CRM安全白皮书.pdf
《CRM安全白皮书.pdf》由会员分享,可在线阅读,更多相关《CRM安全白皮书.pdf(39页珍藏版)》请在咨信网上搜索。
1、安全白皮书Zoho CRM数据安全是企业数字化转型无法绕开的关键话题1.1从数字经济到数据安全立法1.2 企业如何应对数据安全带来的挑战01云服务背景下,数据安全对企业的重要性2.1 云服务背景下的数据安全架构信息安全网络安全隐私保护2.2 为什么要注重云服务数据安全02Zoho的安全保障3.1 Zoho安全策略组成组织安全物理安全基础设施安全数据安全身份和访问控制运营安全突发事件管理供应商和第三方供应商管理用户层面控制安全委托给Zoho的信息及其目的用户服务数据的所有权和控制权我们如何使用服务数据推送通知我们会把服务数据共享给谁信息的保留责任共担模型Zoho与客户的数据安全责任3.2 Zoh
2、o与客户的责任共担03Zoho的隐私安全管理体系5.1 Zoho的隐私承诺Zoho收集哪些信息信息的使用目的5.2 Zoho收集并控制的信息5.3 Zoho代表用户所处理的信息Zoho的合规性及相关行业认证Zoho如何保护用户隐私5.4 个人信息隐私保障05Zoho的加密安全管理体系4.1 什么是加密我们为什么要加密您的数据我们所说的“数据”是什么意思Zoho和用户之间Zoho和第三方之间4.2 传输中的加密数据库加密文件或 DFS 加密网址加密备份加密日志加密缓存加密4.4 应用级加密KMS是如何工作的密钥是如何生成的密钥存储在哪里如何保证密钥安全4.5 密钥管理4.6 我们在服务中加密了哪
3、些数据?4.7 全盘加密4.3 静态加密04目录Table ofContents数据安全是企业数字化转型无法绕开的关键话题Security111.1从数字经济到数据安全立法2021年9月1日,中国正式实施中华人民共和国数据安全法(以下简称数据安全法),它是中国实施的数据安全监督和管理的一部基础法律,根本目的在于提升国家数据安全的保障能力和数字经济的治理能力。与数据安全法同期实施的还有个人信息保护法,此后,与网络安全法、密码法共同构成了推动中国数字经济持续健康发展的坚实“防火墙”。相关法律从探讨到制订,再到正式出台,这一切源于中国近年来数字经济的快速发展。相关数据显示,2021年中国数字经济规模
4、总量达到45.5万亿元,占到国内GDP总量的39.8%,这也意味着,无论是在我们的个人生活还是工作中,数字经济已经渗入到方方面面。因此,对数据安全的重视程度也愈发明显。数字经济的到来,切实推动经济快速发展,但也不得不承认它是一把“双刃剑”自20世纪90年代数字经济出现以来,大大小小的企业逐步进入到数字化转型过程中。然而,这条道路并不平坦,由于众多企业不重视数据安全,几乎是“摸着石头过河”的状态,再加上相关监管的缺失,引发的数据安全问题、隐私保护问题频频出现,从个人隐私泄露,到企业数据丢失,每一次事故都会引发震动,甚至对于企业来说都能成为毁灭性的打击。在全球范围内,数据安全也是一直被讨论的重要话
5、题。针对数据安全问题,各个国家或组织纷纷出台相关法律法规,例如澳大利亚的隐私法(APPs)、欧盟的通用数据保护条例(GDPR)、英国的数据保护法(DPA2018)等等,目前在全球已经有80%的国家完成了相关法律制订工作。21.2企业如何应对数据安全带来的挑战法律的实施只能称为数据安全“漫长斗争的第一步”,从企业层面来讲,保证数据安全并不是一纸文件就可以搞定的事情,它意味着需要投入大量的精力和资源,能拿得出预算的企业少之又少。例如,很多企业选择通过自研或购买私有化产品,来支撑自身业务发展和保障数据安全,但这种方法,成本无疑是巨大的,且灵活性差。SaaS产品的出现,可以打破这一困境,因为订阅制模式
6、可以让企业免去自研和系统运维的工作,并且可以随着业务变化而灵活调整,同时能够保障数据安全。当然,也有不少企业认为,数据放在自己手里才能足够安全,云端产品无法满足安全需求。实际上,这种观点是对SaaS产品的误解。数据安全所带来的危机是迫在眉睫的,企业应该如何在较少的投入下,同时兼顾业务发展和数据安全呢?若继续将问题落实在数字化工具上,企业应该如何进行选择呢?云服务背景下,数据安全对企业的重要性Security232.1云服务背景下的数据安全架构数据安全概念是由“信息安全、网络安全”逐步演变而来的。随着人们对安全认知的不断加深,在当前大的云服务背景之下,隐私保护也被纳入到数据安全的范畴,换句话说,
