安全管理措施

Shifton的服务和数据托管在欧洲地区

员工安全管理政策与实践

我们所有的服务器都在我们自己虚拟私人云 (VPC) 内，其网络访问控制列表 (ACLs) 阻止未授权请求进入我们的内部网络。

权限与认证

对客户数据的访问仅限于因工作需要而被授权的员工。

加密

所有数据在传输时采用高级别加密加密。所有端点，无论是接口还是API，都限制为HTTPS访问。我们执行最佳实践，如使用TLS 1.3、HSTS和CAA，总是获取
Qualys SSL实验室测试最佳结果

事件响应

我们实施了处理安全事件的协议，其中包括升级程序、快速缓解和事后分析。

灾难恢复、备份和监控

我们有一个多区域恢复和故障转移部署，确保客户数据安全和高可用性。我们监控所有系统组件并有效响应出现的问题。

单点登录 (SSO)

Shifton支持基于OpenID的SSO，适用于两个最受欢迎的提供商

• • Microsoft Entra ID（如Azure AD）——支持个人和商业账户。Shifton是验证的Microsoft合作伙伴，我们的解决方案遵循所有最佳实践，并可由IT团队轻松安装在

Azure Marketplace

• Google Workspace账户，包括个人和商业账号

权限

Shifton实施了一个先进的角色基于访问控制（RBAC）系统，并为所有客户提供了多种内置角色。结合多层次结构，它允许设置应用程序的不同细粒度访问级别。

密码

所有密码都通过bcrypt库进行单向散列，绝不以明文形式存储。

企业功能

企业客户可能有资格获得额外的安全功能，其中包括

政策

我们有关于安全和隐私的严格明确的政策。所有员工都经过培训，以熟悉并及时了解所有变化。

保密性

所有员工合同都包括保密协议。

Stripe

我们使用Stripe作为我们的支付处理器。关于他们的安全性和PCI合规性的信息可以在Stripe的
安全页面找到。

Microsoft

用于SSO（Entra ID）和网站分析

Google

用于网站分析、SSO、推送通知传递、地图平台和其他功能