信任中心常见问题

安全性

Elastic 使用自己的产品吗?

对于我们的所有解决方案,特别是 Elastic Security,Elastic 都是充满热情的“零号客户”。在向您广泛分发我们的产品和服务之前,我们都坚持先在实际生产环境中测试这些产品和服务。我们会尽可能在任何环境中都使用自己的产品,为的绝不仅仅是获得日志。Elastic 的信息安全团队每天都在使用 Elasticsearch Platform 功能来创建、监测、检测和响应安全事件。

有关更多信息,请访问 Elastic on ElasticElastic Security

Elastic 是否有信息安全管理系统?

Elastic 已正式采用 ISO 27001(包括 ISO 27017 和 ISO 27018)认证的信息安全管理系统 (ISMS)。我们的信息安全治理政策是所有信息安全政策、标准和指南的基础。我们的信息安全管理系统包括全面、适当的技术和组织措施,旨在保护您的集群数据免遭未经授权的访问、修改或删除。

配备了哪些逻辑控制来保护客户数据?

我们建立了访问控制来验证访问处理客户集群数据的系统的个人的身份。我们设计这些控制的目的是确保未经授权的用户无法访问此类系统,并且获得授权的个人只能访问适合其角色的内容。此类控制包括但不限于多因素身份验证、密码强度标准和用于管理访问的虚拟专用网络 (VPN)。我们还实施了集中式日志记录,包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志,以记录对客户集群数据及其所在系统的访问。

配备了哪些物理和环境控制来保护客户数据?

Elastic Cloud 搜索驱动型解决方案托管在经认证的云平台上,这些平台由业界领先的基础架构即服务 (IaaS) 提供商进行管理,包括 Amazon Web Services (AWS)、Google Cloud 和 Microsoft Azure。Elastic 会审核我们分处理商的安全认证和实践,以确保在处理和存储 Elastic Cloud 数据的场所具有适当的物理安全措施。

Elastic 在哪里公开发布影响我们产品的漏洞?

Elastic 安全通报 (ESA) 是 Elastic 发送给用户的通知,告知他们 Elastic 产品存在的安全问题。Elastic 为每个通报分配一个 CVE 和一个 ESA 标识符,并提供摘要以及补救和缓解详细信息。我们在安全公告论坛中公布所有新通报,您可以通过 RSS 源进行跟踪。

安全社区如何向 Elastic 报告潜在的产品漏洞?

Elastic 非常重视我们与安全社区的合作伙伴关系,我们的共同目标是确保用户(以及互联网)的安全。请通过我们的 HackerOne 漏洞赏金计划报告影响任何 Elastic 产品、Elastic Cloud 服务或 elastic.co 网站的潜在安全漏洞。有关详细范围和参与规则,请参阅我们的 HackerOne 计划政策

根据协调漏洞披露原则,Elastic 分析潜在的安全漏洞,以确定任何建议的缓解措施或产品更新,并通过 Elastic 安全通报 (ESA) 和 CVE 计划协调披露。在我们研究并回应问题之前,请不要在任何公共论坛上发布或分享任何有关潜在漏洞的信息。

如何报告潜在的安全问题?

用户和客户可以将任何其他潜在的安全问题报告给 [email protected]。您可以向此地址发送与安全相关的产品咨询或此处未明确提及的其他安全相关主题的请求。(该地址仅接受安全问题。) 您应该将 bug 直接报告到相应项目的 bug 数据库或 Elastic 支持。如果您希望对邮件进行加密,请使用我们的 PGP 密钥。指纹为:

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

该密钥可通过密钥服务器获得。搜索“[email protected]”。OpenPGP 示例

客户如何保护他们的 Elastic 帐户?

