Zoho CRM-数据安全行业：安全白皮书

1Security1Security数据安全是企业数字化转型无法绕开的关键话题1.1从数字经济到数据安全立法2021年中国数字经济规模总量达到45.5万亿元，占到国内GDP总量的39.8%，这也意味着，无论是在我们的个人生活还是工作中，数字经济已经渗入到方方面面。因此，对数据安全的重视程度也愈发明企业不重视数据安全，几乎是“摸着石头过河”的状态，再加上相关监管的缺失，引发的数据安全问11.2企业如何应对数据安全带来的挑战种观点是对SaaS产品的误解。数据安全所带来的危机是迫在眉睫的，企业应该如何在较少的投入下，22Security2Security云服务背景下，数据安全对企业的重要性2.1云服务背景下的数据安全架构信息安全，ISO（国际标准化组织）的定义为：为数据处理系统建立和采用的技术、管理上的安全保护，为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。例如ISO硬件、服务器等设备安全，以及防止数据遭到破坏，在第三章内容中，我们会着重介绍到Zoho的3为了保护敏感数据，我们将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho个人数据安全，或者说隐私保护，是数据安全中的一个重要组成部分。例如国内的《个人信息保护2.2为什么要注重云服务数据安全2021年4月，Facebook近5.33亿用户的信息地址等信息，起因在于2020年的漏洞，导致用户能够使用Telegram机器人来利用Facebook系统。这称滴滴出行APP存在严重违法违规收集使用个人信息问题，因此被下架整顿；同年8月，阿里43Security3SecurityZoho的安全保障3.1Zoho安全策略组成我们聘请权威机构对Zoho的每一位员工进行调查，核实员工是否有犯罪记录，工作经历以及教育背5Zoho员工使用的都是新的OS版本设备，并配置防病毒软件。我们要求所有工作站都必须采用Zoho的每个数据中心都有7x24x365夜视摄像头进行日夜监控，监了保护敏感数据，我们将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho生产基 6开发和测试活动配置的所有服务器都进行了强化处理（通过禁用未使用的端口和帐户，删除默认密码 的软件开发生命周期（SDLC）要求遵守安全编码准则，使用代码分析器工传输过程：通过强大的加密协议，保护来自公用网络传输到我们服务器的所有客户数据。对于所有连7 动数据库中删除的数据将在3个月后从备份中删除。如果您的未付费帐户连续120天处于停用状态，我Zoho提供了单点登录（SSO用户可以使用相同的登录页面和身份验证凭据录任何Zoho服务时，仅通过我们集成的身份和访问管理（IAM）服务即可。我们还支持SAML单点登8 9为了确保备份数据的安全，我们在备份服务器中使用了独立磁盘冗余阵列（RAID）。所有备份都会定注意陌生电子邮件中的恶意软件威胁，这些电子邮件，网站和链接可能会通过模拟3.2Zoho安全策略组成基于SaaS模式，我们采用云安全责任共担模型，与用户、企业共同创建数据安全环境。安全责任共担在责任共担模型中，Zoho负责构建安全、可靠和运行稳定的产品，我们在维护云基础设施的同时，客），我们负责隔离客户存储在我们这里的数据。每个客户的服务数据使用框架中的一组安全协我们将确保存储在弹性存储上的应用程序数据跨数据中心共同责任Zoho会做什么Zoho给予客户的建议身份和访问管理Zoho通过以下方式提供用于通过身份和访问管理(IAM)服务管理用户帐户的基础设施：●用户注册、注销选项以及如何使用它们的规范。●用于管理云用户访问权限的功能。