紛享銷客連接型CRM安全橙皮書2024

紛享銷客紛享銷客連接型CRM安全橙皮書(2024)目錄01紛享銷客安全戰(zhàn)略02組織及人員安全2.1信息安全委員會2.2信息安全保障團隊2.2.2安全審計團隊2.3安全人員管理03物理與環(huán)境安全3.1物理安全3.2環(huán)境控制04網絡安全4.1安全區(qū)域劃分與隔離4.2網絡訪問控制4.3堡壘機4.4網絡入侵檢測4.6WAF(Web應用防火墻)05主機安全5.2配置檢測5.3主機入侵檢測5.4病毒檢測5.5漏洞管理5.6系統(tǒng)加固數據安全6.1數據安全采集6.2數據加密傳輸6.3數據分級與加密存儲6.4數據安全使用6.5租戶間數據隔離6.6數據安全銷毀6.7數據防勒索6.8個人數據隱私保護6.9數據安全審計應用安全7.1安全開發(fā)生命周期(SDL)7.2應用安全掃描7.3代碼安全審核7.4安全滲透測試7.5應用終端安全7.6用戶賬號安全安全運維運營8.1帳號權限管理8.2運維接入安全8.3安全漏洞管理8.4安全事件管理8.5業(yè)務連續(xù)性管理與災難恢復安全合規(guī)認證9.2信息系統(tǒng)安全等級保護定級(DJCP)9.4ISO20000信息技術服務管理體系認證9.5ISO27701:2019隱私信息管理體系認證證書9.6SOC1&22023年審計報告2紛享銷客安全戰(zhàn)略作為國內領先的CRMSaaS服務提供商，紛享銷客深知客戶數據的安全性對于企業(yè)可持續(xù)發(fā)展的重們的發(fā)展規(guī)劃和運營管理都緊密圍繞著這一原則，確保我們的安全措施能夠與時俱進，不斷地滿足租戶間隱私保護安全監(jiān)控體系網絡安全網絡入侵檢測DDoS防御系統(tǒng)加固公有云可用區(qū)/3此外，我們還對員工進行定期的安全培訓和意識提升，確保每一位員工都能成為安全防線上的重要紛享銷客嚴格遵循國內外信息安全標準與法規(guī)，我們取得了信息系統(tǒng)安全等級保護定級(三級)、在未來的發(fā)展中，紛享銷客將持續(xù)強化我們的安全戰(zhàn)略。我們承諾在技術、管理和文化層面提升安4組織及人員安全是紛享銷客安全戰(zhàn)略中的重要組成部分。我們致力于確保組織內部和員工的安全，并采取一系列措施來預防和應對安全威脅。我們將持續(xù)改進和更新安全措施，以適應不斷變化的威脅環(huán)境，并確保組織和員工的安全意識和培訓得到充分關注和紛享銷客組建了信息安全委員會，負責制定安全策略、設計與執(zhí)行安全開發(fā)流程、落實各項安全措施，以及指導安全審計工作執(zhí)行與聽取安全審計匯報并針對性改進安全措施。委員會由CTO直接領導，成員組成包括安全架構師、應用安全專家、系統(tǒng)和網絡安全專家、安全開發(fā)專家、各業(yè)務線的安全負責人等，各成員負責貫徹安全措施，通過定期溝通、檢查、完善安全方面的工作，加強安全管理，應對各種安全威脅，為客戶提供穩(wěn)定、健康、安全的工作環(huán)境。信息安全委員會信息安全委員會設計與執(zhí)行安全開發(fā)流程指導安全聽取安全審計匯報制定安全策略改進安全措施落實安全措施/5主要職責包括：協(xié)同業(yè)界頂尖的安全技術供應商，針對入侵檢測與攻擊防護的施隔離措施，并構建一套完善的訪問控制管理流程，確保數據的67→全培訓學習2356點贊1666收藏235在此過程中，團隊參考并遵循包括GB/T22080-2016/ISO/IEC《信息安全技術網絡安全等級保護基本要求》(GB/T22239-2019)保公司業(yè)務的合規(guī)性。27001:2013、ISO/IEC27701:2019以及等在內的多項國際與國內標準，確2.3安全人員管理紛享銷客為確保新入職員工符合公司的行為準則、保密規(guī)定、商業(yè)道德和信息安全政策，會在國家法律法規(guī)允許的范圍內，采取一系列背景調查措施。同時，新員工入職時，必須按照公司規(guī)定簽署保密協(xié)議。此外，紛享銷客安全團隊會針對不同崗位的員工，持續(xù)開展安全培訓和宣導工作，內容涵蓋網絡安全基礎知識、安全開發(fā)知識與最佳實踐、基礎安全意識以及公司安全規(guī)范條例等，旨在提升員工的安全意識與防范能力。學習2181點贊810收藏385學習2083點贊1200★收藏400★收藏5888紛享銷客的物理設備托管在經過嚴格準入制度授權的TIER3級別以上的專業(yè)數據中心，這些數據中紛享銷客的物理設備托管在下列數據中心：1.