安全

成功建立在信任的基础上

安全是一种承诺,一种精神状态,一种文化——而不是一个复选框——尤其是当涉及到你的员工的信息时。

在Saba,我们知道成功是建立在信任的基础上的,我们的方法是基于安全设计的基本原则。我们致力于提供行业最佳实践安全和合规服务,不断验证我们安全项目的实力,并提供一个健壮、可扩展和安全的平台,满足数据保护和隐私方面最严格的要求。

开始

综合安全与合规

Saba维护一流的多租户、多数据库体系结构,具有最高的遵从性和正常运行时间标准,并满足最严格的全局数据保护要求。

Saba安全程序实现了一个多业务审查过程,它关注于满足并超越行业接受的实践。除了在整个系统开发生命周期内嵌入安全性之外,Saba还遵循全球隐私要求,提供适当的控制,并按照客户隐私要求解决安全数据处理、保留和删除以及个人身份信息(PII)的传输问题。

符合行业标准和法规

随着新的安全框架、标准和监管要求的开发,并在云计算行业获得发展,Saba会对这些框架进行审查,并采用与我们的客户相关的那些框架,帮助我们改进安全程序,降低安全风险。根据特定服务提供的重点,Saba和/或其服务合作伙伴可能会遵守或帮助客户遵守以下部分或全部认证、标准和最佳实践:

ISO / IEC 27001:2013

SOC 1类型2

SOC 2

ISAE 3402 2型

CSA的明星

FDA 21 CFR Part 11

PCI DSS

OWASP前十名

ISO / IEC 27001:2013

SOC 1类型2

SOC 2

ISAE 3402 2型

CSA的明星

FDA 21 CFR Part 11

PCI DSS

OWASP前十名

ISO / IEC 27001:2013

SOC 1类型2

SOC 2

ISAE 3402 2型

CSA的明星

FDA 21 CFR Part 11

PCI DSS

OWASP前十名

验证环境管理服务(VEMS)

从事高度监管行业的公司,如药品制造商、医疗设备制造商、生物技术公司、生物制品开发商、生命科学公司和食品制造商,必须遵守其所在国家监管机构制定的严格合规要求。

Saba提供符合美国FDA 21 CFR第11部分的特定行业功能和验证保证,并为需要执行自己验证和文档的客户提供服务。我们通过由独立第三方审计员执行的全行业审计和认证来验证我们平台的安全性。这些审计可以独立评估Saba的安全控制的设计和运行效率。

对独立保证的承诺

毫不奇怪,我们的客户希望独立第三方验证我们在Saba采取的措施满足安全标准和控制,有效地工作,并支持需要的不同行业的特定需求。为了帮助我们的客户满足他们的合规要求和安全要求,我们不断投入资源,并为客户提供对我们的安全控制和整体安全有效性的独立评估和评估。vwin德赢登录第三方评估可根据要求提供,包括AICPA SOC 2类型2审计报告,web应用程序漏洞报告,以及网络和主机漏洞扫描结果。

专门的安全和法规遵循组织

我们专门的Saba安全团队由行业领袖和安全最佳实践方面的认证专家组成,他们具有围绕不断变化的威胁格局、新兴的数据保护、合规和数据隐私要求进行风险管理的思维。Saba的安全组织实行职责分离,单独向高级管理层报告,并与我们的IT、云运营和产品开发团队一起工作,以确保我们的产品和服务从客户的角度设计安全,同时持续监控Saba的云运营活动。凭借我们在安全和隐私方面的专业知识和协作方式,我们与您合作,确保为您的业务提供一个值得信赖的环境。

跨境

控制数据的位置是数据隐私和遵从性的关键因素,Saba的数据中心遍布北美、欧洲、中东和亚太地区。北美和欧洲的数据中心通过了SSAE-16 /AT101 Type 2和/或SOC 2 Type 2审核,并通过了ISO 27001认证,能够满足许多额外的监管要求。为了确保满足隐私规定,客户数据仅驻留在每个地区的主要和次要数据中心内。

对我们数据中心的物理和逻辑访问受到严格控制,访问仅限于预先授权的人员和分层身份管理系统,包括卡钥匙和生物识别系统,以及强制的预先批准的客户名单和登录/退出程序。服务可用性和服务质量的服务级别被严格定义,并由一系列报告可用性、性能和服务质量的应用程序持续监控。所有数据中心设施都包括冗余的环境保护,包括对冷却、电力、物理安全、网络连接和自然灾害的考虑。

安全的设计

Saba采用深度防御安全模型进行架构设计,在我们的基础设施和服务的设计和操作中,Saba非常关注安全控制的实现。Saba的目标是通过设计实现安全——确保我们以最高效的方式为全球客户提供强大的安全保障。

