纷享销客 纷享销客连接型CRM 安全橙皮书 5(2024) www.fxiaoke.com 目录 01纷享销客安全战路06数据安全 6.1数据安全采集 组织及人员安全 026.2数据加密传输 6.3数据分级与加密存储 2.1信息安全委员会6.4数据安全使用 2.2信息安全保障团队6.5租户间数据隔离 6.6数据安全销毁 2.2.1安全专家团队 2.2.2安全审计团队6.7数据防勃素 6.8个人数据隐私保护 2.3安全人员管理 03物理与环境安全 3.1物理安全 3.2环境控制 6.9数据安全审计 07应用安全 7.1安全开发生命周期(SDL) 7.2应用安全扫描 7.3代码安全审核 7.4安全渗透测试 7.5应用终端安全 04网络安全7.6用户账号安全 4.1安全区域划分与隔离08安全运维运营 4.2网络访问控制 4.3堡垒机8.1帐号权限管理 4.4网络入侵检测8.2运维接入安全 4.5DDoS防御8.3安全漏润管理 4.6WAF(Web应用防火墙)8.4安全事件管理 8.5业务连续性管理与灾难恢复 05主机安全09安全合规认证 5.1安全基线9.1ISO27001认证 5.2配置检测9.2信息系统安全等级保护定级(DJCP) 5.3主机入慢检测9.3ISO9001认证 5.4病毒检测9.4ISO20000信息技术服务管理体系认证 5.5漏润管理9.5ISO27701:2019隐私信息管理体系认证证书 5.6系统加固9.6SOC1&22023年审计报告 安全开发过程 (SDL) 应用安全扫描 用户禁号安全 安全采集 加密传拍 隐秘保护 网络入慢检测DDoS防御 访间控制 防火增量星机 安全区城划分 与隔高 网络婴全 应用终等安全 租户间 数摄明离 分级与加密安全使用授权 安全渗透测试代码安全审核 应用变全 随提安全 WAF防 安全审计国队 安全专家国队 信息安全委员会 安全姐织 作为国内领先的CRMSaaS服务提供商,纷享销客深知客户数据的安全性对于企业可持续发展的重 纷享销客安全战略 要性。 面对日益复杂的网络威胁和不断变化的合规要求,我们始终将“安全至上”作为企业战略的核心,我 们的发展规划和运营管理都累密围绕看这一原则,确保我们的安全措施能够与时俱进,不断地满定 甚至超越客户的安全预期。 纷享销客安全体系 安全合规 IS09001 ISO20000 SOC2TypelI SOC1TypelI 等保三级 IS027701 IS027001 安全事件 应急消应 安全事件 通覆机制 安全警理 润润管理体系 更全监控体系 安全审计 人员安全管理 滑润管理 主机入慢检测街零检测 安全基域 主机安全 系统加图 配置检测 公有运司用区 两地三中心部署 理安全 / 总体来右,纷享销客的安全体系盖多个层面,包括物理安全、网络安全、应用安全、主机安全、数 据安全以及人员安全。 物理安全措施确保我们的设施具备稳定地对抗物理入侵的能力; 点 网络安全措施包括先进的防火墙、入侵检测系统和网络隔离技术,保障客户数 据在传输和存储过程中的安全; 应用安全层面,我们运用最新的代码审计和漏洞扫描技术,保证我们的软件产品能够抵御各种攻击; 数据安全层面,我们采用加密技术并采取了严格的数据访问控制策略,确保客户数据的机密性、完整性和可用性。 此外,我们还对员工进行定期的安全培训和意识提升,确保每一位员工都能成为安全防线上的重要 一员。 纷享销客产格遵循国内外信息安全标准与法规,我们取得了信息系统安全等级保护定级(三级)、 ISo27001、ISO27701,ISO20000、ISO9001、SOC1TypeIl、SOC2TypeII等资质认证,确 保全面的法律合规性。 在末来的发展中,纷享销客将持续强化我们的安全战路。