数据安全实践

威瑞信已采用并将继续为客户数据维护适当的技术和组织安全实践。这些实践涉及威瑞信基础设施、软件、员工和程序,并考虑到客户协议中规定的处理的性质、范围和目的。安全控制措施和实践旨在保护客户数据的机密性、完整性和可用性,防范个人数据处理中的固有风险,特别是来自意外或非法破坏、丢失、变更、未经授权披露或访问传输、存储或以其他方式处理的客户数据的风险。威瑞信不断努力加强和改进这些安全控制措施和实践。

威瑞信的运作方式与 AICPA、信托服务原则和标准(系统和组织控制 (“SOC”))保持一致 (www.aicpa.org)。威瑞信的信息安全实践确定并管理适用于威瑞信和客户使用威瑞信服务的安全领域。威瑞信人员(包括员工、承包商和临时员工)受这些实践和其他管理其工作或其向威瑞信提供的服务的实践的约束。

威瑞信实施的多层战略信息安全方法非常全面,其中物理安全、网络基础架构、软件和员工安全实践和程序都通过强有力的管理和监督发挥关键作用。

a) 物理保护措施

威瑞信采用专门设计的措施,以防止未经授权的人访问托管客户数据的威瑞信设施(包括其办公地点及其所有生产基础设施)。办公地点与威瑞信主机代管/数据中心之间使用的常用控制措施包括,例如:

  • 所有的物理访问都受到限制并需要授权。
  • 所有威瑞信生产经营场所都通过具有录像功能的视频进行控制和监控。
  • 入口设有物理障碍保护,防止车辆未经授权进入。
  • 生产经营场所保安人员每年 365 天,每天 24 小时值守,除其他职责外,他们还负责视觉身份识别和访客护送管理。
  • 所有员工和访客必须在现场佩戴官方身份证明。
  • 访客必须在访客登记处签名,并且在现场时须有人陪同和/或观察。
  • 钥匙/访问卡的持有情况以及访问位置的权限均受到监控。威瑞信离职人员必须归还钥匙/卡。
  • 在所有地点均安装了多台发电机、UPS、HVAC 和灭火系统。

b) 系统访问控制

防火墙、边界安全控制、VPN 和访问控制路由器均已到位,并按照威瑞信的标准进行配置,以防止未经授权的通信。配备基于网络的入侵检测系统以检测攻击或可疑行为,并执行漏洞扫描以识别系统和数据的安全性和机密性的潜在弱点。 根据具体的服务,威瑞信可能会采用以下控制措施:(i) 通过密码和/或多因素认证进行认证;(ii) 文件化的授权和变更管理流程;和 (iii) 访问日志。支持威瑞信基础设施的软件包括操作系统、数据库和防病毒软件(根据需要随时更新)。内部开发的应用程序执行产品交付功能。此外,威瑞信使用多个备份/恢复实用程序来执行生产系统的日常和定期备份。

威瑞信对其客户数据的访问仅限于授权人员,并须在获得管理层的适当批准后方可授予访问权限。只有需要了解有关信息的威瑞信员工将被授予访问客户数据的权限,且唯一目的是为客户提供支持。此外,威瑞信还提供一种机制,客户可以通过该机制控制其授权人员访问其环境和内容。

c) 传输和连接控制

威瑞信采取措施防止未经授权方在休息、传输和运输过程中读取、复制、更改或删除客户数据。这需要通过各种措施来实现,包括使用适当的防火墙、VPN、安全协议和加密技术来保护客户数据传输的网关和管道。客户可以通过威瑞信提供的安全通信协议来访问威瑞信客户门户。如果通过传输层安全 (“TLS”) 启用的连接进行访问,则该连接至少要进行 128 位加密协商。用于生成密码密钥的私钥至少为 2048 位。TLS 针对在威瑞信部署的所有基于 Web 的 TLS 认证应用程序实施或配置。

d) 数据隔离

客户数据在逻辑上或物理上与威瑞信环境中托管的其他客户进行了隔离。

e) 保密和培训

可能会访问客户数据的威瑞信员工受到保密协议的约束。威瑞信员工需定期完成培训。

f) 威瑞信信息安全政策

威瑞信信息安全政策确定并管理适用于威瑞信服务以及客户使用这些服务的安全领域。威瑞信人员受威瑞信信息安全政策和其他管理其工作或其向威瑞信提供的服务的政策的约束。有关这些政策的相关信息可在适用的 SOC 2 或其他第三方报告中找到,并可根据要求与客户共享。

g) 安全评估

威瑞信采用内部流程来定期测试、评估、评价和维护本文所述的技术和组织安全措施的有效性。威瑞信可能聘请第三方进行独立审核并确保符合以下条件(报告的可用性和范围可能因服务和国家而异):

  • AICPA,信托服务原则和标准(系统和组织控制系统和组织控制 (SOC) 2 第 II 类)
  • 2002 年《萨班斯-奥克斯利法案》
  • 其他独立的第三方安全测试来检查管理和技术控制的有效性。

生效日期:2018 年 5 月 24 日