最后更新:2025 年 4 月 10 日
我们高度重视安全。这不仅是一句声明,更是我们规划、开发和交付产品的方式。
基础设施安全
Shifton 的服务和数据托管在 EU 区域
网络
我们所有的服务器都位于自有的虚拟私有云(VPC)中,并配有网络访问控制列表(ACLs),可防止未经授权的请求进入我们的内部网络。
权限与身份验证
对客户数据的访问仅限于因工作需要而获得授权的员工。
加密
所有数据在传输过程中均采用高强度加密。所有端点,无论是界面还是 API,都仅限于 HTTPS 访问。我们严格遵循最佳实践,例如使用 TLS 1.3、HSTS 和 CAA,并始终在以下测试中取得最佳结果
Qualys SSL labs 测试
事件响应
我们制定了处理安全事件的协议,其中包括升级流程、快速缓解和事后复盘。
灾难恢复、备份与监控
我们采用多区域恢复和故障转移部署,以确保客户数据安全和高可用性。我们监控所有系统组件,并有效响应出现的问题。
产品安全功能
SSO
Shifton 支持基于 OpenID 的 SSO,适用于两家最受欢迎的提供商
- Microsoft Entra ID(即原 Azure AD)- 同时支持个人和企业账户。Shifton 是经过验证的 Microsoft 合作伙伴,我们的解决方案遵循所有最佳实践,IT 团队可在以下平台轻松安装
Azure Marketplace - Google workspace 账户,包括个人和企业账户
权限
Shifton 实现了一套精密的 RBAC 系统,并为所有客户提供多种内置角色。结合多级层次结构,它支持设置不同的细粒度访问级别。
密码
所有密码均通过 bcrypt 库进行单向哈希处理,绝不以明文形式存储。
企业级功能
企业客户可能有资格使用额外的安全功能,其中包括
- 额外的自定义角色
- 控制密码强度的能力
- 控制登录方式的能力(登录名/密码、Microsoft SSO、Google SSO)
- 将邀请限制在特定域名的能力
员工安全承诺
政策
我们制定了严格清晰的安全和隐私相关政策。所有员工都需接受培训,以熟悉并及时了解所有变更。
保密
所有员工合同均包含保密协议。
子处理方
与任何现代 SaaS 产品一样,我们使用其他平台来实现某些功能。这些产品和服务都无法访问客户数据,仅获取实现功能所需的最少数据
Stripe
我们使用 Stripe 作为支付处理方。有关其安全性和 PCI 合规性的详细信息,可在 Stripe 的
安全页面查看。
Microsoft
用于 SSO(Entra ID)和网站分析
用于网站分析、SSO、推送通知发送、Maps 平台和其他功能
与 Crisp 的集成
为确保与客户进行安全便捷的沟通,我们使用 Crisp.chat – 一个符合高安全标准的现代在线聊天与支持平台。
您可以查看 Crisp.chat 的安全实践。