安全政策
在 AhaSlides,我们用户的隐私和在线安全是我们的首要任务。 我们已采取所有必要步骤来确保您的数据(演示内容、附件、个人信息、参与者的响应数据等)始终安全。
AhaSlides Pte Ltd,唯一实体编号:202009760N,以下简称“我们”、“我们的”或“AhaSlides”。 “您”应被解释为已注册帐户以使用我们的服务的个人或实体,或作为受众成员使用我们的服务的人。
智能门禁
AhaSlides中存储的所有用户数据均按照我们在 AhaSlides服务条款,授权人员访问此类数据是基于最小权限原则。 只有授权人员才能直接访问 AhaSlides 的生产系统。 那些确实可以直接访问生产系统的人只被允许查看存储在 AhaSlides 中的用户数据汇总,用于故障排除目的或 AhaSlides 中允许的其他方式 隐私政策.
AhaSlides 维护一个有权访问生产环境的授权人员列表。 这些成员接受犯罪背景调查并获得 AhaSlides 管理层的批准。 AhaSlides 还维护了一份被允许访问 AhaSlides 代码的人员名单,以及开发和登台环境。 这些列表每季度进行一次审查,并在角色变更时进行审查。
AhaSlides 客户成功团队的受过培训的成员还可以通过对客户支持工具的限制访问,对存储在 AhaSlides 中的用户数据进行特定于案例的有限访问。 未经 AhaSlides 工程管理部门的明确许可,客户支持团队成员无权出于客户支持目的审查存储在 AhaSlides 中的非公开用户数据。
角色变更或离职时,授权人员的生产凭证被停用,其会话被强制注销。 此后,所有此类帐户都将被删除或更改。
数据保障及安全
AhaSlides 制作服务、用户内容和数据备份托管在亚马逊网络服务平台(“AWS”)上。 物理服务器位于两个 AWS 区域的 AWS 数据中心:
- 美国北弗吉尼亚州的“美国东部”地区。
- 德国法兰克福的“EU Central 1”地区。
截至该日期,AWS (i) 获得了 ISO/IEC 27001:2013、27017:2015 和 27018:2014 合规性认证,(ii) 被认证为 PCI DSS 3.2 一级服务提供商,并且 (iii) 通过了 SOC 1、SOC 1和SOC 2审核(附半年报)。 有关 AWS 合规性计划的更多详细信息,包括 FedRAMP 合规性和 GDPR 合规性,请访问 AWS的网站.
我们不为客户提供在专用服务器上托管AhaSlides的选择,也不能选择在单独的基础架构上使用AhaSlides。
未来,如果我们将我们的生产服务和用户数据或其任何部分转移到不同的国家或不同的云平台,我们将提前 30 天向所有注册用户发出书面通知。
采取安全措施来保护您和您的数据,包括静止数据和传输数据。
静止数据
用户数据存储在Amazon RDS上,其中服务器上的数据驱动器使用全盘,行业标准AES加密以及每台服务器的唯一加密密钥。 AhaSlides演示文稿的文件附件存储在Amazon S3服务中。 每个此类附件都分配有一个唯一链接,该链接具有不可猜测的,加密强度高的随机组件,并且只能使用安全的HTTPS连接进行访问。 可以找到有关Amazon RDS Security的更多详细信息 点击此处。 可以找到有关Amazon S3 Security的更多详细信息 点击此处.
传输中的数据
AhaSlides 使用行业标准传输层安全性 (“TLS”) 来创建使用 128 位高级加密标准 (“AES”) 加密的安全连接。 这包括在 Web(包括登陆网站、Presenter Web 应用程序、Audience Web 应用程序和内部管理工具)和 AhaSlides 服务器之间发送的所有数据。 没有用于连接到 AhaSlides 的非 TLS 选项。 所有连接都是通过 HTTPS 安全进行的。
备份和数据丢失防护
数据将连续备份,如果主系统发生故障,我们将拥有一个自动故障转移系统。 我们通过Amazon RDS上的数据库提供商获得了强大而自动的保护。 可以找到有关Amazon RDS备份和还原承诺的其他详细信息 点击此处.
用户密码
我们使用PBKDF2(带有SHA512)算法对密码进行加密(散列和加盐处理),以保护它们在受到破坏时免受伤害。 AhaSlides永远不会看到您的密码,您可以通过电子邮件对其进行自我重置。 实现了用户会话超时,这意味着如果登录的用户在平台上未处于活动状态,则将自动注销该用户。
付款方式
我们使用符合 PCI 标准的支付处理器 Stripe 和 PayPal 来加密和处理信用卡/借记卡支付。 我们从不查看或处理信用卡/借记卡信息。
安全事件
我们已经采取并将保持适当的技术和组织措施,以保护个人数据以及其他数据免遭意外或非法破坏或意外丢失,更改,未经授权的披露或访问以及所有其他非法形式的处理(“安全事件”)。
我们有事件管理流程来检测和处理安全事件,一旦发现安全事件,便应立即报告给首席技术官。 这适用于AhaSlides员工和所有处理个人数据的处理器。 内部记录并评估了所有安全事件,并针对每个事件制定了行动计划,包括缓解措施。
安全修订时间表
本节显示AhaSlides多久进行一次安全修订并进行不同类型的测试。
| 活动 | 频率 |
| 员工安全培训 | 就业初期 |
| 撤销系统,硬件和文档访问 | 就业结束时 |
| 根据最小特权原则,确保所有系统和员工的访问级别都是正确的 | 一年一次 |
| 确保所有关键系统库都是最新的 | 不断地 |
| 单元和集成测试 | 不断地 |
| 外部渗透测试 | 一年一次 |
物理安全
我们办公室的某些部分与其他公司共享建筑物。 因此,对我们办公室的所有访问均被锁定为24/7,并且我们要求使用带有实时QR码的Smart Key Security System强制员工和访客在门口登机。 此外,访客必须在我们的前台办理登机手续,并始终需要护送整个建筑物。 CCTV覆盖了24/7的出入站点,并在内部向我们提供了日志。
AhaSlides 的制作服务托管在亚马逊网络服务平台(“AWS”)上。 物理服务器位于 AWS 的安全数据中心,如上文“数据安全”部分所述。
更新日志
- 2021 年 XNUMX 月:使用新的附加服务器位置更新“数据安全”部分。
- 2020年XNUMX月:更新至以下部分:物理安全。
- 2020年XNUMX月:第一个页面版本。
有问题想问我们吗?
保持联系。 给我们发电子邮件 嗨@ahaslides.com.