我们承诺在技术、管理和文化层面提升安 全能力,为客户提供最安全的CRMSaaS服务,确保客户数据的安全,并携手客户实现安全、稳健、可 持续的发展。 CRM 组织及人员安全 组织及人员安全是纷享销客安全战略中的重要组成部分 我们致力于确保组织内部和员工的安全,并采取一系列措施来预防和应对安全威胁。我们将持续改进 和更新安全措施,以适应不断变化的威胁环境,并确保组织和员工的安全意识和培训得到充分关注和 支持。 2.1信息安全委员会 纷享销客组建了信息安全委员会,负责制定安全策略、设计与执行安全开发流程、落实各项安全措施, 以及指导安全审计工作执行与听取安全审计汇报并针对性改进安全措施。 委员会由CTO直接领导,成员组成包括安全架构师、应用安全专家、系统和网络安全专家、安全开发 专家、各业务线的安全负责人等,各成员负责贯彻安全措施,通过定期沟通、检查、完善安全方面的工 作,加强安全管理,应对各种安全威胁,为客户提供稳定、健康、安全的工作环境。 信息安全委员会 制定 安全策略 设计与执行安全开发流程 落实 安全措施 指导安全 审计工作执行 听取安全审 计汇报 改进 安全措施 CTO 安全架构师 应用安全专家 系统和网络 安全专家 安全开发专家 各业务线安全负责人 2.2信息安全保障团队 2.2.1安全专家团队 安全专家团队由安全架构师、应用安全专家、系统和网络安全专家、安全开发专家等专家团队组成,关 注从设计到最终产品实施的整个开发、运营、维护过程,通过开发工具、优化流程、强化意识、安全培 训等,保障安全生产。 主要职责包括: 协同业界顶尖的安全技术供应商,针对入侵检测与攻击防护的需求,进行全面的产 品设计与开发,并负责持续的运营维护。提供全天候(7*24小时)的安全监控服务, 执行定期的漏洞扫描与深度检测。 2 基于数据的重要性和敏感性,制定精细化的访问控制策略。运用先进的技术手段实施隔离措施,并构建一套完善的访问控制管理流程,确保数据的机密性、完整性和 可用性。 深入分析业务系统的访问逻辑,严格审核所有访问请求。通过自动化工具实时监控可疑活动,如非授权的数据访问和操作,并进行实时审计。定期对安全策略的执行情况进行复查,确保其有效性。 在产品设计阶段,引入安全评审机制,确保功能需求符合安全标准。产品发布前,进行全面的安全测试,确保无安全隐患。 毒产品发布后,持续进行安全回归测试,确保业务安全稳定运行。 5 结合公司内部的技术积累和外部专业安全机构的资源,定期对内部和外部应用进行深度漏洞检测与扫描。一旦发现安全漏洞,立即启动应急响应机制,确保在预期时 间内完成漏洞修复。 遵循国际信息安全事件管理标准,根据数据安全性的危害程度定义安全事件类别和响应流程。建立全天候的自动与人工结合的监控识别、分析和处理信息安全事件的 能力,确保在安全事件发生时能够迅速、有效地应对。 定期组织安全演练,模拟真实场景下的安全威胁,评估安全策略的可靠性和控制措施的适用性。通过演练发现潜在的安全风险,并持续改进安全策略。 针对员工开展定期的安全意识培训,涵盖个人信息安全准则、信息保护、数据安全认证和安全开发等领域。提高员工的安全意识,增强企业的整体安全防护能力。 9 积极参与国内外安全论坛与会议,跟踪业界前沿的安全技术动态。与外部安全专家、 自帽子极客保持紧密的交流与合作,共享安全知识和经验,共同提升整个行业的安 全水平。 2.2.2安全审计团队 纷享销客为确保信息安全及合规性,特此设立了专门的安全审计团队。 该团队将对公司产品进行全面的监测、控制与处理,同时展开独立审查,以验证产品是否达到既定的 信息安全体系与标准。 