在 Elastic,我们知道安全性是每个人的责任。这就是为什么我们将安全性融入到产品开发和 Elastic Cloud 的基础之中。

Elastic Cloud 数据的安全性和隐私性也仰赖于您,您需要安全地配置 Elasticsearch 集群并维护 Elastic Cloud 登录凭据的机密性。

下面是一个快速清单,供您参考:

  • 不要与他人共享您的凭据。
  • 更新您的帐户配置文件,确保信息正确且最新。
  • 酌情添加业务联系人。
  • 确保设置了安全密码。
  • 在 Elastic Cloud 部署中启用自定义插件时要谨慎。
  • 考虑在启动破坏性操作时设置需要索引名称的选项。

如果您需要进行的更改无法在 Elastic Cloud 控制台中完成,请创建 Elastic 支持案例。如果您认为某个帐户遭到泄露,请向 [email protected] 发送电子邮件。如果您需要删除请求,请在此处联系 Elastic 的数据隐私团队。

Elastic Cloud 是否同时对静态数据和传输中的数据进行加密?

是的,静态数据通过 AES-256 加密,传输中的数据通过 TLS 1.2 加密。

Elastic 如何审核其第三方供应商?

我们会认真评估每个供应商,确保他们符合 Elastic 的安全性和合规性标准。Elastic 与主要的 IaaS 提供商合作交付 Elastic Cloud。每个提供商都会定期接受独立的第三方审计,至少包括 SOC 2 审计和 ISO 27001 认证,以证明他们服务的安全性。作为我们第三方风险管理计划的一部分,我们会审核这些审计报告和认证。

此外,Elastic 还会审核第三方代码并发布 Elastic 产品的第三方开源依赖项清单。

是否对产品执行渗透测试?

第三方至少每年对 Elastic Cloud 执行一次应用程序和网络渗透测试。请与您的客户代表合作,或联系 Elastic 安全团队以获取测试执行摘要的副本。

你们有软件开发框架吗?

我们基于 NIST 800-218 维护一个安全的软件开发框架 (SSDF),并遵循设计和架构方面的安全性最佳实践,以生产“设计即安全”和“默认安全”的软件。 我们的 SSDF 会指导安全设计、开发、部署、跟踪和维护所有 Elastic 软件的过程。它还可以满足保护我们的构建系统和降低构建链泄漏风险的要求。

如何对 Elastic 产品执行测试?

导航至我们公开的 HackerOne 漏洞赏金计划

数据隐私性

我们知道您的数据非常宝贵,并且可能受到许多隐私权法律和法规的约束。查看我们的数据隐私性常见问题,了解 Elastic 如何优先考虑和处理隐私。

客户放在 Elastic Cloud 中的数据归谁所有?

您委托给我们的数据仍然归您所有。我们仅将您的数据用于协议中指定的用途,例如向您提供您付费的服务。我们实施严格的安全措施来保护您的数据,并为您提供工具和功能来根据您的条款控制您的数据。

Elastic 如何使用 Elastic Cloud 中的客户数据?

我们处理您的 Elastic Cloud 数据是为了履行我们提供服务的合同义务。

  • 客户数据是您的数据。我们仅在您的同意下处理您的数据。
  • 我们绝不会将您的数据出售给第三方。
  • 我们致力于提高透明度,遵守法规,包括《通用数据保护条例》(GDPR)、《加利福尼亚州消费者隐私权法案》(CCPA) 和隐私最佳实践。
  • 优先考虑您的隐私意味着保护您因信任而委托给我们的数据。安全性和隐私性是我们所有产品的首要设计标准。

如何确保 Elastic Cloud 中客户数据的安全?

我们理解我们在提供领先搜索体验的同时保护您的数据的重大责任,我们将努力赢得您的信任。从组织高层的董事会监督和行政管理,到我们如何入职并持续培训每一位 Elastic 员工,安全性对我们所做的一切都至关重要。我们已经为 Elastic Cloud 服务和我们的信息安全管理系统 (ISMS) 获得了一系列广泛的业界领先的合规性审计和认证。这些审计和认证证明,有效的安全实践是我们所有活动中所固有的,包括产品开发和部署、漏洞管理、事件管理和威胁处理过程。

Elastic 将 Elastic Cloud 中的客户数据存储在何处?

