在全球有超过2500万用户访问Zoho服务,包括个人、中小企业以及大型跨国集团,我们采取顶级的策略和措施来保障用户的数据安全。
本文档包含我们安全保障的运行机制和流程,具体分为物理安全、网络安全、人员流程管理以及冗余及业务持续性,方便您进行全方位的了解。
物理安全
Zoho的数据中心托管在当今世界最安全的设施中,在那里可以避免任何物理的和虚拟的攻击,同时也免受地震、火灾、洪水等自然灾害的伤害。
- 7x24x365安全防护:数据中心提供全天候的安全警戒服务,不分节假日。
- 视频监控:每个数据中心都有7x24x365 夜视摄像头进行日夜监控。
- 严格的门禁控制:只有少数经预先批准的人员才能进入Zoho 数据中心。
- 包括生物验证在内的双因素身份验证:要进入Zoho 数据中心必须同时使用包括生物验证方法在内的两种身份验证方式。
- 服务器位置保密:Zoho服务器所在地点外表普通,位置保密,以避免成为攻击目标。
- 防弹外墙:Zoho 服务器外围有防弹墙壁保护。
网络安全
Zoho拥有一流的网络安全设施和团队,以应对最高级别的电子攻击。以下列出的是Zoho 采取的部分网络安全措施。Zoho特意用一般的方式陈述,因为Zoho采用的策略也是黑客们所渴望知道的。如果您需要知道Zoho网络安全方面的更多详情,请与我们联系。
- 128/256-位SSL:您的计算机与Zoho的服务器之间的通信采用强大的128-位密匙加密传输方式 (很多情况下是使用256-位密匙)。这意味着,即便传输的信息遭到了拦截,也几乎不可能被破译。
- 入侵检测/入侵保护系统:Zoho的网络有经过认证的、功能强大的入侵检测系统/入侵保护系统进行检测与保护。
- 控制与审查:所有网络准入都经过严格控制和审查。
- 安全/分离式操作系统:Zoho应用运行在安全、分离式操作系统之上,以抵御外部安全威胁。
- 病毒扫描:进入Zoho服务器的所有流量都须经过定期更新的、最先进的病毒扫描协议进行自动病毒扫描。
人员流程管理
数据中心基础架构的设计与运行不仅需要技术,还需要有纪律地遵循一定的流程。这包括升级、 管理、知识共享、风险控制相关策略,以及日常运维。Zoho的安全团队在设计与运维数据中心方面拥有丰富的经验,并不断改善Zoho的流程。同时,Zoho也创造了一些世界一流的做法,用于安全管理 和数据保护风险管理。
- 严格甄选的人员:只有具有最高许可的员工才能获取Zoho数据中心的数据。员工准入都有记录,并且密码也有严格管理。而能访问客户数据的仅限这些员工中的极少数人,他们需要向客户提供技术支持,代表客户进行检修时才能访问客户数据。
- 审查:审查定期进行,而且整个流程受到管理层的复审。
- 按需授权:只有当需要的时候并且得到客户同意(即,在提供技术支持过程中),并得到高级安全管理人员 同意以提供支持和维护服务的时候,才可以访问数据中心的信息和客户数据。
冗余及业务连续性
云计算的一个基本理念是:承认并假定计算机资源在某个时候会出故障。Zoho在设计系统和基础架构时就考虑到了这一点。
- 分布式网格基础架构:Zoho服务器运行在分布式网格中。这就意味着,即便一台服务器发生故障,也不会影响Zoho服务的正常运行。
- 电源冗余:Zoho在配置服务器时也考虑到了从电源供给到输出的电源冗余。
- 因特网冗余:Zoho通过多个1级ISP与因特网相连。这样,即便其中一个出故障或延迟,您也可 以正常使用Zoho应用和信息。
- 冗余的网络设备:Zoho运行在冗余的网络设备(交换机,路由器,安全网关)上,从而避免内 网上任何层级上出现单点宕机。
- 冗余的冷却和温度控制:集中的计算资源会产生大量的热量,因此需要适当冷却以保证服务运行平稳。Zoho拥有冗余的空气调节系统和温度调节系统,呵护服务器健康运行。
- 地理镜像:客户数据在一个单独的地理区域进行镜像,以确保灾难恢复和保持业务连续性。
- 防火:Zoho数据中心受到行业标准的火灾防控系统的保护。
- 数据保护及备份:用户数据定期在多个服务器上进行备份,防止由于硬件故障而丢失数据。
安全证书
SOC 2 - SOC 2对安全控制设计与运行有效性进行评估 ,以满足AICPA的可信服务准则标准。
以下是可信服务准则:
- 安全:系统受到妥善保护,以杜绝未经授权的访问(物理访问和逻辑访问) 。
- 可用: 系统按承诺或合同中规定的无不可操作或不可使用现象。
- 处理完整性: 系统处理得完整,准确,及时且经过授权。
- 保密:指定为机密的信息按承诺或合同中规定的受到保护。
- 隐私: 个人信息的收集,使用,留存,披露和销毁符合公司在隐私声明中的承诺,且符合由AICPA和CICA提出的普遍接受的隐私保护原则。
