深耕商办楼宇资产经营saas系统7年,匠人科技深知,用户数据安全是发展的底线与原则,这也是项目方最为重视的环节。
为了更好服务客户,保护客户数据隐私,近7年来,匠人科技在用户数据安全方面投入了大量的人力、资源和资金,不断升级与完善信息安全保护体系,力求给客户更安心的服务。
为了更加客观公正地评价自身的信息安全体系建设,匠人科技较早引入了权威的第三方认证机构和监管机构进行监督。2019年1月,匠人科技获得"招投标企业信用等级AAA级证书" ;2020年10月获批"信息安全管理体系认证证书";2021年6月获得"国家信息系统安全等级保护三级"备案。
为了更好接受专业机构和客户监督,反向推动自身信息安全体系更加牢固,匠人科技重磅发布《数据安全蓝皮书》,从安全定义、开发守则、安全底线、攻击应对、制度保障、专业合作六大方面,深入阐释匠人安全体系的运作原理。
随着越来越多的项目方使用匠人产品作为资产经营、招商管理的核心管理工具,面对客户的信任和对行业的责任,匠人科技将持续加大在安全领域的投入,在客户信息安全保护上走得更好更稳。
《数据安全蓝皮书》将重点分享以下要点,供大家更清晰地了解匠人科技在信息数据安全领域的原则和举措:
— 1 —
5大开发守则:实现数据安全高标准
CIA安全定义:严格遵循保密性、完整性、可用性原则,将用户数据作为重要资产;
Authentication(身份验证):用户密码设置高要求,严格限制登录次数;
Authorization(授权批准):不同岗位的人员(匠人科技内部&用户公司)对应不同的系统权限;
Access Control(访问控制):拥有账号的操作人员,在非业务环境下无法修改业务数据;
Auditable(可查证性):记录用户登录日志,实现追根溯源。
通过密码加密、限制恶意登录尝试保护用户密码、信息不被盗取;
外部通过限制接口请求频率严格防范恶意爬虫,保障用户的客户资料不被泄露;
使用https传输,tls版本在1.2以上,网站安全等级高;
对密码进行BCrypt+salt加密,防止密码破解与数据库泄露事件的发生;
数据库异地备份,有效应对突发攻击或自然灾害带来的数据异常;
采用jumpserver堡垒机监控服务器、网络设备、数据库的运作,记录运维人员操作,并定期进行安全扫描与检测评定;
设置入口最小化,通过负载均衡避免无谓的端口暴露,减小外部攻击带来的影响。
内部通过「权责分离」限制员工权限;
签署保密协议,强调员工在职期间的数据安全准则,规范其安全保障行为。
