确保您的野生杏子帐户安全
尽管安全威胁已成为当今数字世界中不可或缺的事实,但是自2006年发布“野生杏”以来,我们一直在不断审查和改进我们的安全流程。
安全团队
为了提供信息安全,Wild Apricot中有专门的专家组-安全团队。
野生杏 的安全团队在发现漏洞方面拥有丰富的经验,使我们能够在威胁发生之前就加以防范。应用进攻性和防御性安全措施,我们为所有级别的野生杏安全性提供了一种集成方法。
令人反感的安全流程包括:
防御性安全流程包括:
-
安全取证-发生严重事件时,我们将开始安全调查。
-
基础架构安全性强化。
-
安全监控(警报和通知)。
-
所有新功能的安全性审查。
-
安全意识培训。
-
安全合规性(PCI DSS,GDPR)。
-
漏洞管理。
野杏产品安全
在我们发布新功能之前,安全团队始终会使用 OWASP前十名 and OWASP测试v3 方法论 。如果出现任何安全漏洞,安全团队可以推迟发布该功能,直到开发人员对其进行修复。
除此之外 安全团队 进行渗透测试。这是一种评估方法,在该方法中,模拟了现实世界中的黑客攻击,以增进对系统的了解,发现漏洞并增强安全性。野生杏遵循以下描述的测试过程 NIST特殊出版物800-115信息安全测试和评估技术指南.
此外,我们还一直在努力开发特殊软件-安全运营中心-自动检测攻击并关联来自各种系统(Windows,Linux,网络,社交)的安全事件。
外部和内部渗透测试是系统执行的。外部测试 评估从公共网络到范围的任何唯一访问,包括访问仅限于单个外部IP地址的服务。内部和外部测试都必须包括应用程序层和网络层评估。外部渗透测试还必须包括远程访问媒介 例如拨号和VPN连接。分析完成后,测试人员将生成一份报告,以标识系统,网络和 组织漏洞以及建议的缓解措施。
安全团队 监视所有需要修复的漏洞。修复漏洞后,工作人员会再次对其进行检查。成功审核后, 安全团队批准发布的功能部件.
您的数据属于您
我们遵守GDPR的要求。通用数据保护条例(GDPR)于2018年5月25日生效。 设计的 不仅保护欧盟公民的个人数据,还提高了组织的责任感。保留,使用, 并存储欧盟公民的个人数据受法律的影响。 GDPR的许多要求与信息安全没有直接关系,但是为了遵守该法律,公司应审查其现有的安全流程。
有关GDPR合规性的更多信息,请访问 //www.xqkjopuqgc.cn/gdpr.
有关Wild Apricot如何处理您的数据的更多信息,请参阅我们的 隐私政策.
特别注意您的付款
PCI DSS是支付卡行业数据安全标准(有关更多详细信息,
访问 //www.pcisecuritystandards.org/document_library)。遵守此标准的要求可确保客户的付款交易是安全的。 野生杏 符合PCI DSS标准要求。我们不存储付款 客户数据。我们仅将它们转移到认可的支付网关,并监视这些网关的PCI遵从性。
进行付款交易的服务器 (发送付款数据的服务器)通过了年度认证,以符合PCI DSS。 WA已成功完成2018年的评估,目前我们正准备在2019年获得新认证。有关更多信息,请访问 //www.xqkjopuqgc.cn/security-policy-overview.
您决定谁可以访问您的帐户
您可以决定向谁授予管理权限,以及分配给每个管理员的访问级别。 不要提供没有真正需要的管理员角色-尝试尽可能限制访问权限,以确保您的帐户安全。有关访问权限和管理员角色的更多信息,请参见 //gethelp.xqkjopuqgc.cn/en/articles/50.
行动应用程式安全性
我们关心Wild Apricot的移动应用程序的安全性-用于管理员的应用程序和用于成员的应用程序。 野生杏 移动应用程序仅使用安全的HTTPS协议与API交互。在这种情况下,所有访问检查都在服务器端进行,并且用户无法分配权限。有关API访问参数的详细信息,请参阅 //gethelp.xqkjopuqgc.cn/en/articles/484-api-access-options.
全公司安全
默认情况下,我们将所有客户信息视为机密信息,并对整个公司使用通用规则和建议的安全要求。这里只是其中一些:
-
对于任何渠道的机密信息,我们都非常谨慎。如果我们有任何疑问,我们可以面对面交流或使用电话。
-
在公司内部,我们使用特殊的软件来管理敏感数据和凭据。它使我们能够存储数据,而不会通过电子邮件,短信或任何其他易受攻击的渠道将其暴露给外界。
-
安全团队 监视人们对各种数据和内部系统的访问。 WA员工有权访问所有系统 有选择地 取决于执行的任务。
结论
安全团队遵循世界一流安全实践的标准,并尝试将其应用于西澳大利亚州安全的所有可能级别。我们会在发现任何不足之处时更新,开发或完全重新创建安全性流程。