●强大的身份验证技术，例如多因素身份验证和IP地址限制。●实施强大的用户访问管理控制。●根据组织的策略配置强密码并保护它们。●为组织的用户启用多重身份验证。●管理用户帐户和权限根据最低权限原则配置用户角色。●定义组织帐户的管理员并拥有适当的所有权转移流程。采取必要措施确保您的组织不会失去对其管理员帐户的控制。●定期审查有权访问数据的用户列表，并删除不应该拥有数据的任何人的访问权限。●经常查看与组织的用户帐户相关联的设备，并移除未使用或未经授权的设备。●监控您组织的用户帐户是否存在恶意访问或使用情●通知任何未经授权使用贵组织帐户的行为。●让您的用户了解良好密码管理的重要性、凭据重用、社交登录和网络钓鱼攻击的风险。Zoho为您提供一个平台来管理您的数据：●用于管理员和用户级别控制的数据共享功能。●客户数据的审计功能可提供重要活动的透明度并跟踪更改。●数据互操作性——对数据和配置进行完整备份以将全部或部分数据迁移到另一个SaaS提供商的选项。●数据保留和处置——只要您选择使用Zoho服务，我们就会将数据保存在您的账户中。一旦您终止您的Zoho用户帐户，您的数据将在每六个月发生一次的下一次清理期间从活动数据库中删除。从活动数据库中删除的数据将在三个月后从备份中删除。●访问限制功能可限制员工访问客户数据，并确保他们只有在有特定原因时才能这样做。●在处理属于特殊类别的信息（例如，个人/敏感数据）时进行尽职调查，通过应用适当的控制来遵守适用法律的要求。●配置适当的共享和查看权限。●定期审查审计报告以识别任何可疑活动。●与Zoho保持最新的联系信息。●一旦您停止使用我们的服务，就将您的数据从系统中取出。否则将被永久删除，没有任何恢复的余地。Zoho致力于通过以下方式对我们的应用程序进行安全集成和扩展：●市场应用程序：在向我们提交应用程序后执行功能测试、安全测试和隐私测试。我们还进行产品审查和内容审查。●子处理者：评估我们希望签约的子处理者的安全和隐私实践，以确保它们符合Zoho的信息安全和隐私标准。然后，我们与他们签订适当的数据保护协议。●我们会审查供应商的隐私政策和服务条款，并确保他们的运营坚持下去。●在考虑共享到第三方环境的数据后启用或禁用第三方集成。您必须查看第三方服务关于数据收集、使用或披露的条款和隐私政策。●标记您是否愿意在每次安装扩展程序时与供应商共享您的详细信息的偏好。●在安装之前评估应用程序的适用性和请求权限的合理性。●将Marketplace应用程序中发现的任何恶意行为通知Zoho。数据主体权利●提供使客户能够迎合和保护客户权利的功能。●当您的客户直接联系我们以行使他们的权利时，通知您他们的请求。●尊重并处理客户提出的数据访问、更正、删除和限制处理其个人信息的请求。加密Zoho通过以下方式在传输和静态时使用加密保护您的数据：●传输中的数据：通过公共网络传输到我们服务器的客户数据使用强大的加密协议进行保护。我们要求与我们服务器的所有连接都使用传输层安全性(TLS1.2/1.3)加密和强密码，用于所有连接，包括WebIMAP/POP/SMTP访问。●静态数据：敏感的客户数据使用高级加密标准(AES)256位算法进行静态加密。静态加密的数据因您选择的服务而异。我们使用内部密钥管理服务(KMS)拥有和维护密钥。●确定您的加密需求。对于静态数据，在许多情况下，在使用我们的服务时，您可能需要负责定义哪些字段需要加密。●当我们云中的数据下载或导出到您的环境中或在Zoho中的集成或任何其他第三方集成中同步时，您需要确保应用相关的加密控制。例如，在您的设备上启用磁盘加密并使用启用密码保护的导出功能等。备份●维护使用AES-256位算法加密并安全存储的系统级备份。自动运行完整备份的完整性和验证检查。●启用数据恢复请求并在保留期内提供对其的安全访问。为客户提供导出和备份数据的功能。