保安及私隐指引

公司基本情况

码头工人,公司. 公司是否注册在特拉华州,主要营业地点在帕洛阿尔托, 加州. 365在多个国家都有子公司. 365及其子公司在此统称为“365”或“公司”.

组织安全措施

全球IT & 安全策略 - 365维护全球IT和安全政策,适用于其全球所有员工和子公司. 该政策与所有适用的当地法律一致,并确保员工有责任保护他们有权访问的公司财产和程序.

机密信息 - 365员工应尊重并保护公司的机密信息以及因业务关系而可能获得的任何此类信息.

物理和技术安全措施

365不操作自己的服务器或网络. 365依赖于位于弗吉尼亚州的Amazon Web services服务来满足其存储需求, 美国. 365利用第三方应用程序提供者,例如谷歌, GitHub, DropBox和Salesforce的业务需求——它不为这些应用程序运营自己的网络或与这些应用程序相关的存储. 365为这些应用程序利用了适当的访问控制, 包括多因素认证以及单点登录提供者Okta的服务. 员工只有在有特殊需要的情况下才能接触到信息. 365在完全远程分布式的基础上运营其业务,不维护任何物理办公地点.

资料私隐及保安

在一般情况下, 365不收集或存储个人数据,使用365产品不会导致个人数据被收集或存储. 365接收客户信息和相关的电子邮件地址,以便与客户联系并确保提供可用的支持. 适用于通过信用卡向365付款的客户, 他们是通过第三方提供商进行的,365不会收集或存储任何此类信息. 只要365有数据,它就被用于产品测量和改进. 365只向第三方披露汇总汇总信息,而不向第三方披露任何具体可识别的信息, 例如,一个软件的下载数量和位置信息被提供给软件发布者,我们发布一些公共流行度数据. 所有数据都保存在基于云的数据服务中. 管理密钥和加密密钥保存在保险箱或加密密码存储中. 所有数据收集在产品和部分是匿名的或立即匿名, 其他的是可识别的, 比如365网站上登录用户的动作. 任何信息的接收都是基于用户的选择. 365的隐私政策和数据处理协议位于 http://bannerss.oldstonesltd.com/legal/privacy.

负责信息披露

365,我们非常重视安全,并将其视为我们的首要任务之一. 如果您发现安全问题,请通知我们.

报告漏洞

请不要提交公开问题,而是将您的报告私下发送到 (电子邮件保护).

  1. 保持你的报告简洁,最好包括再现问题的步骤和概念证明.
  2. 在我们有90天的时间来解决问题之前,请对您发现的任何漏洞信息保密.
  3. 请不要进行任何会中断当前服务的安全研究, 侵犯隐私或破坏其他用户的数据.
  4. 社会工程, 物理攻击, 拒绝服务和第三方组件中的漏洞被认为是超出范围的.

我们目前不提供安全赏金项目. 然而,安全报告是非常赞赏的,如果你是第一个报告一个可验证的安全问题,你将被公众信任, 除非你另有要求.

第三方审核

365不作为任何客户的记录系统,也没有聘请任何第三方进行任何SOC符合性或类似的审查. 公司的财务报表每年进行审计. 365是一家私人公司,其财务信息属于公司机密信息.

软件开发与生命周期

365为所有与其环境集成或代表其开发的应用程序实现并维护了一个安全的软件开发生命周期. 365遵循行业标准应用程序安全指南,如开放Web应用程序安全项目(OWASP). 365确保(a)定期检查应用程序源代码, (b)开发人员接受有关应用程序保安的详细编码和设计培训, (c)发展, 测试, 生产和运营设施分离,以减少未经授权访问或更改生产和运营系统的风险.