SkyDeck.ai 安全實踐
截至2023年11月1日
數據安全
我們所有的組件均託管在安全的 VPC 中,數據在靜態時使用AWS KMS 和 AES-256 進行加密。此外,我們在傳輸過程中使用TLS 1.2 或更高版本進行加密。
我們的應用程序密鑰也使用 KMS 和 AES-256 在靜態時進行安全加密。
增強對話安全性
除了靜態加密外,我們還提供有關用戶對話內容和對話名稱的可選增強安全功能。
我們可以提供對話數據靜態加密的第二層獨立加密。這種方法的優勢在於冗餘安全性。但這會在顯示對話或用於搜索時增加解密的額外成本。 這是企業客戶在控制中心中的一個選項。\
每個用戶都可以持有自己對話數據靜態加密的密鑰。這樣,我們只有在用戶登錄到我們的系統時才能訪問他們的對話數據。當他們登出時,數據將被加密,我們沒有解密密鑰的記錄。我們使用用戶密碼的獨立哈希來實現該加密。我們不存儲密碼,哈希僅在用戶登錄時存在。 這種方法的優勢在於,如果用戶_簡單地停止使用_該平台,則沒有人可以訪問用戶數據。當用戶不主動使用時,數據實際上是消失的。這種方法的缺點是,如果用戶丟失了密碼,他們將失去所有對話數據,沒有任何補救措施。另一個缺點是顯示和處理對話數據的速度會變慢且更_延遲_。此外,更改用戶密碼的過程會變得更慢,因為所有數據都需要被解密和重新加密。 這是企業客戶的可選功能。
產品安全
SkyDeck.ai 在我們的安全開發生命週期 (SDLC) 的關鍵階段實施定期的 滲透測試 並進行 漏洞掃描。
我們的安全策略包括在滲透測試期間進行 黑箱測試和灰箱測試。
我們利用各種方法來確保系統的安全性,包括 靜態分析、軟體組成分析、惡意依賴掃描、動態分析和網路漏洞掃描。
訪問管理
我們利用 知名的單一登錄服務 來保護我們的身份和訪問管理。
應用程序的訪問是基於角色的,並在就業結束時自動撤銷。
任何進一步的訪問必須遵守為每個應用程序設定的政策。
數據保護
我們保證所有客戶數據在靜態和傳輸過程中均已加密。
AWS 密鑰管理系統 (KMS) 負責管理我們的加密密鑰。
安全教育
在所有員工的入職過程中提供全面的安全培訓,並通過我們平台上的教育模塊每年進行更新。
我們的團隊在通訊渠道中定期分享威脅簡報,以便讓他們了解重要的安全更新。
供應商安全
我們確保使用 WireGuard 進行安全的遠程訪問內部資源。
為了提供額外的保護層,我們還使用 阻擋惡意軟體的 DNS 伺服器 來保護員工及其終端設備在瀏覽互聯網時的安全。
Last updated