●为您的数据安排备份，从其各自的Zoho服务中导出，并在必要时将其本地存储在您的基础设施中。您有责任以安全的方式存储它。事件管理●报告我们知晓违规事件、影响细节，以方便提供适当的建议处理，对于有关个人或组织用户的特定事件，我们将通过注册邮件通知相关方。●跟踪此类事件并关闭它们。●如果出现违规行为，请采取Zoho建议的措施。●满足您的数据泄露披露和通知要求，例如在相关时通知您的最终用户和数据保护机构。意识和培训●培训我们的员工具有安全意识并遵守安全的开发标准。新雇用的员工除了通过信息电子邮件、演示文稿和我们内联网上提供的资源定期接受安全意识培训外，还参加强制性安全和隐私培训。●培训我们的员工正确处理云服务客户数据。●使用我们服务的标准和程序。●如何管理与我们的服务相关的风险。●一般系统和网络环境的风险。●适用的法律和监管注意事项。政策与合规●我们制定了全面的风险管理计划并有效实施了控制措施。●我们在经营所在的各个司法管辖区的法律范围内开展业务。●我们根据我们的合同要求提供遵守适用法律的证据。●我们将在适用法律允许的范围内协助对客户进行DPIA评估。●评估适用于您的法规和法律，并审查我们对您业务所需的法规和标准的遵守情况。您可以要求提供更多信息作为我们合规的证据。●了解我们的政策评估方法以及我们如何处理数据。●在处理数据之前/期间按照适用于您组织的数据保护法的要求进行DPIA。●在您处理任何个人/敏感数据之前，请评估您的合法依据。如果您的合法依据是同意，请确保您获得客户的同意。●根据我们提供的信息评估我们基于云的服务的适用性，并确保其足以满足您的合规需求。●了解Zoho服务中托管的数据的风险概况和敏感性，并应用适当的控制。4Security4SecurityZoho的加密安全管理体系4.1什么是加密和解密以检索原始数据。密钥是保密的。如果没有密钥，任何可能成功访问数据的人都只会看到一个2.派生数据，即不是由您直接给到的数据，而是从您的数据之上派生而来的数据。例如，身份验证令 4.2传输中的加密当您使用Zoho服务时，您的数据会通过网络从您的浏览器传输到的双方进行身份验证，以及对要传输的数据进行加密，来确保您和Zoho服务之间的数据传输是安全 ），我们在与第三方通信时，遵循https协议。对于涉及敏感数据和用例的交易，我们采用非对称加密4.3静态加密4.4应用级加密服务的一部分代表您存储的数据，都可以作为文件或数据字段接收。在Zoho，每一个数据类 初始化向量（IV）：IV是启动加密过程的随机值，正是这个随机值，可以确保每个模块/单元的加密方），加密请求都允许使用IVs时，起始模块是不同的，攻击者无法推断出任何可能帮助他们解码加密数据的密级别，在此级别中，整个数据表格将获得一个IV，这意味着，整个密文模块可用于表格内的搜索查在使用Zoho服务时，您创建或附加的文件保存在我们的分布式文件系统（DFS）中。静态加密的文件定期进行数据备份，是保证数据安全的必要方式。我们通常按照两种计划来进行数据备份：按天和按4.5密钥管理我们将密钥以物理的方式分开存储，以达到最大的保护，即使有人获取了其中之一的密钥，也无法解在默认情况下，对密钥管理服务器的访问会被受到限制，并且只允许Zoho的特定人员访问。任何其他4.6我们在服务中加密了哪些数据？4.7全盘加密此密钥用于加密/解密驱动器中的数据。此密钥由供应商在制造过程中生成，当我们获得带有SED磁盘 5Security5SecurityZoho的隐私安全管理体系5.1Zoho的隐私承诺Zoho向来注重隐私和数据安全，早在隐私问题还不像当今如此严峻、更没有手头的特定交易所需的信息。Zoho的用户可以清晰地知道他们哪些信息被搜集，可以自由选5.2Zoho收集并控制的信息）；和服务;5.3Zoho代表用户所处理的信息