客户数据安全附录
最后修订:2022 年 10 月。
本客户数据安全附录(“附录”)中的义务提供了关于 InfluxData 在 InfluxData 云服务协议下对客户数据的安全义务的进一步详细信息,该协议管辖客户访问和使用 InfluxData 时序数据平台(“协议”)。本附录中使用的但未另行定义的大写术语应具有协议中赋予它们的含义。1 本附录已并入协议并受其约束。
1. 客户数据假名化和加密措施
所有客户数据将在静态状态下以及由 InfluxData 或 InfluxDB Cloud 时序数据平台(“InfluxData 平台”)通过任何公共网络传输时进行加密,使用符合 InfluxData 当时现行的“ISMS 标准”(定义如下)的行业标准措施。InfluxData 将使用符合 ISMS 标准的行业标准措施对包含客户数据的备份进行加密。鉴于 InfluxData 云服务(“服务”)的性质,InfluxData 不会对客户数据进行假名化处理。
2. 确保处理系统和服务持续保密性、完整性、可用性和弹性的措施
a) 背景调查:除非通过犯罪和雇佣背景调查,否则 InfluxData 不允许其人员访问客户数据。
b) 持续保密性:InfluxData 将确保其人员对客户数据承担保密义务。
c) 安全培训:InfluxData 将至少每年要求所有有权访问客户数据的 InfluxData 员工(“InfluxData 人员”),在其各自的角色和职责适用的范围内,完成关于 InfluxData 与客户数据相关的信息安全政策的培训。
d) 安全认证和证明:在整个订阅期内,InfluxData 现在以及将来都将遵守其 SOC-2 声明(“ISMS 标准”)。InfluxData 将使其独立的 ISMS 标准认证审核员至少每年验证 InfluxData 应用于服务的控制措施的充分性。InfluxData 将根据客户的要求,向客户提供适用于 InfluxData 提供服务的 ISMS 标准认证副本。此外,InfluxData 将根据适用法律法规下客户尽职调查和监督义务的合理要求,提供关于其信息安全系统、政策和程序的信息。
3. 在发生安全漏洞事件时,确保及时恢复客户数据可用性和访问能力的措施
a) 事件管理:InfluxData 制定了事件响应计划,其中包括在发生任何安全漏洞事件时应遵循的程序,这些事件导致 InfluxData 拥有或控制的客户数据发生意外或非法破坏、丢失、更改、未经授权的披露或访问(“安全漏洞”)。InfluxData 安全事件响应计划中的程序包括
i) 角色和职责:组建内部事件响应团队,并设立响应负责人;
ii) 调查:评估事件造成的风险,并确定可能受影响的人员;
iii) 通信:内部报告以及在发生安全漏洞事件时的通知流程;
iv) 记录保存:记录已完成的工作以及由谁完成,以帮助后续分析;以及
v) 审核:进行并记录根本原因分析和补救计划。
b) 安全漏洞的通知、管理和补救:InfluxData 将在 InfluxData 确认安全漏洞的性质和程度后的 48 小时内,或在适用法律要求时(以较早者为准)通知客户任何安全漏洞。双方将合理地相互合作,以进行任何安全漏洞的调查和解决,包括在 InfluxData 的情况下,及时提供以下信息(以 InfluxData 当时已知的信息为限):(i) 安全漏洞可能的原因和后果;(ii) 涉及的客户数据类别;(iii) 相关用户可能遭受的后果摘要;(iv) 客户数据的未经授权接收者摘要;以及 (v) InfluxData 为减轻任何损害而采取的措施。在确认任何影响 InfluxData 托管和控制的客户数据的漏洞或安全漏洞后,InfluxData 将根据需要修改其流程和安全计划,以减轻该漏洞或漏洞对客户数据的影响。如果安全漏洞与客户相关,并且除非适用法律另有要求,否则客户有权批准向其用户和任何第三方监管机构发出安全漏洞通知。所有安全漏洞或安全泄露通知将通过电子邮件或 InfluxData 的支持平台发送给客户的技术支持联系人。
c) 灾难恢复和业务连续性:在客户订阅服务的任何期间,InfluxData 将遵守其当时适用的业务连续性和灾难恢复计划。InfluxData 将至少每年测试一次此类计划。InfluxData 将根据书面要求向客户提供此类计划和测试结果的摘要。未经客户事先书面同意,InfluxData 不得修改此类计划以提供明显低于客户的保护,客户不得无理条件或拒绝同意。
4. 定期测试、评估和评价技术和组织措施有效性的流程,以确保处理的安全性
a) 访问控制:InfluxData 将
i) 在授予 InfluxData 人员访问客户数据的权限时,遵循最小权限原则,采用基于角色的访问模型。除非在紧急情况下,否则 InfluxData 人员不得访问客户数据,除非客户已批准此类访问。