7、在云服务背景下的数据安全,是由信息安全、网络安全和隐私安全共同构成的。2.1.1 信息安全信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。例如ISO 27001信息安全管理体系是最被熟知的信息安全管理认证。在信息安全保护方面,Zoho采取了诸如物理安全、基础设施安全、主副数据中心等方式,来充分保障硬件、服务器等设备安全,以及防止数据遭到破坏,在第三章内容中,我们会着重介绍到Zoho的安全保障策略。有数据显示,2021年中国SaaS行业市场规模达322.6亿元,预计2023年
8、将达555.1亿元。不断增长的市场规模更加印证了企业信息化建设模式的变化趋势,而在大的云服务背景下,企业的数据安全问题更加凸显。42.2为什么要注重云服务数据安全自数字化开展以来,全球范围内已经出现过很多次严重的数据安全事故:2021年4月,Facebook近5.33亿用户的信息遭到泄露,包括用户的账户名、位置、生日以及电子邮件地址等信息,起因在于2020年的漏洞,导致用户能够使用Telegram机器人来利用Facebook系统。这个漏洞导致Facebook的用户信息流入到低级黑客论坛上,这些数据仅以几欧元的价格被打包出售。2021年8月,B2B 营销公司 OneMoreLead 将至少630
9、0万人的私人数据存储在一个不安全数据库中,该公司任由此数据库完全敞开。数据库包含列出的每个人的基本个人身份信息数据,以及有关其工作和雇主的类似数据和信息。国内也存在相关的数据隐私泄露问题,最被关注的莫过于滴滴事件。2021年7月,国家网信办发布通报称滴滴出行APP存在严重违法违规收集使用个人信息问题,因此被下架整顿;同年8月,阿里云将用户留存的注册信息泄露给第三方合作伙伴的事件被爆出,等等。在云服务背景下,数据已经成为个人和企业的资产,数据安全也意味着资产安全。因此,云数据的安全至关重要。2.1.2 网络安全网络安全的概念经过了不断演化,最早的网络安全主要涉及到网络安全域、防火墙、网络访问控制
10、、抗DDoS等场景。后来,网络安全的范围延伸到云端、网络、终端等各个环节,转变为网络空间安全,侧重于空间安全、访问控制、安全通信、防御网络攻击或入侵等。Zoho采用多层保护和防御机制的网络安全和监视技术,通过防火墙防止未经授权的访问和不良流量。为了保护敏感数据,我们将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho生产基础架构的系统托管在不同的网络中。2.1.3 隐私保护个人数据安全,或者说隐私保护,是数据安全中的一个重要组成部分。例如国内的个人信息保护法,和欧盟的通用数据保护条例(GDPR),都是针对隐私保护所颁布的相关法律法案。Zoho建立起了专业的隐私保护团队,以“法律合规”
11、为首要目标。Zoho将隐私保护的理念融入到了产品研发、产品功能等各个层面,制订详细的隐私保护政策,来保障用户的数据隐私安全不受侵犯。我们将在第五章内容中,详细讨论Zoho的隐私安全管理体系。5Zoho的安全保障Security33.1Zoho安全策略组成3.1.1 组织安全我们建立了信息安全管理系统(ISMS),针对客户数据的安全性、可用性、完整性和机密性,采用严格的政策和程序,确定数据信息的安全。员工背景调查我们聘请权威机构对Zoho的每一位员工进行调查,核实员工是否有犯罪记录,工作经历以及教育背景。通过此项机制,确定接触客户数据人员的安全性。如果没有完成员工背景调查,我们不会给员工安排涉及
12、客户数据的工作。安全意识每位员工入职时均签署了一份保密协议,然后接受信息安全、隐私保护和合规性方面的培训。培训结束后,我们还会组织相应的测试,评估员工水平。同时,针对不同的职位和角色,我们组织相关的安全培训。除此之外,我们定期举办内部活动,不断提高员工在数据安全和隐私保护方面的认知。专门的隐私安全团队我们有专门的隐私安全团队,负责实施和管理安全及隐私计划。他们主要负责设计并维护防御系统,开发安全性审查流程,持续监视网络动态,检测可疑活动。同时,为工程团队提供特定领域的咨询服务和指导。内部审核与合规我们专门设置了合规团队来审查Zoho程序和策略,确保与安全标准保持一致。该团队定期举行内部审核,以
13、及第三方独立审核和评估。Zoho在全球180多个国家和地区,服务了超过8000多万用户,包括个人、中小企业以及大型企业和跨国集团。信息数据安全与所有企业和用户密切相关,安全问题是Zoho产品中的关键组成部分,我们从组织、基础设施、数据等各个层面,采取完善的策略和措施,充分保障用户的数据安全。63.1.2 物理安全终端安全Zoho员工使用的都是新的OS版本设备,并配置防病毒软件。我们要求所有工作站都必须采用Zoho的终端管理解决方案,按要求配置、跟踪和监视。工作场所严格管控工作场所,确定场所安全。我们为员工、承包商、供应商和访客提供不同的访问卡,同时人力资源团队严格监控访问卡的发放,记录访问日志