北京亞太中立數據中心(TIER3)2.北京鐵通T3數據中心(TIER3)3.中國移動南方基地(廣州)(TIER4)9分段巡邏，同時對所有基礎設施進行7x24小時集中視頻監(jiān)控。全方位電子攝像機對數據中心內外區(qū)3.2環(huán)境控制電力：為確保數據業(yè)務的不間斷運行，數據中心配備了冗余的電力系統(tǒng)(包括交流和高壓直流),主電氣候與溫度：數據中心采用空調系統(tǒng)(新風冷卻或水冷冷卻)確保服務器或其他設備在恒溫環(huán)境下運模式(部分采用N+2冷熱雙重冗余模式),空調配電柜配置不同雙路電源模式，以應對一路電源故障紛享銷客根據自身業(yè)務特性，參考業(yè)界優(yōu)秀的網絡安全設計實踐，從網絡架構設計、設備選型配置到運行維護諸方面綜合考慮，對承載網絡采用各種針對物理和虛擬網絡的多層安全隔離、接入控制和邊界防護技術，同時嚴格執(zhí)行相應的管理措施，確保網絡安全。為確保網絡安全，按照網絡安全設計最佳實踐，我們將網絡劃分為若干安全區(qū)域，包括接入區(qū)、核心區(qū)、測試區(qū)及辦公區(qū)。其中，接入區(qū)與核心區(qū)作為生產網絡的重要組成部分，與測試區(qū)及辦公區(qū)實現物理隔離，確保各區(qū)域間接入區(qū)接入保群/以及入侵檢測系統(tǒng)。這些措施共同構成了堅固的安全屏障，確保外部訪問只能通過預設的紛享銷客部署了Web應用防火墻（WAF）來識別和阻擋針對網站的惡意流量和攻擊，有效過濾諸如/紛享銷客建立了一套嚴格的安全基線，作為信息系統(tǒng)安全的基礎標5.2配置檢測/紛享銷客實施嚴格的數據采集流程，確保所有收集的信息都是合法、必要且經在數據傳輸過程中，采用行業(yè)標準的加密協(xié)議如TLS/SSL,保障數據在移動過程中的機密性和完整性，防止數據在傳輸途中被截獲或篡改。數據分級根據數據敏感性進行分級管理，我們?yōu)椴煌墑e的數據實施了相應的加密存儲我們的系統(tǒng)提供了字段級加密功能，以滿足客戶在業(yè)務場景和安全規(guī)范方面的紛享銷客致力于為客戶提供最高級別的數據安全保障，CRM系統(tǒng)的數據存儲采系統(tǒng)的各類數據均實施了定期備份策略，且具備異地備份，在災難發(fā)生時可用安全使用實施基于角色的訪問控制(RBAC)與最小權限原則，確保員工僅能訪問其工作客戶管理員可以在CRM系統(tǒng)的管理后臺進行詳盡的數據權限配置，該安全配置租戶間數據隔離紛享銷客CRM系統(tǒng)為租戶提供了嚴格的數據邏輯隔離與物理隔離機對于有特殊安全需求的租戶，紛享銷客CRM系統(tǒng)還提供數據獨立部署模式，使數據數據防勒索紛享銷客在客戶的服務合約到期，并且在到期后的30天內未收到續(xù)約請求的情紛享銷客CRM系統(tǒng)部署了綜合性的防勒索軟件系訪問控制以及備份解決方案等多重防護措施，旨在有效應對針對企業(yè)的勒索軟數據安全審計紛享銷客內部的數據訪問均具備安全日志，定期對系統(tǒng)內權限配置及數據的訪應用安全/7.2應用安全掃描紛享銷客開發(fā)團隊采用靜態(tài)應用程序安全測試(SAST)分析源代碼或編譯后的版本以查找安全動態(tài)應用程序安全測試(DAST)在運行中的應用程序上執(zhí)行測試，以發(fā)現可能在實際運行時7.3代碼安全審核7.4安全滲透測試紛享銷客已采取一系列安全技術措施，包括但不限于終端數據庫加密存儲、關鍵字符串key混淆/保護、反編譯技術、防篡改保護以及root檢測等，以全面保障我司開發(fā)的APP在數據采集過程中的安全性。紛享銷客CRM系統(tǒng)在保障用戶登錄、設備與密碼安全方面提供了全面的功能支持，并已將這些功能 223CRM系統(tǒng)允許管理員配置用戶密碼的不重復次數，上限為10次，以增加密碼的安3/當用戶在30分鐘內嘗試密碼登錄失敗3次時，CRM系統(tǒng)將要求用戶輸入圖形驗證對于特殊用戶，系統(tǒng)支持配置限定該類用戶只能通過特定的IP列表進行訪問(如客/安全運維運營(SecurityOperations,SecOps)是指在信息安全管理中負責監(jiān)控、檢測、響應和恢復安全事件的一系列運營活動。它旨在保護組織的信息系統(tǒng)和數據免受安全威脅和攻擊的損害。通過有效的安全運維運營，組織可以及時發(fā)現和應對安全威脅，減少安全事件對業(yè)務的影響，提高信息系統(tǒng)和數據的安全性和可靠性。