访问控制
云服务托管平台是亚马逊网络服务(AWS)。具体来说,ProtoPie Enterprise Cloud托管在AWS数据中心的专用区域内。ProtoPie Enterprise On-Premises是唯一一个由客户组织内的物理服务器进行自主托管的ProtoPie解决方案。
本页面提供了关于访问控制策略和程序的信息,包括ProtoPie Enterprise Cloud环境的用户帐户管理,身份验证和授权协议。
身份验证
ProtoPie Enterprise Cloud由本公司的两个管理员管理。管理员分配了一个唯一的用户ID和密码。没有其他访问数据的方法。
通过安全令牌服务(Security Token Services,STS),并为所有帐户使用多重身份验证(MFA),无论其权限级别如何。
密码每90天过期,必须:
- 至少8个字符长
- 包含至少一个大写字母(A-Z)
- 包含至少一个小写字母(a-z)
- 包含至少一个非字母数字字符(! @ # $ % ^ & * ( ) _ + - = { } | ')
帐户可以修改其密码,但系统记住每个用户的最近10个密码并防止重复使用。
密码在存储或在系统内传输时加密,以保护它们免受未经授权的披露和修改。
允许最多五次失败的登录尝试,但被锁定的用户可以随时请求管理员解锁其帐户。
用户可以同时登录,以启用在ProtoPie中跨设备的连接。
会话管理
采用基于用户身份保障的唯一一次性会话密钥生成JSON Web Tokens(JWT)。
这些会话密钥在180天的有效期内有效,被加密并安全地存储在用户的浏览器中。一旦由服务器发出,这些密钥就存储在每个客户端浏览器的缓存区域中,确保了安全的会话管理。
授权
通过实施两个关键策略职责分离和最小特权访问来确保数据安全。
为了有效地管理访问控制,并依靠AWS身份和访问管理(IAM),实现了基于角色的访问控制(RBAC)。
身份&访问管理
身份和访问管理过程采用正式和结构化的方法,包括以下步骤:
- 用户ID请求:用户通过指定的用户ID请求表单发起过程。
- 部门领导审查:请求经过各自部门领导的全面审查。
- 安全官批准:安全官仔细评估请求,并根据建立的安全准则授权。
- 帐户创建:经批准后,系统管理员创建帐户,确保平稳的入职流程。
身份&访问管理审核每月进行一次,当责任发生变化或帐户离开公司时也会进行。
远程访问
ProtoPie Enterprise Cloud由我们公司的两个管理员管理。虽然我们无法提供具有授权服务器访问的帐户的全面列表,但可以使用ID管理控制台验证信息。
对企业环境的访问仅由企业运营部门的管理员授权。在产品工程师需要进行临时访问以进行故障排除时,可以授予权限,故障排除完成后可以撤销权限。
通过AWS SSM(Session Manager)为服务器提供安全远程访问。对EC2实例的访问仅限于我们企业运营部门的管理员。
要访问EC2实例,管理员使用启用了多重身份验证(MFA)的SSH登录到AWS管理控制台。所有通信都使用TLS 1.2进行加密。
捕获详细日志,包括以下信息:
- 谁访问了特定的EC2实例和访问的时间戳。
- 谁在特定的EC2实例上工作和相应的时间戳。
这些日志定期通过CloudTrail进行审核,确保透明度。
与通信会话相关的网络连接在30分钟的不活动后自动终止。
为了保护远程访问系统的完整性,管理员未获得连接智能设备(例如iPad,智能手机或PDA)的授权。
入职和离职
为了确保劳动力的完整性,人力资源部门为新员工进行了全面的入职流程。这包括与他们的前同事和主管进行参考检查,以验证他们的经验和教育背景。但是无法询问信用或犯罪历史。
ProtoPie 公司总部位于韩国,种种因素导致在韩国进行背景调查非常具有挑战性。其中重要因素之一就是韩国禁止使用警方记录进行犯罪历史的调查。另外,数据保护法要求在公民同意的情况下,才能将这些个人信息公开。作为一家韩国企业,我们必须遵守这些法律法规,以避免造成任何法律后果。
在员工离职时,人力资源部门会及时通知安全团队他们的最后工作日。在指定的日期,员工的帐户将被停用,确保他们不再访问我们的系统和数据。除非另有要求,否则其帐户将在两周后永久删除。