Site24x7安全实践,政策和基础结构
Site24x7是Zoho Corporation提供的服务。全球有近800万用户访问Zoho服务,个人,小型,中型和大型组织依靠Zoho安全和数据保护来满足他们的需求。我们非常重视安全性,并制定了一套全面的实践,技术和政策,以确保您的数据安全。
如果您目前在个人计算机或自己的服务器上维护数据,则可能性比我们现有的安全性更高。
本文档概述了我们实施的一些机制和流程,以帮助确保您的数据受到保护。我们的安全实践分为四个不同的领域:物理安全; 网络安全; 人员流程,冗余和业务连续性。
物理安全
我们的数据中心托管在当今一些最安全的设施中,这些设施不受物理和逻辑攻击以及地震,火灾,洪水等自然灾害的影响。
- 7x24x365安全性。托管您数据的数据中心每周七天,每天24小时,每年的每一天都由私人保安人员保护。
- 视频监控。每个数据中心都使用夜视摄像头进行7x24x365的监控。
- 受控入口。访问Zoho数据中心仅限于一小组预授权人员。
- 生物识别,双因素身份验证。必须同时使用两种形式的身份验证(包括生物识别身份验证)才能进入Zoho数据中心。
- 未披露的地点。Zoho服务器位于通用外观,未公开的位置,使它们不太可能成为攻击的目标。
- 防弹墙。Zoho服务器安全地防护在防弹墙内。
网络安全
我们的网络安全团队和基础架构有助于保护您的数据免受最复杂的电子攻击。以下是我们网络安全实践的一个子集。这些是以非常一般的方式故意陈述的,因为即使知道我们使用什么策略也是黑客渴望的东西。如果您的组织需要有关网络安全的更多详细信息,请与我们联系。
- 安全通信。所有向Zoho服务的数据传输都使用TLS 1.2协议进行加密,我们使用基于SHA 256的CA颁发的证书,确保我们的用户从浏览器到我们的服务具有安全连接。我们使用最新和强大的密码,如AES_CBC / AES_GCM 256位/ 128位密钥进行加密,SHA2进行消息认证,ECDHE_RSA作为密钥交换机制。
- IDS / IPS。我们的网络由高度强大且经过认证的入侵检测/入侵防御系统进行门控和筛选。
- 控制和审计。所有访问都受到控制和审核。
- 安全/切片操作系统。Zoho应用程序在安全,切片的操作系统内运行,该系统专为安全性而设计,可最大限度地减少漏洞。
- 病毒扫描。使用最新的病毒扫描协议定期更新进入Zoho服务器的流量会自动扫描有害病毒。
人员流程
设计和运行数据中心基础结构不仅需要技术,还需要一种规范的流程方法。这包括有关升级,管理,知识共享,风险以及日常运营的政策。Zoho的安全团队在设计和运营数据中心方面拥有多年经验,并不断改进我们的流程。Zoho开发了一套管理安全和数据保护风险的世界级实践。
- 选择员工。只有清关率最高的员工才能访问我们的数据中心数据。记录员工访问权限并严格管理密码。我们将访问客户数据的权限仅限于需要此类访问权限的少数这些员工,以代表客户提供支持和故障排除。
- 审计。定期进行审核,管理层审核整个过程
- 作为需要的基础。访问数据中心信息以及客户数据仅在需要的基础上完成,并且仅在客户批准时(即作为支持事件的一部分)或由高级安全管理提供支持和维护。
冗余和业务连续性
云计算的基本理念之一是承认和假设计算机资源在某些时候会失败。我们在设计系统和基础结构时考虑到了这一点。
- 分布式网格架构。Zoho服务在分布式网格架构上运行。这意味着服务器可能会失败而不会对系统或我们的服务产生明显影响。实际上,在任何给定的一周,多个服务器都会在我们的客户没有注意到的情况下发生故 该系统的设计知道服务器最终会失败 - 我们已经实施了基础结构来解决这个问题。
- 电源冗余。Zoho配置其服务器以实现电源冗余 - 从电源到供电。
- 互联网冗余。Zoho通过多个第1层ISP连接到世界和您。因此,如果任何一个失败或遇到延迟,您仍然可以可靠地获取您的应用程序和信息。
- 冗余网络设备。Zoho在冗余网络设备(交换机,路由器,安全网关)上运行,以避免内部网络上任何级别的任何单点故障。
- 冗余冷却和温度。强大的计算资源会产生大量的热量,因此需要进行冷却以保证平稳运行。Zoho服务器由N + 2冗余HVAC系统和温度控制系统提供支持。
- 地理镜像。客户数据在一个单独的地理位置进行镜像,以用于灾难恢复和业务连续性目的。请注意,部分产品和计划提供地理镜像。
- 防火。Zoho数据中心由行业标准的防火和控制系统保护。
- 数据保护和备份。用户数据在多个服务器上定期备份,有助于在发生硬件故障或灾难时保护数据。
安全认证
ISO / IEC 27001是最广泛认可的独立国际安全标准之一。该证书颁发给符合ISO高全球标准的组织。Zoho已获得ISO / IEC 27001:2013应用,系统,人员,技术和流程认证。
SOC 2 - SOC 2是对符合AICPA信托服务原则标准的控制的设计和运行有效性的评估。
以下是信托服务原则:
- 安全性:系统受到保护,以防止未经授权的访问(物理和逻辑)。
- 可用性:系统可以按照承诺或约定的方式进行操作和使用。
- 处理完整性:系统处理完整,准确,及时,经过授权。
- 保密:指定为机密的信息受到承诺或同意的保护。
- 隐私:根据实体隐私声明中的承诺以及AICPA和CICA颁布的普遍接受的隐私原则中规定的标准,收集,使用,保留,披露和销毁个人信息。 `
附加信息
虽然出于安全原因我们无法列出我们基础结构的所有细节,但请放心,Zoho的安全实践,政策和基础结构已得到证实且可靠。有关更多信息,请通过support@site24x7.com与我们联系。