安全保障

股书平台上所有的信息都属于客户,客户拥有最终的所有权。保护用户隐私、数据安全是股书建立的第一基准。股书从合规安全、人员安全、数据安全、业务安全、系统和网络安全、基础设施安全以及灾难恢复与业务连续性这七个方面,为用户提供安全保障。

合规安全

股书按照国内外行业信息安全标准与用户的最佳实践,不断完善信息安全管理和技术体系,为客户提供经第三方权威机构测评及审核过的服务。

安全体系

股书根据信息安全管理方面最权威的国际标准ISO/IEC27001,推动信息安全体系(简称ISMS)的建立与实施, 以风险管理为公司管理核心来保密用户信息。

政策合规

股书根据国家信息安全相关法律、法规要求来制定实施程序,防止数据被不正当披露、篡改与破坏。

人员安全

股书在员工入职前进行缜密的背景调查,以确保员工的背景、职业履历符合公司的行为准则、保密规定、商业道德和信息安全政策。

员工在入职后即签署保密协议,严格遵守股书公司的安全政策和保密要求。股书对相关员工会进行信息安全培训,确保员工按照安全策略来管理用户数据。

数据安全

股书从数据传输、存储、访问至销毁,均使用了数据分级、数据加密等措施来保障数据的完整、保密。

• 传输安全

利用多层敏感数据传输, 股书全程使用SSL加密(与网上银行同等安全级别的加密技术),进一步降低数据被破解的可能性。

• 存储安全

数据库中所有涉及用户机密的部分,股书全部采用密文保存,即便系统管理人员也无法得到原文,且密钥可由企业用户掌握。

• 访问安全

股书的身份权限管理体系采取了集中式SSO单点登录(Cookie/Token加密),给用户无缝的登录体验。用户登录后,系统根据用户的角色,权限集合配对其功能操作。股书使用了专署数据库帐户,并配置最小的访问控制。通过ISV应用集中鉴权和授权体验,除股书产品所涉及的功能以外,没有任何其他形式可以访问用户数据,以此为用户提供访问控制保障。

• 数据销毁

对于需要销毁数据的客户,股书会彻底清除其系统中所有的数据。

• 数据保障

股书系统使用了阿里云的RDS数据存储服务,可保障 99.99% 的可用性和耐久性; RDS作为数据存储服务,实现多数据中心主实时同步,并保证每个数据中心多副本,实现实时备份。

• 安全审计

股书详细跟踪记录所有的数据活动,实时分析语境和行为过滤,从而主动控制用户访问所生成的审计信息。生成的报告涵盖所有数据活动,如登录失败、权限升级、计划变更、非法访问、敏感数据访问等,使所有用户操作有迹可寻。

业务安全

• 账号安全

股书依托口令和访问控制策略,禁用弱口令,监控非法登录。股书会显示上次登录的设备和时间、地点,以帮助用户识别是否为正常登录。同时,通过账号监测平台, 一旦发现同设备批量尝试登录账号,会对用户进行监控报警;发现攻击行为,会将该设备拉至黑名单。

• 暴力破解&撞库

股书账号基于可信设备,来判断用户是否需要进行二次验证,同时后端实时监测账号是否有破解、撞库与刷库等攻击行为,告警通知及处置恶意请求;依据信息安全风险库,股书会检测账号是否存在风险,发现存在风险的账号及时告知用户,进行账号密码的升级。

• 系统登录日志

股书详细记录用户的登录日志,用户可以查看上次登录的时间、地点、和登录终端,让用户轻易发现任何异常登录。

• 管理员操作日志

股书提供详细的管理员操作日志,以记录系统的用户配置、权限配置等信息, 保证用户内部的权限安全 。

• 业务权限控制

股书严格控制业务之间的权限隔离,保障用户仅能在权限范围内对其数据进行访问操作。

• WAF(Web应用防护系统)

股书使用WAF对DDOS攻击,SQL注入等攻击手段进行严格的过滤和排除。

系统和网络安全

• 系统安全

a.系统软件安全配置

股书的线上服务运行在可信的操作系统上,从可信的安装源下载、安装软件。一旦安全团队跟踪发现服务器上的软件有安全漏洞,会通过应急响应流程,推动基础软件的漏洞修复。

b.系统登录授权访问

授权管理员需要先登录经过堡垒机之后,才能登录其他生产服务器。堡垒机经过特别加固,只对特定的办公网开放,并部署有操作日志记录和审计系统。

• 网络安全

a.股书生产系统通过VPC(虚拟私有网络)与外界网络隔离,并在VPC中 划分公有子网和私有子网。不同的子网有不同的安全访问策略与限制。

b.网络访问控制

股书的各类服务,只有在经过安全团队审核之后,才能发布上线并对公众服务。高危端口和服务禁止对互联网开放。内部后台应用仅对办公网开放。

不同子网及子网内不同主机分别通过ACL映射、安全组、iptables防火墙进行不同粒度的访问控制,保障安全限制无死角。

c.流量劫持

为了防止用户的隐私数据在传输过程中被窃听或者泄露,公司的重要业务都启用 https协议来代替http协议。

公司的DNS团队通过多种手段在全国范围内监控重要域名的解析结果,一旦发现有严重的DNS劫持,有专业的安全工程师快速响应。

d.DDoS安全防御

股书在CDN、反向代理服务和iptables等多个层面对DDos进行防护。

基础设施安全

股书所有数据均存储在高度安全的阿里金融云数据中心内,由阿里金融云提供强大的保护措施,帮助保护客户隐私。

灾难恢复与业务连续性

股书能够应对线上各类风险,具有自动调整和快速反应的能力,保障业务连续运转。以国际安全认证标准保障服务的连续性,服务可用性可达99.9%。

© 2016 股书 京ICP备16018592号 All right reserved.

您的 “股书” 账号即将开通

请如实填写如下信息,以便我们的商务顾问可以方便联系您

您的 “股书” 账号即将开通

请继续完善您所在公司的相关信息,方便我们的商务顾问顺利的帮助您开通及使用股书

  • 公司名称
  • 融资轮次
    请选择您公司现在所处融资轮次
    1. 未融资
    2. 种子轮
    3. Pre-A轮
    4. A轮
    5. B轮
    6. C轮及以后
  • 公司规模
    请选择您公司的规模
    1. 10 ~ 50人
    2. 50 ~ 500人
    3. 500人以上
  • 是否有期权计划
    请选择您公司是否有期权计划
    1. 暂无期权计划
    2. 已有期权计划
  • 上一步 申请

您的 “股书” 账号即将开通

我们已收到您的开通请求,稍后我们的商务顾问将会主动联系您,

帮助您的企业开通股书,同时安排时间将对您的企业管理员进行使用培训。

关闭

您的 “股书” 账号开通失败

请重新申请或联系股书客服service@kapbook.com

关闭