Elastic Cloud 使用云服务提供商(例如 Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP))来提供 Elastic Cloud。我们通过我们的每个云服务提供商支持全球托管选项。您可以选择您希望托管部署的区域,以最好地满足您的数据主权需求。默认情况下,备份存储在您为部署选择的相同区域中。

Elastic 可以访问客户数据吗?

Elastic 无法访问您的自管型部署中的数据。为了提供我们的 Elastic Cloud 服务,数量有限的 Elastic 员工有权访问我们的生产环境。我们保有此访问权限只是出于平台管理、维护和支持目的。

在向内部用户提供访问权限时,Elastic 遵循最低权限原则。仅向 Elastic 员工授予其工作角色所需的访问级别。我们会定期审查访问权限,并在工作变动或其他不再需要用户访问权限的情况下修改权限。

我们的信息安全威胁检测和响应团队还开发并实施了针对可疑内部帐户活动和未经授权访问的检测,包括文件完整性监测和帐户接管迹象。这些检测是自动化工作流的一部分,就可疑活动提醒威胁检测和响应团队并触发分析师调查。

Elastic 产品还具有基于角色的访问控制,使我们的客户能够在他们的 Elastic 部署和 Elastic Cloud 管理平台中为用户实现细粒度的访问管理。

客户数据是否会传输到分处理商?

是的,我们使用特定的基础架构和客户支持分处理商向客户提供服务。与您相关的分处理商最终取决于您选择使用的数据中心位置、服务和功能。(查看外部内部分处理商的列表。)

当我们跨境传输您的数据时,我们会遵循适用的法律。我们实施了相应的保护措施,以便在我们的分处理商处理您的数据时提供保护,包括签订数据处理协议和经批准的传输机制(如 SCC)以及实施补充措施。我们有强大的流程来审核针对所有有权访问客户个人数据的分处理商的隐私性和安全性控制。

我可以在符合 GDPR 的情况下使用 Elastic Cloud 吗?

Elastic Cloud 功能支持遵循 GDPR 和其他全球数据保护法律:

  • 我们通过有效的默认技术和组织措施优先考虑您的个人数据的安全性,并定期进行测试和验证。
  • 我们提供了一份符合 GDPR 的数据处理附录,帮助您履行 GDPR 合同义务。
  • 您可以控制哪个云服务提供商将托管您存储在 Elastic Cloud 中的数据,还可以选择您的 Elastic Cloud部署区域
  • 我们提供全面的资源来帮助您遵守与您正在进行的活动相关的特定要求。有关如何确保您的 Elastic 部署符合 GDPR 的更多信息,请访问 https://www.elastic.co/cn/gdpr

除了这些功能之外,Elastic 还拥有专门的隐私和安全团队。这些团队在代表客户处理个人数据时监督我们遵守 GDPR 和其他适用的隐私权法律。

在 EEA、瑞士和英国以外的地区,Elastic 如何保证 Elastic Cloud 中的客户个人数据传输的合法性?

Elastic 是一家全球性公司,我们可能会将来自 EEA、瑞士或英国的数据传输给 Elastic 在欧洲以外的附属公司,以及我们提供服务所需的第三方组织。(您可以在上面关于分处理商的章节中找到这些位置。) 在这种情况下,除了强大的补充措施,我们还依赖于 SCC,包括客户的控制器-处理器或处理器-处理器模块(如适用)以及分处理商的处理器-处理器模块。

在 Schrems II 之后,Elastic 如何保护 Elastic Cloud 中的客户个人数据?