6 在在此此过程过中程,团中队参,考团并遵队循包参括考GB/并T22遵080-循201包6/1S括O/IGECB27/00T1:2201230、81S0O/-12EC0217760/1:I2S01O9以/及IEC27001:2013、ISO/IEC27701:2019以及 《《信信息息安安全全技技术网术络网安络全等安级全保等护级基本保要护求基》(本G要B/T求22》2(39G-20B1/9T)等2在2内23的9多-2项0国19际)与等国在内标内准的,多确项国际与国内标准,确保保公公司司业业务务的的合合规性规。性。 22..33安安全全人员人管员理管理 纷纷享享销销客客为为确确保保新新入入职职员员工工符符合合公公司司的行的为行准为则准、则保、密保规密定规、定商、业商道业德道和德信和息信安息全安政全策政,策会,在会国在家国法家法 律律法法规规允允许许的的范范围围内内,,采采取取一一系系列列背背景景调调查查措措施施。。 同同时时,,新新员员工工入入职职时时,,必必须须按按照照公公司司规规定定签签署署保保密密协协议议。。此此外外,,纷纷享享销销客客安安全全团团队队会会针针对对不不同同岗岗位位的的员员工工,,持持续续开开展展安安全全培培训训和和宣宣导导工工作作,,内内容容涵涵盖盖网网络络安安全全基基础础知知识识、、安安全全开开发发知知识识与与最最佳佳实实践践、、基基础础安安全全意意识识以以及及公公司司安安全全规规范范条条例例等等,,旨旨在在提提升升员员工工的的安安全全意意识识与与防防范范能能力力。。 培训 2/2 纷享销客安全培训意识篇 学习2181 点费810 收薇385 安全培训 U 学习2356 点费1666 ★ 收藏235 【平台扩展能力]】纷享销客安全体系与专属. ★ 纷享平台安全介绍 2083点费1200收票400学习2289点费1353 ★ 收588 / 物理与环境安全 纷享销客的物理设备托管在经过严格准入制度授权的TIER3级别以上的专业数据中心,这些数据中 心均通过了等保三级与ISO27001安全认证,确保电力、制冷等基础设施提供相应级别的余,以增强 IDC环境的安全性。 测试的可信源进行下载和安全检测,方可进行安装与变更。 纷享销客的物理设备托管在下列数据中心: 1.北京亚太中立数据中心(TIER3) 2.北京铁通T3数据中心(TIER3) 3.中国移动南方基地(广州)(TIER4) 业务操作系统平台采用当前广泛使用的稳定版本,通过镜像方式统一部署,并定期更新镜像以修复各类安全漏洞。涉及环境变更的已上线系统,需在严格审批策略下,由专门运维人员从内部经过验证和 3.1物理安全 TIER3以上级别机房:相较于普通企业机房,电信级机房在可用性和抗灾能力方面表现史为卓越, 机房环境安全。一旦发生物品遗失,将立即启动电子卡管理系统注销权限。 机房内所有设备及设施均实施严格的访问控制和白名单机制,严审人员进出,以防物理设备遭受破坏 机房进出安全管理:IDC机房对进出人员实施严格管控,配备门禁系统,严谨核实入场人员身份,确保 等事件的发生。 / 8 有摄像记录。 机房安全保障:数据中心设有专业保安员全天候在岗,持续巡逻。机房24小时监控,内部所有活动均 域进行监控,检测设施区域内的其他系统,跟踪访问人员情况。 全方位机房监控:当前,多个跨省市数据中心已部署摄像机,对各区域进行监控。物业保安7x24小时分段巡逻,同时对所有基础设施进行7x24小时集中视频监控。全方位电子摄像机对数据中心内外区 用隔离或生物识别技术等额外安全控制措施。 所有人员活动记录电子保存(长期),视频记录保存期限为3个月,以备后期审计。此外,特定区域还采 备、配件、耗材等进出数据中心,须经纷享销客内部人员授权。数据中心现场核实无误后,方可允许设 机房设备安全:数据中心内所有纷享销客专属物理设备、设备配件、网络耗材,以及设备厂商的维修设 备、配件、耗材等进出。 3.2环境控制 纷享销客数据中心采用一系列措施来保障运行环境: 电力:为确保数据业务的不间断运行,数据中心配备了余的电力系统(包括交流和高压直流),主电 源与备用电源具备相同的供电