特性

萨巴安理会

安全理事会提供一个以共识为基础的论坛,以支持资讯保安总监就下列事项进行合作:

  1. 确定高度优先的保安及私隐措施;和
  2. 为政策、程序和标准制定建议,以确保这些举措确实增强了Saba及其客户网络、信息和信息系统的安全态势和保护;和
  3. 评估是否符合现有法规和客户要求。

系统和数据访问控制

Saba的安全模型根据定义的职责分离(SoD)、操作角色和职责(RACI)以及“需要知道”来限制对系统和数据的访问。对系统的逻辑访问受到安全策略和过程、使用惟一用户名/密码的双因素身份验证和限制性本地主机权限的限制。禁止直接访问系统管理帐户(例如root)。数据分类标准要求只能使用saba授权的系统访问客户数据。

网络安全

通过使用分层防火墙、先进的网络设计和网络分割来实现网络安全。高可用性防火墙用于过滤web层、应用程序层和数据层之间的通信。防火墙支持深度包状态检查、异常包丢弃、拒绝服务保护、欺骗监视和反病毒过滤。Saba网络被设计为支持vLAN和子网分段、端口限制、访问控制列表以及地址和端口转换。所有物理数据连接都配置为高可用性网状拓扑,每个系统和服务具有不少于两条通信路由。Saba的网络通信网格确保了数据在我们的网络中的完整性和不间断流动。Saba防火墙的配置与美国国家标准与技术协会(NIST)的标准一致,与所有终端的连接加强了我们的“最少允许”政策。所有保安设备和防火墙都被全天候监控。监视器被定义为在超过预定义的阈值时触发警报。

全球数据中心

北美和EMEA的数据中心通过了SSAE-16 /AT101 Type 2和/或SOC 2 Type 2审核,并通过了ISO 27001认证。还提供了其他功能来满足严格的监管要求。

环境保护措施

所有数据中心都配备了冗余的高密度电力系统,并配有自动化和监控设施控制。所有数据中心的发电机都定期进行测试,并由多个燃料供应商提供支持,以确保在发生灾难时能够持续运行。

物理安全

对我们数据中心的物理访问受到严格控制,只有预先授权的人员和分层身份管理系统才能访问。通过卡钥匙和生物识别系统管理进入设施、室内金库和笼子区域的个人通道,并强制执行预先批准的客户名单和登录/退出程序。所有服务器和基础设施都在锁定的机架中受到保护。只有授权人员才能访问服务器。

多层物理安全系统包括对管理预授权的要求,以及被授权的个人必须向有人操纵的安全台提供政府发布的照片ID。此外,受控的人工陷阱和双因素认证(包括生物识别)需要进入数据中心服务器室楼层和Saba专用的安全笼子。

渗透测试

Saba与不同的第三方安全顾问合作,对每个主要版本的应用程序执行灰色箱安全性评估。这包括对Saba的web和移动应用程序的测试,以及针对网络的渗透测试。

Web应用程序扫描

作为我们系统开发生命周期的一部分,为了评估我们的应用程序,Saba利用业界领先的动态扫描解决方案和静态代码分析来评估已知的安全漏洞,包括OWASP。德赢vwin平台样品检测包括但不限于:

  • 身份验证
  • 授权
  • 配置
  • Cookie操作
  • 跨站点脚本编制
  • 隐藏字段操作
  • 输入/输出验证
  • 逻辑漏洞检查
  • 参数篡改
  • 特权升级
  • 敏感数据处理
  • 会话管理

专业认证

我们的专家团队持有专业证书,以证明他们在相关领域的知识和智慧。认证包括认证系统工程师、思科认证网络助理(CCNA)、认证信息系统安全专业人员(CISSP)、认证信息系统审核员(CISA)、认证信息安全经理(CISM)、GIAC Web应用渗透测试员(GWAPT)和认证信息隐私专业人员(CIPP)。此外,我们的技术人员获得了各种基础设施和操作系统软件产品的认证和/或培训。

验证环境管理服务(VEMS)

从事高度监管行业的公司,如药品制造商、医疗设备制造商、生物技术公司、生物制品开发商、生命科学公司和食品制造商,必须遵守其所在国家监管机构制定的严格合规要求。Saba支持符合要求,如美国FDA -标题21 CFR第11部分,包括电子记录和相关电子签名应如何保存在经过验证的计算机系统中。

Saba是我们寻求的一个解决方案,主要是因为它是一个安全的平台。

-加文·胡佛,负责培训的副总裁,Go Wireless

演示需求

参见Saba的解决方案德赢vwin平台的行动,不需要承诺。

看现在

准备好开始了吗?

开始