最後更新日期：2024年4月3日

本安全聲明適用於Kabob Cloud Inc.及其附屬公司提供的產品、服務、網站和應用程式，這些產品、服務、網站和應用程式的品牌名為“Kabob Cloud”，除非另有註明。我們在本聲明中將這些產品、服務、網站和應用程式統稱為“服務”。本安全聲明也是Kabob Cloud客戶使用協議的一部分。

Kabob Cloud重視客戶將其數據託管給我們的信任。我們認真對待保護和保障您的信息的責任，並致力於就我們的安全實踐進行完整透明的說明，如下所述。我們的隱私聲明也進一步詳細說明了我們處理您數據的方式。

Kabob Cloud的信息系統和技術基礎設施托管在世界一流的SOC 2認證數據中心（AWS）中。這些數據中心的物理安全控制包括24x7監控、攝像頭、訪客記錄、入口限制以及您在高安全數據處理設施中所期望的所有措施。

Kabob Cloud已實施符合全球公認的信息安全框架的治理、風險管理和合規性實踐。Kabob Cloud已獲得ISO 27001認證。

僅通過安全連接（例如VPN、SSH）才允許訪問Kabob Cloud的技術資源，並且需要多因素身份驗證。我們的生產密碼策略要求複雜性、過期時間和鎖定，並禁止重複使用。Kabob Cloud根據最低特權規則授予訪問權限，每季度審查權限並在員工離職後立即撤銷訪問權限。

Kabob Cloud定期維護並更新其信息安全政策，至少每年一次。員工必須每年承認這些政策並接受與工作職能相關的額外培訓。培訓旨在符合Kabob Cloud適用的所有規定和法規。

Kabob Cloud在聘用時進行背景審查（在適用法律和國家允許或便利的範圍內）。此外，Kabob Cloud向所有人員傳達其信息安全政策（他們必須承認此事）並要求新員工簽署保密協議，並提供持續的隱私和安全培訓。

Kabob Cloud設有專門的信任與安全組織，該組織專注於應用程式、雲端、網絡和系統安全。該團隊還負責安全合規、教育和事件應對。

Kabob Cloud維護著一個記錄的漏洞管理程序，其中包括定期掃描、識別和修復伺服器、工作站、網絡設備和應用程式的安全漏洞。所有網絡，包括測試和生產環境，均定期使用可信賴的第三方供應商進行掃描。關鍵補丁根據優先順序應用於伺服器，並根據其他所有補丁的情況適用。

Kabob Cloud使用基於AES 256的加密在我們的數據中心中加密所有靜態數據。此外，Kabob Cloud使用基於RSA 2048位密鑰長度的證書通過公共證書機構生成，用於Kabob Cloud數據中心之外的通信，並使用內部證書機構生成的RSA 256證書，用於數據中心內的所有數據。

我們的開發團隊採用安全的編碼技術和實踐，集中在OWASP前十名。開發人員入職時接受正式的安全Web應用程序開發實踐培訓，並每年進行培訓。

Kabob Cloud維護一個資產管理政策，其中包括對信息和資產的識別、分類、保留和處置。公司發放的設備配備有全硬盤加密和及時更新的防病毒軟件。只有公司發放的設備才被允許訪問企業和生產網絡。

Kabob Cloud維護一個安全事件應對流程，涵蓋初始響應、調查、客戶通知（至少按照適用法律的要求）、公開通信和補救措施。這個流程定期審查並每年進行測試。

備份被加密並存儲在生產環境中以保持其保密性和完整性。Kabob Cloud採用備份策略以確保可控的停機時間和數據丟失。業務持續計劃（BCP）定期進行測試和更新，以確保在災難發生時的有效性。

保護您的數據還需要您通過使用足夠複雜的密碼並將其安全存儲來維護您帳戶的安全。您還應確保您自己的系統具有足夠的安全性。我們提供TLS來保護調查回應的傳輸，但您負責確保您的服務已配置為在適當的情況下使用該功能。

應用程序和基礎設施系統將信息記錄到一個由授權的Kabob Cloud人員集中管理的日誌存儲庫中，以進行故障排除、安全審查和分析。根據監管要求保存日誌。在安全事件影響其帳戶時，我們將向客戶提供合理的協助和日誌訪問。