系统安全
我们郑重宣誓……会为此努力。永不停歇。 😅
安全标准在不断发展。我们致力于定期更新我们的操作规范和政策,以符合数据保护领域的最新标准和最佳实践,从而更好地保护您的信息。
数据安全
- 我们采用行业标准的加密技术,对所有数据在传输过程中(tls 1.2 或更高版本)和静止状态下(aes 256)进行加密,以防止未经授权的访问。
- 我们实施严格的访问控制措施,以确保只有经授权的人员才能访问敏感数据,并定期审查和更新这些控制措施,以维持最高级别的安全保障。
- 我们定期进行安全审计和漏洞评估,以识别并解决潜在的安全风险。
- 删除Junga个人资料后,数据将在24小时内被清除。
- 已实施访问监控和日志记录机制,用于检测并应对任何未经授权的访问尝试或可疑活动。对高优先级系统的访问权限仅限于经理或应用程序所有者。
- 系统每24小时执行一次数据备份,并保留7天,以确保在发生安全事件或数据丢失时,数据的完整性和可用性。备份数据在静止状态下均经过加密处理,以确保其安全性和机密性。
应用程序安全
- 我们遵循安全的编码规范,并定期进行代码审查,以便在工程师的工作站上以及生产环境中实时识别并解决开发过程中的潜在漏洞。
- Junga 采用一种软件开发生命周期,在开发的多个阶段融入性能、安全性和可靠性测试,以确保应用程序的健壮性和安全性。
- 我们的应用程序采用了专有的版本控制系统,这使我们能够针对软件漏洞或安全隐患,快速迭代并切换版本。
- 我们采用Web应用防火墙(WAF)来防范常见的Web应用攻击,例如SQL注入、跨站脚本(XSS)和分布式拒绝服务(DDoS)攻击。该WAF经过配置,可监控并过滤传入的流量,拦截任何可能威胁到我们应用程序安全的恶意请求。
- 我们定期对应用程序进行漏洞扫描,并寻找任何机会来加强防御,以应对潜在威胁。我们结合使用自动化工具和人工测试,以确保应用程序的安全性,并具备抵御攻击的韧性。
访问控制
- 对 Junga 的数据访问受到严格限制。我们仅允许因工作需要而必须访问该系统的用户进行访问,例如工程师、产品经理和技术支持人员。
- 所有可访问Junga系统的账户均需遵守密码安全规定,其中包括使用强密码以防止未经授权的访问。
基础设施安全
- 我们已实施24小时状态监控,以确保基础设施的运行状况和安全性,从而能够快速识别并应对任何潜在问题或威胁。监控通过AWS CloudWatch实现,并针对任何异常活动或性能问题设置警报,这使我们能够主动处理潜在的安全事件,并维护基础设施的完整性。
- Amazon 网络服务(AWS)是我们的云服务提供商,我们利用其安全的基础设施来托管我们的应用程序和数据。AWS 提供一系列安全功能和服务,帮助我们保护基础设施和数据,包括网络安全、访问控制、加密和监控。
- 我们利用 aws 身份与访问管理 (iam) 来管理对 aws 资源的访问权限,确保只有经授权的人员才能访问敏感数据和系统。iam 使我们能够创建和管理用户账户、分配权限,并执行安全策略,从而保护我们的基础设施和数据。
- 我们的基础设施位于美国弗吉尼亚州的AWS US-East-1区域。
- 我们在基础设施安全方面采用零信任策略,这意味着我们不会自动信任任何用户或系统,即使它们位于我们的网络内部。相反,对于所有访问我们基础设施和数据的请求,无论其来源或位置如何,我们都要求进行严格的身份验证和授权。
网络安全
- 我们的 aws 基础设施由虚拟私有云(vpc)提供保护,该云环境通过网络隔离和安全控制措施,防范未经授权的访问及潜在威胁。vpc 配置了子网、安全组和网络访问控制列表(acl),以确保只有经过授权的流量才能访问我们的基础设施。
- 我们的电子邮件通信受 AWS Simple Email Service (SES) 保护,并包含 SPF、DKIM 和 DMARC 记录,以帮助防范电子邮件伪造和网络钓鱼攻击。这些电子邮件认证协议有助于确保我们的电子邮件安全送达,并让用户能够信任他们收到的来自我们的通信。
- 我们的 Web 应用防火墙 (WAF) 会对入站流量进行过滤,以防范常见的 Web 应用攻击,例如 SQL 注入、跨站脚本 (XSS) 以及分布式拒绝服务 (DDoS) 攻击。该 WAF 经过配置,可监控并过滤入站流量,拦截任何可能威胁我们应用程序安全的恶意请求。