14、,监控异常情况。数据中心Zoho的数据中心托管在安全的设施中,在那里可以避免任何物理的和虚拟的攻击,同时也免受地震、火灾、洪水等自然灾害的伤害。只有一小部分授权人员才能访问数据中心。任何其他访问只有在相应管理者批准后才允许访问。进入场所需要包含身份验证和生物特征认证的双因素认证。监控每个数据中心都有7x24x365夜视摄像头进行日夜监控,监控数据中心整个场所的所有进出情况,定期备份视频记录。3.1.3 基础设施安全网络安全我们采用多层保护和防御机制的网络安全和监视技术。通过防火墙防止未经授权的访问和不良流量。为了保护敏感数据,我们将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho生
15、产基础架构的系统托管在不同的网络中。我们会严格定期监控防火墙。网络工程师每天都要检查对防火墙所做的所有更改。此外,这些更改每三个月进行一次审核,不断更新和修订规则。专门的网络运营中心团队会监视基础结构和应用程序是否存在任何差异或可疑活动。网络冗余我们平台的所有组件都具备冗余条件。我们使用分布式网格体系结构来保护我们的系统和服务免受服务器故障的影响。如果服务器出现故障,用户可以照常进行操作。*采用多个交换机,路由器和安全网关来确定设备冗余,防止内部网络中的单点故障。73.1.4 数据安全DDoS(分布式拒绝服务攻击)防御我们使用成熟可靠的服务提供商的技术来防止对服务器的DDoS攻击,防止流量不良
16、造成的中断,同时允许良好的流量通过,使网站、应用程序和API保持高可用性和高性能。服务器强化开发和测试活动配置的所有服务器都进行了强化处理(通过禁用未使用的端口和帐户,删除默认密码等)。基本操作系统(OS)映像中内置了服务器强化功能,并已在服务器中配置该OS映像,确定服务器之间的一致性。入侵检测与预防入侵检测机制密切关注单个设备上的信号以及来自服务器内监视点的信号。记录生产网络中所有服务器上的管理访问,特权命令的使用以及系统调用。基于这些数据的规则和机器智能,提醒安全工程师可能发生的事件。在应用程序中,我们采用在白名单和黑名单规则上运行的专有WAF。设计安全每项变更和新功能均受变更管理策略的约
17、束,确定在实施生产之前对所有应用程序变更进行授权。我们的软件开发生命周期(SDLC)要求遵守安全编码准则,使用代码分析器工具,漏洞扫描程序和手动检查流程来筛选代码,解决潜在的安全问题。我们已经在应用程序层中实现基于OWASP标准的强大安全框架,来缓解诸如SQL注入,跨站点脚本和应用程序层DOS攻击等威胁。数据隔离使用框架中安全协议,将每个客户的服务数据与其他客户的数据分开。这样可以确定客户无法访问其他客户的服务数据。当您使用我们的服务时,虽然服务数据存储在我们的服务器上,但是数据归您所有,而不属于Zoho。未经您的同意,我们不会与任何第三方共享此数据。加密传输过程:通过强大的加密协议,保护来自
18、公用网络传输到我们服务器的所有客户数据。对于所有连接,包括Web访问,API访问,移动应用程序以及IMAP/POP/SMTP电子邮件客户端访问,我们要求所有与服务器的连接均使用具有强密码的传输层安全性(TLS 1.2/1.3)加密。此外,对于电子邮件,默认情况下,我们的服务器会利用机会性TLS,安全地加密和发送电子邮件,从而防止对等服务支持此协议的邮件服务器之间的窃听。*在Internet服务提供商(ISP)级别,通过清理网络路由,速率限制和过滤来实施多层安全性方法,处理从网络层到应用程序层的攻击。我们采用完全前向保密(PFS),确定即使受到某种方式的损害,也不会解密以前的通信。我们已为所有W
19、eb连接启用了HTTP严格传输安全协议。所有现代浏览器仅通过加密连接与我们建立连接。此外,在网络上,我们将所有经过身份验证的Cookie标记为安全。静态:使用256位高级加密标准(AES)对敏感的静态客户数据进行加密。静态加密的数据根据选择的服务不同,使用内部密钥管理服务(KMS)来维护密钥。通过使用主密钥对数据加密密钥进行加密,提供附加的安全层。主密钥和数据加密密钥在物理上是分开的,并以有限的访问权限存储在不同的服务器中。数据保留与处置我们每6个月进行一次数据清理,当您选择终止Zoho帐户后,我们会在下个清理期间删除您的数据。活动数据库中删除的数据将在3个月后从备份中删除。如果您的未付费帐户