ii) 仅允许为根据协议提供服务而有合法需求访问客户数据的 InfluxData 人员访问客户数据。
iii) 定期审查 InfluxData 人员对客户数据的访问权限。
iv) 如果 InfluxData 人员不再需要访问客户数据,则立即终止该人员对客户数据的访问权限。
b) 网络控制:InfluxData 将实施并维护旨在保护、控制和管理对 InfluxData 用于提供 InfluxData 平台的网络和系统的访问的措施,包括 (i) 防火墙和其他技术和身份验证控制,以及 (ii) 入侵检测或防御系统,以监控所有此类网络。InfluxData 将维护事件响应和恢复计划,以应对此类网络和系统潜在的安全威胁。
c) 漏洞管理和补丁管理:InfluxData 将实施并维护漏洞管理程序,旨在识别和修复以 InfluxData 向客户提供的形式影响 InfluxData 平台的网络和生产系统的漏洞。此类程序将包括
i) 由独立的第三方每年对 InfluxData 平台进行渗透测试,以及由 InfluxData 内部红队进行更频繁的测试。根据客户合理的书面要求,InfluxData 将每年最多向客户提供一次独立第三方测试结果的执行摘要。客户将根据协议的保密条款将此类信息视为 InfluxData 的机密信息;以及
ii) 对 InfluxData 服务环境的所有基础设施组件以及 InfluxData 用于访问客户数据的应用程序进行例行漏洞扫描。
如果从此类测试和扫描中检测到漏洞,InfluxData 将在合理可行的范围内尽快并根据其记录的漏洞修复和响应策略修复并应用适用且必要的更新或补丁。此类策略将包括用于确定更新或补丁计划的因素,包括正在更新的 InfluxData 系统的关键性、安装更新的预期时间(以及对用户的服务中断要求,如果有)、与更新关闭的任何漏洞相关的风险程度、InfluxData 基础设施相关组件更新的协调以及更新之间的依赖关系。
d) InfluxData 平台开发实践:关于 InfluxData 平台的开发,InfluxData 将维护并遵循基于开放 Web 应用程序安全项目 (OWASP) Top 10 标准的书面软件开发生命周期程序。InfluxData 的安全团队为负责安全应用程序设计、开发、配置、测试和部署的 InfluxData 人员提供有关 InfluxData 安全应用程序开发实践的适当(基于角色)培训。
e) 恶意软件控制:InfluxData 将安装并维护合理且最新的控制措施,旨在保护 InfluxData 网络、系统和 InfluxData 用于访问客户数据的设备免受恶意软件和未经授权的软件侵害。
5. 用户身份识别和授权措施
a) 网络控制:InfluxData 将实施并维护旨在保护、控制和管理对 InfluxData 用于提供 InfluxData 平台的网络和系统的访问的措施,包括 (i) 防火墙和其他技术和身份验证控制,以及 (ii) 入侵检测或防御系统,以监控所有此类网络。
b) 入侵检测和性能保证:InfluxData 通常使用基于流量和活动的监控系统监控 InfluxData 平台是否存在未经授权的入侵。
6. 数据传输期间的保护措施
a) 加密:如上文第 1 节所述。
7. 数据存储期间的保护措施
a) 加密:如上文第 1 节所述。
b) 数据隔离:InfluxData 将客户数据与其他客户的数据在逻辑上隔离,并将实施旨在确保 InfluxData 的其他客户无法访问客户数据的措施和控制。
8. 确保处理客户数据的位置的物理安全的措施
a) 数据中心安全:InfluxData 使用第三方(例如 Amazon Web Services)运营的数据中心来提供服务,并要求此类第三方维护控制措施,以提供合理的保证,即对数据中心物理服务器的访问仅限于经过适当授权的个人,并且已建立环境控制措施来检测、预防和控制因极端环境造成的破坏。这些控制措施包括
i) 数据中心安全人员记录和监控对数据中心的未经授权的访问尝试;
ii) 数据中心关键内部和外部入口点的摄像头监控系统;
iii) 监控和控制计算设备空气温度和湿度的系统,使其保持在适当水平;以及
iv) 在发生电力故障时提供备用电源的不间断电源 (UPS) 模块和备用发电机。
9. 确保事件日志记录的措施
a) 日志记录:InfluxData 将定期记录和监控所有 InfluxData 人员对用于提供订阅服务的网络、系统和设备上客户数据的访问详细信息。InfluxData 将根据其数据保留政策维护此类日志。
10. 确保系统配置(包括默认配置)的措施
