我们的产品和服务的安全性
Elastic 的托管型和自管型产品在设计时就融入了安全理念,并包含多项旨在保护客户信息安全的功能。此外,Elastic 产品不仅符合数据保护法律和法规的要求,还有助于确保企业遵守这些规定。
合规性标准
Elastic 的运营符合关键信息安全标准和全球法规的要求。安全性和合规性是 Elastic 与客户之间的共同责任。
我们的服务均经过独立审计和认证,确保符合各类隐私和合规性标准。
Elastic 的安全保护
我们致力于践行 Elastic Security 的使命,保护全球数据免受攻击;同时,我们的产品和服务的安全性也是我们最重视的方面。Elastic 拥有全面的信息安全计划,其中包括了专为我们客户提供保护的适当技术措施和组织保障。
Elastic 拥有经验丰富的安全专家团队,可在多个领域提供专业支持,包括安全工程、威胁检测、事件响应、安全保障,以及风险和合规性。信息安全团队的工作贯穿于我们整个组织,特别是与工程团队的紧密合作,能够确保为我们的技术和公司提供卓越的安全保护。
有关更多信息,请访问 Elastic Cloud 安全性。
Elastic 的隐私保护
Elastic 致力于保护您的个人数据,支持遵守欧盟《通用数据保护条例 (GDPR)》等全球数据保护法律和法规。Elastic Cloud 包含多项合约承诺,以保护数据的安全性、机密性和完整性。有关更多详细信息,请参见《Elastic Cloud Standard Terms of Service》(Elastic Cloud 标准服务条款)和我们的“数据隐私附录”。除了保护您的数据,我们还致力于协助客户遵守数据保护法律和法规,为此,我们设计了 Elastic Stack 来助您实现隐私合规性目标。
弹性
Elastic Cloud 集群通过各大主要云服务商平台在全球范围内提供,以满足我们客户在托管和数据主权方面的需求。客户可以通过可用区或区域故障转移实现高可用性的集群。请在 Elastic Cloud 状态页面查看运行时间数据并订阅告警。
漏洞管理
Elastic 致力于快速解决影响客户的安全漏洞,并就影响、严重性和缓解措施提供明确的指导意见。我们与安全社区成员和客户协作,确保及时通报影响我们产品的安全漏洞,并以负责任的方式及时发布相应的解决方案。Elastic 源代码和问题跟踪是公开可访问的,我们鼓励您通过 HackerOne 漏洞赏金计划报告漏洞,以帮助保持 Elastic 产品和服务的安全性!
零号客户计划
Elastic 对于所有解决方案,特别是 Elastic Security,都热衷于实现“零号客户”计划。在向客户广泛分发我们的产品和服务之前,我们都坚持先在实际生产环境测试这些产品和服务。我们会尽可能在任何环境中都使用自己的产品,为的绝不仅仅是获得日志。Elastic 的信息安全团队每天都在使用 Elastic Stack 的许多功能来创建、监测、检测和响应安全事件。
有关更多信息,请访问 Elastic on Elastic 和 Elastic Security。
供应链安全
我们会认真评估每个供应商,确保他们符合 Elastic 的安全性和合规性标准。Elastic 与主要的基础架构即服务 (IaaS) 提供商合作来交付 Elastic Cloud。我们的每个 IaaS 提供商都会定期接受独立的第三方审计,至少包括 SOC 2 审计和 ISO 27001 认证,以证明他们服务的安全性。作为我们第三方风险管理计划的一部分,Elastic 会审核这些审计报告和认证。
此外,Elastic 还会审核第三方代码并发布 Elastic 产品的第三方开源依赖项清单。
如需报告安全性方面的问题,请联系 [email protected]。
请访问 Elastic 安全性问题页面,了解我们的 PGP 密钥和更多详细信息。
