安全与资质

合规层面

我们通过了严格的SOC2认证，并持续合规审计

安全政策：

严格按照SOC2标准，员工培训并签订了21个安全政策并考核，参与了17个安全相关的项目建设，包含但不限于：

• 风险意识课程培训
• 第三方服务使用标准培训
• 隐私保护培训
• 远程办公与个人设备使用规则培训
• 数据管理项目建设培训
• 终端安全系统建设
• 云服务安全系统建设
• 风险评估与控制系统建设

安全审计：

每年接受权威机构的数据安全审计

渗透测试：

邀请专业团队对系统定期进行渗透测试

权限层面

用户对自己的数据拥有绝对的管理权

管理权限：

管理员可以对成员授权，决定谁可以查看、编辑哪些数据

操作日志：

用户操作留痕，记录用户的登录、浏览、修改记录；关键页面覆盖带有用户 ID 的水印

删除数据：

用户可一键删除自己的数据，Elven 不会保留任何备份

技术层面：

对数据传输进行加密，数据储存采取多地备份

数据存储端

• S3加密文件存储 + 多主从数据库 双存储架构
• 多云多地区互备方案
• 关键敏感数据信息脱敏（动态数据掩码方案）存储方式，防止内外信息泄漏
• 采用同态加密技术，对客户数据全程保障

Web 端

• 域名全域 企业级 SSL/TLS 加密保护通信安全
• 全面接入 Cloudflare 防止 DDos，恶意抓取等
• 所有 API 采用 JWT 协议加密传输，防篡改，防冒充
• 所有用户行为指纹留痕及操作溯源，防多点登录，异常行为进行邮件通知
• 灵活可配置异常行为预警

开发运维端

• 代码仓库严格管控权限
• 采用 kms 保证 密码不在代码中明文
• 采用 跳板机 机制，保证所有生产机器运维都不暴露在外网
• 严格控制生产机所有权