Security Policy - Chinese
```html
本安全政策适用于Problem Free Limited提供的产品、服务、网站和应用程序。在本声明中,我们将这些产品、服务、网站和应用程序统称为“服务”。本安全政策也是FreeOnlineSurveys、KwikSurveys和Shout客户用户协议的一部分。
人力资源安全
我们对所有Problem Free Limited员工提供全面的持续意识培训,以强调适当保护客户云数据的重要性。我们还要求我们的承包商对所有相关员工进行适当的意识培训,并向他们介绍具体要求。
加密
用户(包括管理员)与云环境之间的交易默认使用TLS 1.2+进行加密。如果从物理安全的数据中心移出,客户数据将在静态时加密。我们生产服务器之间传输的任何数据(例如到数据库)只会通过其专用的私人网络、私人虚拟局域网或加密通道进行通信。
物理安全
我们的主数据库和网络服务器位于英国信誉良好的数据中心。我们的数据中心拥有24/7现场安全、闭路电视监控和通过RF钥匙卡进行的访问控制。数据中心持有ISO 27001信息安全管理认证。备份在传输到亚马逊S3云(欧盟)之前会被加密。我们使用的所有数据中心都具备适当的物理安全措施。
访问控制和日志记录
我们对所有内部管理系统采用“无处不在的身份验证”原则。只有在履行其职责时需要的情况下,员工才会获得系统和个人数据的访问权限。我们记录对客户账户(包括我们自己的员工)的任何访问审核日志,以及出于法律和安全目的在其账户上进行的重要操作。员工在离职后的24小时内将被撤销对公司系统的访问权限。强制执行复杂的密码策略。服务器日志被发送到外部日志聚合器。
资产管理
所有公司硬盘都使用全盘加密进行加密。只有公司适当安全的设备才能访问公司网络。员工的PC均安装了防火墙,并且至少每周扫描一次系统漏洞的反恶意软件。
开发
我们的服务基于企业级的Microsoft .NET MVC平台构建,并使用ORM与客户数据库进行交互。这防止了许多常见的安全漏洞(如SQL注入)。我们使用部署自动化系统将代码从分布式源代码控制系统移至预生产环境进行审查和测试,然后再部署到生产环境。预生产系统和生产系统始终分开。
漏洞测试和补丁管理
我们将定期对服务器进行漏洞扫描,以识别任何相关问题。定期审查安全补丁,并在适当情况下将其应用于服务器。
Web应用防火墙和安全代理
我们的服务器受到Cloudflare的保护,提供针对DDOS攻击的专业防御、过滤可疑或危险活动的Web应用防火墙、阻止已知的“恶意IP地址/用户”并提供各种加密增强功能。我们的调查问卷和表单推送到他们的边缘服务器,以确保终端用户的高性能。
信息安全事件管理
在我们认为适当通知客户信息安全事件(在确定是否应视为事件之前)时,它将传达给指定的客户管理员。同样,客户可以向我们的支持台报告安全事件,支持台将记录并决定适当的行动。可以从支持台获得关于此类事件进展的信息。如果我们认为客户服务或数据已经或将受到影响,我们将向客户报告信息安全事件。
我们将在合理可能的时间内将此信息传达给指定的客户管理员或其代理,并将共享我们认为适当的信息,以有效及时地解决事件。每个案例将指定一个事件经理,他将作为Problem Free Limited事件的联络点,包括在需要时捕获和保留数字证据的相关事宜。我们优先处理事件管理活动,以确保满足GDPR对个人数据泄露通知的时间要求。
业务连续性管理的信息安全方面
我们的生产数据中心分布在多个城市,以在发生广泛停电时提供冗余。数据库事务日志备份每15分钟安排一次,并自动加密后传输到远程Amazon S3存储云。定期进行附加的全备份和差异备份,并同样传输到相同的安全位置。源代码存储在分布式版本控制中。
```