作為我們合規(guī)的證據(jù)?！窳私馕覀兊恼咴u(píng)估方法以及我們?nèi)绾翁幚頂?shù)據(jù)?！裨谔幚頂?shù)據(jù)之前/期間按照適用于您組織的數(shù)據(jù)保護(hù)法的要求進(jìn)行DPIA。●在您處理任何個(gè)人/敏感數(shù)據(jù)之前，請(qǐng)?jiān)u估您的合法依據(jù)。如果您的合法依據(jù)是同意，請(qǐng)確保您獲得客戶的同意?！窀鶕?jù)我們提供的信息評(píng)估我們基于云的服務(wù)的適用性，并確保其足以滿足您的合規(guī)需求?！窳私鈀oho服務(wù)中托管的數(shù)據(jù)的風(fēng)險(xiǎn)概況和敏感性，并應(yīng)用適當(dāng)?shù)目刂啤?Security4SecurityZoho的加密安全管理體系4.1什么是加密和解密以檢索原始數(shù)據(jù)。密鑰是保密的。如果沒有密鑰，任何可能成功訪問數(shù)據(jù)的人都只會(huì)看到一個(gè)2.派生數(shù)據(jù)，即不是由您直接給到的數(shù)據(jù)，而是從您的數(shù)據(jù)之上派生而來的數(shù)據(jù)。例如，身份驗(yàn)證令 4.2傳輸中的加密當(dāng)您使用Zoho服務(wù)時(shí)，您的數(shù)據(jù)會(huì)通過網(wǎng)絡(luò)從您的瀏覽器傳輸?shù)降碾p方進(jìn)行身份驗(yàn)證，以及對(duì)要傳輸?shù)臄?shù)據(jù)進(jìn)行加密，來確保您和Zoho服務(wù)之間的數(shù)據(jù)傳輸是安全 ），我們?cè)谂c第三方通信時(shí)，遵循h(huán)ttps協(xié)議。對(duì)于涉及敏感數(shù)據(jù)和用例的交易，我們采用非對(duì)稱加密4.3靜態(tài)加密4.4應(yīng)用級(jí)加密服務(wù)的一部分代表您存儲(chǔ)的數(shù)據(jù)，都可以作為文件或數(shù)據(jù)字段接收。在Zoho，每一個(gè)數(shù)據(jù)類 初始化向量（IV）：IV是啟動(dòng)加密過程的隨機(jī)值，正是這個(gè)隨機(jī)值，可以確保每個(gè)模塊/單元的加密方），加密請(qǐng)求都允許使用IVs時(shí)，起始模塊是不同的，攻擊者無法推斷出任何可能幫助他們解碼加密數(shù)據(jù)的密級(jí)別，在此級(jí)別中，整個(gè)數(shù)據(jù)表格將獲得一個(gè)IV，這意味著，整個(gè)密文模塊可用于表格內(nèi)的搜索查在使用Zoho服務(wù)時(shí)，您創(chuàng)建或附加的文件保存在我們的分布式文件系統(tǒng)（DFS）中。靜態(tài)加密的文件定期進(jìn)行數(shù)據(jù)備份，是保證數(shù)據(jù)安全的必要方式。我們通常按照兩種計(jì)劃來進(jìn)行數(shù)據(jù)備份：按天和按4.5密鑰管理我們將密鑰以物理的方式分開存儲(chǔ)，以達(dá)到最大的保護(hù)，即使有人獲取了其中之一的密鑰，也無法解在默認(rèn)情況下，對(duì)密鑰管理服務(wù)器的訪問會(huì)被受到限制，并且只允許Zoho的特定人員訪問。任何其他4.6我們?cè)诜?wù)中加密了哪些數(shù)據(jù)？4.7全盤加密此密鑰用于加密/解密驅(qū)動(dòng)器中的數(shù)據(jù)。此密鑰由供應(yīng)商在制造過程中生成，當(dāng)我們獲得帶有SED磁盤 5Security5SecurityZoho的隱私安全管理體系5.1Zoho的隱私承諾Zoho向來注重隱私和數(shù)據(jù)安全，早在隱私問題還不像當(dāng)今如此嚴(yán)峻、更沒有手頭的特定交易所需的信息。Zoho的用戶可以清晰地知道他們哪些信息被搜集，可以自由選5.2Zoho收集并控制的信息）；和服務(wù);5.3Zoho代表用戶所處理的信息