Qualtir 的安全保障

认证与合规

浏览器和服务器之间传输的所有数据都使用TLS 1.2或更高版本加密。静态数据使用AES-256加密。

• 传输中：TLS 1.2+加密
• 静态：AES-256加密
• 密钥管理：通过Google Cloud Key Management Service
• 数据库在存储级别加密

我们遵循最小权限原则。对客户数据的访问受到严格控制。

• 基于角色的访问控制（RBAC）
• 所有员工账户必须使用多因素身份验证（MFA）
• 维护访问日志并定期审查
• 特权访问有时间限制且需要额外审批
• 员工离职时立即撤销访问权限

我们的整个基础设施托管在Google Cloud Platform（GCP）上。

• 数据托管在欧盟和美国地区的GCP数据中心
• 网络级防火墙和DDoS保护
• 基础设施自动漏洞扫描
• 隔离生产环境的私有VPC网络
• 第三方安全公司的定期渗透测试

我们持续监控系统的异常活动、安全威胁和性能异常。

• 具有实时警报的24/7自动监控
• 安全信息和事件管理（SIEM）集成
• 年度第三方安全审计和渗透测试
• 针对ISO 27001控制的定期内部审计
• 至少保留12个月的综合审计日志

我们有定期测试和更新的文档化事件响应计划。

• 定义的升级路径和随叫随到的安全响应团队
• 确认事件后1小时内的目标遏制
• 确认违规后72小时内通知客户（GDPR要求）
• 防止再次发生的事件后审查和补救

我们只在提供服务所需的时间内保留您的数据。

• 账户关闭后90天内删除账户数据
• 备份保留30天，然后永久销毁
• 对所有存储介质应用安全删除程序
• 30天内处理数据删除请求

我们的Google Workspace扩展程序采用最小权限方法设计。

• 遵守Google API服务用户数据政策
• 不在我们的服务器上永久存储Google Doc、Sheet或Drive内容
• 所有Google账户授权使用OAuth 2.0
• 用户可随时通过Google账户设置撤销访问权限
• 扩展程序在发布前经过Google的安全审查流程

8. 负责任的披露

我们欢迎安全社区负责任地披露安全漏洞。如果您发现潜在的安全问题，请联系我们： contact@qualtir.com。我们承诺在48小时内确认您的报告，并与您合作尽快解决问题。

关于安全的问题

如果您对我们如何保护您的数据有任何疑问，我们很乐意提供帮助。