我们致力于帮助您确保遵守全球法律法规。根据欧洲数据保护委员会 (EDPB) 在 Schrems II 裁决之后的指导,我们已经彻查了我们的做法,以确保国际数据传输符合数据保护要求:

  • Elastic 的数据传输不属于美国监控法律的典型关注重点,到目前为止,我们从未收到来自政府当局要求提供客户数据的请求,包括根据 FISA、EO12333 或 CLOUD 法案等法律。
  • 如果我们收到政府当局对客户数据的请求,我们有应对这些请求的政策和流程,其中包括质疑请求、通知相关方以及寻求通知禁令豁免的协议。
  • 我们提供强大的补充措施来保护您的数据,包括传输中的数据和静态数据加密,以确保您的数据在整个过程中的机密性和完整性。
  • Elastic Cloud 客户可以选择欧盟服务器进行托管,以最大限度地满足他们的数据主权需求。备份也配置在您为部署选择的相同区域。
  • 可以使用标准合同条款来保护数据传输。这包括客户选择美国托管或者与我们的美国实体合作,以及从 Elastic 传输到我们的分处理商的情况。
  • 我们不断评估和改善我们的合同、技术和组织保障措施,以保护数据传输。

Elastic 针对 Elastic Cloud 提供了哪些补充措施?

我们提供了一些补充措施,确保您在 Elastic Cloud 中的数据受到保护。我们承诺在配置服务的过程中尽可能限制对客户数据的处理。我们在整个公司建立了流程、组织结构和技术措施,以确保我们符合(或超越)全球隐私原则。

合同措施

按照合同规定,Elastic 承诺根据我们的数据处理附录(其中包括 SCC)和信息安全附录采取适当的数据保护和隐私措施。我们会定期审查和更新我们的数据处理附录,以反映适用的数据隐私性要求,包括以下规定:

  • 个人数据的处理仅在您的指示下进行。
  • 我们仅在您选择的区域托管您的数据。
  • 所有获得授权处理个人数据的人员都必须遵守严格的保密性政策、程序和协议。
  • 您可以随时检索、修正或删除您上传到 Elastic Cloud 的任何个人数据。
  • 如果我们收到披露您数据的请求,我们将通知您,除非法律禁止。
  • 我们的子处理器也遵循同样严格的标准和组织要求。我们对我们的子处理器的作为和不作为负责,就像我们自己提供服务一样。

技术措施

我们设计产品是为了帮助您保护组织的数据、遵守全球法规并培养信任。我们执行业界领先的安全标准:

  • 传输中和静态加密:Elastic 实施加密密钥管理程序,并使用至少 AES-128 位密码对传输中和静态客户数据进行加密。
  • 定期系统更新和补丁:为了帮助减少出现漏洞相关事件的可能性,我们基于最新的操作系统内核部署 Elasticsearch 实例,每当在任何组件软件中发现通用漏洞披露时,都要进行适当的修补。
  • 使用业界领先的服务提供商:Elastic 的服务托管在由业界领先的服务提供商维护的数据中心,这些服务提供商提供最先进的技术和组织安全措施,旨在保护他们托管的数据。
  • 访问控制:Elastic 维护旨在限制授权用户访问数据的技术、逻辑和管理控制,包括多因素身份验证流程。此外,Elastic 还实施集中式日志记录,包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志,以记录对客户数据及其所在系统的访问。

组织措施

我们在公司范围内实施了健全的组织结构,表明我们坚定不移地致力于符合并超越全球隐私原则:

  • 安全和隐私计划:我们有全面的信息安全和数据隐私计划,其中包括旨在保护您数据的适当措施。
  • 政府当局访问请求政策:我们有管理来自政府当局的任何访问个人数据的请求的政策和流程,其中包括质疑此类请求、通知相关方以及寻求通知禁令豁免的协议。
  • 其他内部政策:我们维护管理个人数据使用和访问的内部政策,以确保妥善管理数据泄露、数据主体访问请求、数据保留及访问控制政策。
  • 行业标准:Elastic 正式采用了符合 ISO 27001(包括 ISO 27017 和 ISO 27018)的信息安全计划。我们的 Elastic 信息安全治理政策是所有信息安全政策、标准和指南的基础。另外,一家独立的第三方机构根据 SOC 2 Type 2 对 Elastic Cloud 服务进行了审核和认证。
  • 定期测试:我们定期进行网络和应用程序漏洞测试,并实施程序来记录和解决在漏洞和渗透测试中发现的漏洞。
  • 员工培训:我们要求所有员工在入职时完成信息安全和数据保护培训,而后至少每年进行一次培训。

Elastic 处理政府当局访问请求的实践经验是什么?

