网络

我们所有的服务器都在我们自己的虚拟私有云（VPC）中，拥有网络访问控制列表（ACL），防止未经授权的请求进入我们的内部网络。

权限和认证

对客户数据的访问仅限于因工作需要而被授权的员工。

加密

所有数据在传输过程中都通过高级加密进行加密。所有终端，无论是接口还是API，均限制为HTTPS访问。我们实施最佳实践，如使用TLS 1.3、HSTS和CAA，并始终在
Qualys SSL实验室测试中获得最佳结果。

事件响应

我们实施了处理安全事件的协议，包括升级程序、快速缓解和事后分析。

灾难恢复、备份和监控

我们拥有多区域恢复和故障转移部署，确保客户数据的安全性和高可用性。我们监控所有系统组件，并有效响应出现的问题。

单点登录（SSO）

Shifton支持基于OpenID的SSO，适用于两个最受欢迎的提供商

• Microsoft Entra ID（前称Azure AD）——支持个人和企业账户。Shifton是经过验证的Microsoft合作伙伴，我们的解决方案遵循所有最佳实践，并可通过IT团队在
  Azure Marketplace上轻松安装。
• Google工作区账户，支持个人和企业账户

权限

Shifton实施了一个复杂的基于角色的访问控制（RBAC）系统，并为所有客户提供多个内置角色。结合多级层次结构，它允许设置应用程序不同的细粒度访问级别。

密码

所有密码通过bcrypt库进行单向哈希处理，绝不以明文形式存储。

企业功能

企业客户可能有资格获得额外的安全功能，包括

政策

我们有严格明确的安全和隐私政策。所有员工都经过培训，熟悉并及时了解所有变化。

保密性

所有员工合同都包含保密协议。

Stripe

我们使用Stripe作为我们的支付处理器。有关其安全和PCI合规性的详细信息，请访问Stripe的
安全页面。

Microsoft

用于SSO（Entra ID）和网站分析

Google

用于网站分析、SSO、推送通知传送、地图平台和其他功能