云端安全策略
 
学术论述
点将台认真对待安全问题,对所有呈上的漏洞彻底调查。此页解释点将台解决云服务方面潜在安全漏洞的做法。
ISO 27001

ISO 27001 是一种安全管理标准,它遵循 ISO 27002 的最佳实践指导原则,并用于指定安全管理最佳实践以及全面的安全控制。此项认证的基础是制定并实施严格的安全计划,包括开发和实施信息安全管理系统 (ISMS),规定 点将台应如何通过整体全面的方法持续管理安全性。这种被广泛认可的国际安全标准指定实体应:
系统地评估我们的信息安全风险,并将公司威胁和漏洞的影响纳入考虑范围。
   
设计并实施一套全面的信息安全控制以及其他形式的风险管理,以解决公司和架构安全风险
   
采用总体管理过程,确保信息安全控制能够持续满足我们的信息安全需求。
公司已于2018年3月8日成功获得ISO / IEC信息安全管理系统(ISMS)。
渗透测试

点将台让外部网络专家参与进行渗透测试 (黑箱白箱 网络应用程序),这些测试主要着重在点将台云系统的网络安全和合规问题。
渗透测试是一个试图通过发掘漏洞来评估IT基础架构的安全性的尝试。这些漏洞可能会出现在操作系统、服务和应用程序、不正确的配置或冒险的用户行为。这种评估验证防御机制的有效性,以及确保用户遵守的云端安全策略。渗透测试可以帮助确定系统是否容易受到攻击、防御是否充足、以及确定任何防御试验失败(如有)。

公司每年都会针对我们的解决方案进行渗透测试,以实现更好的漏洞管理。我们致力于缓解所有已识别的漏洞,以保持最佳安全级别。这些测试的结果是严格保密的,任何获取测试报告的请求必须提交给我们;伴随着签署保密协议,报告的发布完全由我们自行决定。

Download NDA
在点将台使用双因素认证(2FA)

为了提高安全性,我们建议您配置双因素认证(2FA)帮助保护您的点将台帐户。双因素认证需要用户从获得批准的认证设备取得独特的认证码,以此增加安全性。点将台努力让广大用户安心,我们与知名的第三方供应商 - 谷歌身份认证合作,以提高点将台帐户的安全级别。登录具双因素认证功能的账号需要两大因素 - 您的账号密码以及谷歌身份验证器移动App生成的代码, 有效提高安全性。
对双因素认证有任何问题?您可以去http://www.i-neighbour.com/2step了解更多。
超文本传输安全协议:

所有点将台云应用平台的传输采用https规格。https为超文本传输安全协议,为互联网广泛使用的一种传输和网络安全的协议。
亚马逊AWS:

为了确保你的数据安全,我们采用业界知名的亚马逊云计算AWS的PaaS,“平台即服务”。技术上称谓,我们的数据架在得到安全认证规格的云服务上面。
点将台采用了拥有ISO 27001及PCI DSS L1认证的亚马逊AWS服务:

• 亚马逊云中的虚拟服务器(EC2)
• 亚马逊简易储存服务(S3)
• 亚马逊关联数据库服务 (RDS)
• 亚马逊弹性负载平衡服务(ELB)
• 亚马逊身份和访问管理服务 (IAM)
• 亚马逊弹性区块储存服务(EBS)
• 亚马逊简易电邮服务(SES)
• 亚马逊云前线
• 亚马逊路径53
• 亚马逊云监控+亚马逊简易通知服务(SNS)
• 亚马逊VPC
• 亚马逊Web服务标准的盾防御DDoS攻击
漏洞报告

报告疑似漏洞
如果您怀疑点将台云考勤资源正被用于可疑活动,可以通过这里将其报告给我们。请提供任何支持资料(概念验证代码、工具输出等),以便我们更高效地回复您的报告。这些资料对于帮助我们了解该漏洞的特性和严重性非常有用。

点将台会对您在此过程中共享的信息保密。未经您的许可,点将台不会与第三方共享这些信息。

点将台将查看提交的报告,并为其指定一个追踪编号。然后,我们将回复您,确认已收到该报告,并概述将要进行的后续步骤。
点将台评估
提交报告后,点将台将验证所报告的漏洞。如果需要其他信息才能验证或重现该问题,点将台将从您这里获得该信息。完成初期调查后,将向您发送结果以及解决问题和公开披露的计划。
关于点将台评估过程的几个注意事项:
1. 第三方产品-如果该漏洞影响第三方产品,点将台将通知受影响软件的作者。点将台将继续在您和第三方之间进行协调。没有您的允许,我们不会将您的身份透露给第三方。
   
2. 非漏洞确认-如果我们无法验证该问题,或者认为它不是点将台产品中的漏洞,将与您分享该结果。
   
  点将台承诺会尽快回应报告,并在我们调查和/或减轻您报告的安全问题期间始终让您知道我们的进度。在您初次联系之后的 24 小时内,您将收到一封非自动邮件回复,确认我们已收到报告的漏洞。您至少每五个工作日都会收到来自我们的进度更新。
公开通知
如果适用,点将台将向您发送经过验证的漏洞的公开通知。

如果可能,我们希望同时发布各个公开披露的公告。为了保护我们的客户,点将台请求您在我们对报告的漏洞和知情客户(如果需要)作出研究、回复和处理之前,不要在任何公共场合发布或分享有关潜在漏洞的任何信息。同样请不要发布或分享属于我们客户的任何数据。处理报告的有效漏洞需要花费一些时间。根据漏洞严重性和受影响的系统,具体时间有所不同。

 
报告安全问题

如果您是一个安全研究员并在点将台的云服务中发现任何安全问题,请把您的发现发电邮给security@timeteccloud.com
如果您没把安全漏洞呈报上来,我们将无法解决您的问题。以下几点或许可以帮助您解决问题:
 
 1. 对于未知、可疑的或欺诈性的采购、订单或信用卡交易,可疑的密码更改或账户变更,或任何潜在的欺诈行为,请联系sales@timeteccloud.com
   
 2. 若有其他关于点将台的问题,请联系support@timeteccloud.com