我们制定了响应政府当局访问客户数据请求的政策和流程。他们遵守适用的数据保护法律和您的客户协议。Elastic 将仅在法律严格要求的情况下披露您的数据或提供访问权限,我们绝不会以超出民主社会需求的大规模、不成比例或无差别的方式披露您的数据。

尽管有上述规定,Elastic 从未收到来自政府当局的任何访问客户数据的请求,包括根据 FISA 第 702 条和 CLOUD 法案。我们也不知道任何根据 EO 12333 直接访问客户数据的行为。我们从未为我们的任何产品或服务设置后门或万能钥匙,也从未允许任何政府机构不受限制地或直接访问我们的服务器。

Elastic 是否发布透明度报告?

如上所述,Elastic 从未收到公共机构要求披露客户数据的请求。如果我们收到此类请求,我们将开始发布透明度报告。

如何获得关于 Elastic 数据收集实践的更多信息?

有关 Elastic 如何收集和使用个人数据的更多信息,请参阅下面的隐私权声明:

一般隐私权声明

产品隐私权声明

申请者隐私权声明

加利福尼亚隐私权声明

Elastic Cookie 隐私权声明

我们致力于遵守全球隐私权法规,包括 GDPR 和 CCPA。要提交数据主体请求,请在此处联系 Elastic 数据隐私团队。


合规性

Elastic 符合哪些合规性框架?

Elastic Cloud 符合 ISO 27001、ISO 27017、ISO 27018、SOC 2 Type II、CSA CCM 4.0、PCI-DSS、HIPAA 以及其他行业框架(如 TISAX)。要了解更多信息,请导航到我们的合规性页面

Elastic Cloud 是在哪个 FedRAMP 级别授权的?

Elastic Cloud 在 FedRAMP Moderate 影响级别授权,可在 AWS GovCloud(美国)部署。联邦政府、州政府和地方政府用户,以及高等教育机构和拥有政府数据的用户,现在就可以注册

你们有企业道德和合规计划吗?

我们致力于遵守最高的道德标准和所有适用法律,并保护客户托付给我们的所有数据。请访问我们的道德和企业合规页面了解更多详细信息,包括我们的商业行为与道德准则、供应商行为规范和吹哨人政策。

Elastic 产品有出口限制吗?

Elastic 是一家技术公司,我们致力于秉承诚信原则开展业务,完全遵循限制出口和监管国际业务活动的美国法律和法规,包括贸易制裁、出口管制以及联合抵制法律和法规。我们的客户和潜在客户经常索取指派给我们产品的 ECCN。一般来说,我们所有的付费产品均归类为 ECCN 5D002.c.1,根据出口管理条例第 740.17 (b)(1) 章,符合许可例外 ENC 下的出口资格。

此处提供了产品 ECCN 的最新详细列表。随着我们不断开发新产品或添加新功能,这些信息可能会发生变化,因此请始终参考 Elastic 发布的最新 ECCN 图表。我们还鼓励您咨询您的出口顾问,以确定此信息对您的出口贸易或 Elastic 产品的使用有何影响。


可靠性

Elastic Cloud 在哪里可用?

Elastic Cloud 在全球主要的云服务提供商中都是可用的。在我们支持的 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 等任何区域的 Elastic Cloud 上快速完成部署。在此处查看我们的最新清单。

在哪里可以看到当前和历史 Elastic Cloud 运行时?

请访问 Elastic Cloud 状态页面查看运行时信息。