8.1帳號權限管理紛享銷客建立了完善的內部帳號管理體系，該體系涵蓋了帳號創(chuàng)建、調整及廢止的全方位流程，并輔以嚴格的技術監(jiān)管措施。在此框架內，我們依據員工的具體工作內容，細化了不同的角色定位，并據此為每位員工分配了與其職責緊密相關的最小權限角色。這確保了每位帳號持有者只能訪問到其權限范圍內的資源，有效防范了信息泄露的風險。此外，我們還建立了定期審查機制，對各類帳號進行嚴密監(jiān)控，一旦發(fā)現帳號權限與其工作職責不符，將立即進行糾正，以確保整個系統(tǒng)的安全穩(wěn)定運行。8.2運維接入安全為了確保紛享銷客CRM系統(tǒng)的穩(wěn)定運行，我們的運維團隊需要定期登錄服務器及內部管理系統(tǒng)進行必要的維護和故障處理。/處于安全穩(wěn)定的版本狀態(tài)。統(tǒng)的整體安全性得到及時而有效的保障。紛享銷客采取了嚴謹的“兩地三中心”部署架構，通過多線路接入策略，在全球范圍內精心布局/接入點。在數據庫層面，我們采用了先進的1主2從或1主1從部署模式，為核心數據提供了準實時的異地存儲//ISO27001:2013信息安全管理體系的認證。為了確保公司所有安全策略的貫徹落實，紛享銷客每年都會接受嚴格的安全審查。ISO27001是信息安全領域公認的管理體系標準，它要求企業(yè)在信息安全方面建立并維護一套科學、有效的管理體系。紛享銷客公司通過ISO27001的認證，充分證明了其在信息安全管理方面的高標準和嚴要求，展示了其對信息安全的高度負責和承諾。安全合規(guī)認證安全合規(guī)認證是指組織通過獨立的第三方機構對其信息系統(tǒng)和數據進行評估和審查，以確認其符合相關的安全標準、法律法規(guī)和行業(yè)要求的過程。安全合規(guī)認證可以幫助組織提高信息系統(tǒng)和數據的安全性，并向客戶、合作伙伴和監(jiān)管機構證明其符合相關的安全標準和法規(guī)要求。獲得合規(guī)認證可以增強組織的聲譽和競爭力，同時為其提供持續(xù)改進信息安全的框架和指導。信息安全管理體系信息安全管理體系認證證書★/紛享銷客于2019年11月順利通過了紛享銷客于2019年11月順利通過了ISO9001:2015質量管理體系認證，且每年都嚴格遵守年審程序，確保各項質量管理策略得以全面、有效地實施。ISO9001作為全球公認的最具權威性的質量框架，被全球眾多組織廣泛采納和應用。它不僅為質量管理體系提供了統(tǒng)一標準，也為組織整體管理體系的建設提供了重要參考。通過遵循ISO9001標準，紛享銷客不斷提升客戶滿意度，激發(fā)員工積極性，并致力于實現持續(xù)改進，從而確保公司在激烈的市場競爭中保持領先信息系統(tǒng)安全等級保護定級(DJCP)紛享銷客系統(tǒng)已成功通過公安部信息系統(tǒng)安全等級保護三級評定，并正式取得備案證明。為了保障系統(tǒng)安全策略的有效實施，公司每年均會進行嚴格的信息系統(tǒng)安全等級保護測評。信息系統(tǒng)安全等級保護備案證明備案證明僅供“紛享銷客”客戶作為資質證明使用質量管理體系認證證書質量管理體系認證證書試“紛’僅戶作為資客信息技術服務管理體系認證系”,是針對組織內部IT服務管理而設立的國際標準。該標準致力于協(xié)助組織識別并優(yōu)化其IT服務的關鍵流程，從而確保所提供的IT服務既高效又符合ISO20000不僅倡導了一種服務導向的文化，還提供了滿足業(yè)務需求的系統(tǒng)化服務方法論和管理優(yōu)先紛享銷客成功獲得ISO20000認證，這標志著其已達到了國際公認的卓越IT服務管理標準。這同樣表明，紛享銷客在服務管理方面采納了業(yè)界最佳的IT服務管理實踐，以確保其能夠為客戶提供隱私信息管理體系認證證書ISO27701,全稱為“個人隱私信息管理體系”簡稱PIMS),人隱私權所面臨的各種風險。ISO27701建立在ISO/IEC27001:2013信息安全管理體系的基礎之上，并作為其實施的擴展管理它詳細規(guī)定了建立、實施、維護和持續(xù)改進隱私相關所特定的信息安全管理體系的要求，以確保個人隱私信息得到妥善保護和管理。/SOC1&22023年審計報告紛享銷客CRM平臺服務體系在2023年度內，已正式通過安永華明會計師事務所的嚴格審計，并成功獲得了SOC1TypeI和SOC2TypeⅡI的鑒證報告。這兩項報告分別針對平臺的財務可靠性和服務安全性進行了全面評估。SOC1Typell報告重點關注客戶財務報表的審計，通過對財務收入數據來源的認證，確保數據可靠性，從而