20、连续120天处于停用状态,我们会事先通知您,然后将您数据备份后,终止服务。对于不可用的设备,我们交由经验证和授权的供应商处置。设备内包含的所有信息都将在处理之前进行格式化。发生故障的硬盘进行消磁,然后使用切碎机对其进行物理破坏。我们采用加密擦除并切碎不可用的固态设备(SSD)。83.1.5 身份和访问控制单点登录(SSO)Zoho提供了单点登录(SSO),用户可以使用相同的登录页面和身份验证凭据访问多种服务。当您登录任何Zoho服务时,仅通过我们集成的身份和访问管理(IAM)服务即可。我们还支持SAML单点登录,使客户可以在登录Zoho服务时集成其所在公司的身份提供商(例如LDAP,ADFS)
21、。SSO简化了登录过程,确定合规性,提供有效的访问控制和报告,并降低了密码记忆疲劳和弱密码的风险。多因素验证除了通过密码验证,Zoho还提供多因素验证。您可以使用Zoho OneAuth配置多因素身份验证。Zoho OneAuth支持不同的模式,例如生物识别的触摸ID或面部ID,推送通知,QR码和基于时间的OTP等。我们还支持Yubikey硬件安全密钥以进行多重身份验证。管理权限我们采用技术访问控制和内部策略来禁止员工随意访问用户数据。我们遵守最小特权和基于角色的权限的原则,极大程度地减少数据泄露的风险。*我们将在第四部分详细介绍Zoho的加密安全管理体系。93.1.6 运营安全对生产环境的访
22、问由中央目录维护,并使用强密码,双因素身份验证和受密码保护的SSH密钥进行身份验证。此外,我们通过具有更严格规则和强化设备的单独网络来控制访问。同时,记录所有的操作,并定期审核。记录与监控我们监视和分析从服务、网络内部流量以及设备和终端的使用中收集的信息。以事件日志,审核日志,故障日志,管理员日志和操作员日志的形式记录这些信息。这些日志会在合理范围内被自动监视和分析,有助于我们识别异常情况,例如员工帐户中的异常活动或尝试访问客户数据。我们将这些日志存储在与完整系统访问隔离的安全服务器中,集中管理访问控制并确定可用性。每项Zoho服务的客户都可以获得详细的审核日志记录,包括了用户执行的所有更新和
23、删除操作。漏洞管理我们拥有专门的漏洞管理流程,该流程可以结合使用经过认证的第三方扫描工具和内部工具,以及通过自动和手动渗透测试来主动扫描安全威胁。此外,我们的安全团队会积极查看入站安全报告,并监视公共邮件列表,博客文章和Wiki,监控可能影响公司基础架构的安全事件。一旦我们确定了需要修复的漏洞,便会对其进行记录,根据严重性进行优先级排序并分配给所有者。通过修补易受攻击的系统或应用相关的控制措施,进一步识别相关风险并跟踪漏洞,直到修补完成。恶意软件和垃圾邮件防护我们使用自动扫描系统扫描所有用户文件,该系统旨在防止恶意软件通过Zoho的生态系统传播。我们的自定义反恶意软件引擎会从外部威胁情报源接收
24、定期更新,并针对黑名单签名和恶意模式扫描文件。此外,我们专有的检测引擎与机器学习技术结合,保护客户数据免受恶意软件的侵害。Zoho支持基于域的邮件身份验证,报告和一致性(DMARC),以防止垃圾邮件。DMARC使用SPF和DKIM来验证邮件的安全性。我们还使用专有的检测引擎来识别Zoho服务的滥用,例如网络钓鱼和垃圾邮件活动。此外,我们有一个专门的反垃圾邮件小组来监控处理滥用投诉。备份Zoho管理控制台(ZAC)每天和每周都会对数据库运行增量备份。DC中的备份数据存储在同一位置,并使用AES-256位算法进行加密,以tar.gz格式存储。所有备份的数据将保留三个月。如果客户要求在保留期内恢复数
25、据,我们将恢复其数据并提供安全访问。数据恢复的时间取决于数据的大小和复杂性。*AES-256 全称为 256-位进阶加密标准(Advanced Encryption Standard,AES),提供几乎牢不可破的加密保护,且对存储性能的影响小到可忽略不计。10为了确保备份数据的安全,我们在备份服务器中使用了独立磁盘冗余阵列(RAID)。所有备份都会定期追踪。如果发生故障,将重新启动运行并立即修复。ZAC工具会自动完成备份的完整性和验证检查。我们建议您定期进行数据备份,从您的Zoho服务中导出数据并存储在本地磁盘中。灾难恢复和业务连续性应用程序数据存储在可跨数据中心复制的弹性存储中。主DC(数据
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CRM 安全 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。