a) 变更和配置管理:InfluxData 维护管理对处理客户数据的 InfluxData 生产系统、应用程序和数据库的变更的政策和程序。此类政策和程序包括
i) 用于记录、测试和批准将变更升级到生产环境的流程;
ii) 需要根据风险分析及时修补系统的安全修补流程;以及
iii) InfluxData 执行对生产环境变更的安全评估的流程。
11. 内部 IT 和 IT 安全治理和管理措施
a) 信息安全措施:InfluxData 将实施并维护商业上合理的、技术和组织安全措施,旨在实现以下目标:(i) 确保 InfluxData 托管和控制的客户数据的安全性和保密性;(ii) 防范对此类客户数据安全或完整性的任何预期威胁或危害;(iii) 防止未经授权访问或使用此类客户数据;以及 (iv) 确保 InfluxData 退回或处置此类客户数据的方式符合上文 (i)-(iii) 项下的义务。客户对其未采纳 InfluxData 向客户提供的更新或最佳实践的决定所造成的后果负全部责任。
b) 修改:InfluxData 可能会不时修改其安全控制和流程,但前提是,考虑到 InfluxData 所在行业标准和最佳实践的更新,此类修改:(a) 不会实质性降低 InfluxData 为客户数据提供的总体保护水平,并且 (b) 符合 InfluxData 当时现行的 SOC-2 声明。
c) 监督:InfluxData 将指定一名或多名员工来维护 InfluxData 的信息安全计划,并且 InfluxData 的高级管理层和领导团队将审查和批准对信息安全计划的任何重大变更。InfluxData 将至少每年或在 InfluxData 业务实践发生重大变更时审查信息安全计划。
12. 流程和产品认证/保证措施
a) 安全认证和证明:如上文第 2(d) 节所述。
13. 确保数据最小化的措施
a) 确保数据最小化的措施:除某种形式的用户或设备标识和密码或等效物外,客户控制他们选择输入到 InfluxData 平台中的客户数据的性质和范围。
14. 确保数据质量的措施
a) 确保数据质量的措施:客户对其或其用户输入到 InfluxData 平台中的客户数据的准确性、质量和完整性负全部责任。
15. 确保有限数据保留的措施
a) 在订阅期终止或到期期间和之后删除:在协议或销售订单(如适用)到期或终止后的最多 15 天内(“数据访问期”),客户可以从 InfluxData 平台导出或删除客户数据。如果客户无法使用 InfluxData 平台的功能执行此操作,InfluxData 将合理地协助客户进行此类工作。在订阅期和数据访问期内,存储在 InfluxData 平台上的客户数据将根据客户在客户配置的 InfluxData 平台的存储桶配置中指定的保留期限进行保留。除非根据此类存储桶配置,否则未经客户书面同意,InfluxData 不会删除客户数据。在 (i) 数据访问期结束或 (ii) 客户通知其不再需要保留客户数据(以较早者为准)后的 30 天内,InfluxData 将删除 InfluxData 平台上剩余的任何客户数据,但备份副本的保留期限最长为 110 天;此类备份副本在删除之前将继续受本附录约束。
b) 安全删除:InfluxData 拥有或控制的客户数据将使用 DoD 5220.22-M (“国家工业安全计划操作手册”) 或 NIST 800-88 (“媒体净化指南”) 中详述的技术进行删除。在适用情况下,根据协议或销售订单到期或终止后,InfluxData 将根据上述 (a) 段的规定,在收到客户的书面请求后,证明客户数据已删除。
c) 检索客户数据:InfluxData 允许客户通过使用 InfluxData 平台的特性和功能来检索其客户数据,这些特性和功能使客户能够在订阅期内从平台导出其客户数据。
16. 确保问责制的措施
a) 对分包处理商的行为、错误和遗漏的责任:InfluxData 将要求其分包处理商遵守条款,这些条款在保护客户数据方面实质上不低于协议中对 InfluxData 施加的条款(在适用于分包处理商提供的服务的范围内)。对于因分包处理商的行为、错误或遗漏而导致的违反协议项下义务的行为,InfluxData 将承担责任。
b) 纪律政策:InfluxData 将维护和执行一项纪律政策,以处理 InfluxData 人员违反 InfluxData 信息安全计划的行为。
17. 允许数据可移植性和确保擦除的措施
a) 便携式设备上的存储:未经客户事先书面批准,InfluxData 不会将任何客户数据存储在便携式设备或可移动介质上,包括笔记本电脑、智能手机和平板电脑。
1 InfluxData 云服务协议的副本可在 www.influxdata.com/legal 上查阅。