我们的产品和服务的安全性

Elastic 的托管型和自管型产品在设计时就融入了安全理念,并包含多项旨在保护客户信息安全的功能。此外,Elastic 产品不仅符合数据保护法律和法规的要求,还有助于确保企业遵守这些规定。

  • 隐私

    了解如何使用 Elastic 产品帮助组织实现 GDPR 合规性

    有关我们如何收集、使用、共享以及以其他方式处理个人数据方面的信息,请参见下面的隐私部分。

  • Elastic Cloud

    我们受托与成千上万的客户,在全球各地以及各行各业的领域保护他们宝贵数据的安全。

  • 产品

    Elastic Security 解决方案集成于一个一体化的防护平台上,结合了 SIEM、终端安全、云安全等多项安全功能。请了解更多关于 Elastic Stack 的内置数据安全功能

合规性标准

Elastic 的运营符合关键信息安全标准和全球法规的要求。安全性和合规性是 Elastic 与客户之间的共同责任

我们的服务均经过独立审计和认证,确保符合各类隐私和合规性标准。

  • PCI DSS

    PCI DSS

    Elastic 已获得 Elastic Cloud 1 级服务提供商认证。

  • FedRAMP

    Elastic Cloud 已获得联邦风险和授权管理计划 (FedRAMP) 的授权,为中度影响”(Moderate Impact) 级别。

  • CSA STAR

    Elastic Cloud 已获得云安全联盟安全、信任、保障和风险 (STAR) 计划的认证

  • ISO/IEC 27001

    信息安全管理系统 (ISMS)

  • ISO/IEC 27017

    云服务配置和使用的安全性控制

  • ISO/IEC 27018

    个人身份信息 (PII) 的保护

  • HIPAA

    健康保险流通与责任法案

  • SOC 2

    服务组织控制

  • SOC 3

    Elastic CloudElastic Support 符合 SOC 3 要求。

  • TISAX

    可信信息安全评估交换:评为高保护级别 (AL 2)

    请登录 ENX 门户,以检索评估结果的评估 ID:AKZT2N-2 和/或范围 ID:S8ZT2N

  • 英国 Cyber Essentials Plus

    英国政府安全认证

  • CyberGRX

    关于 Elastic 网络安全风险态势的独立验证报告

    请联系客户代表来获取 CyberGRX 报告副本

Elastic 的安全保护

我们致力于践行 Elastic Security 的使命,保护全球数据免受攻击;同时,我们的产品和服务的安全性也是我们最重视的方面。Elastic 拥有全面的信息安全计划,其中包括了专为我们客户提供保护的适当技术措施和组织保障。

Elastic 拥有经验丰富的安全专家团队,可在多个领域提供专业支持,包括安全工程、威胁检测、事件响应、安全保障,以及风险和合规性。信息安全团队的工作贯穿于我们整个组织,特别是与工程团队的紧密合作,能够确保为我们的技术和公司提供卓越的安全保护。

有关更多信息,请访问 Elastic Cloud 安全性

Elastic 的隐私保护

Elastic 致力于保护您的个人数据,支持遵守欧盟《通用数据保护条例 (GDPR)》等全球数据保护法律和法规。Elastic Cloud 包含多项合约承诺,以保护数据的安全性、机密性和完整性。有关更多详细信息,请参见《Elastic Cloud Standard Terms of Service》(Elastic Cloud 标准服务条款)和我们的“数据隐私附录”。除了保护您的数据,我们还致力于协助客户遵守数据保护法律和法规,为此,我们设计了 Elastic Stack 来助您实现隐私合规性目标

弹性

Elastic Cloud 集群通过各大主要云服务商平台在全球范围内提供,以满足我们客户在托管和数据主权方面的需求。客户可以通过可用区或区域故障转移实现高可用性的集群。请在 Elastic Cloud 状态页面查看运行时间数据并订阅告警。

漏洞管理

Elastic 致力于快速解决影响客户的安全漏洞,并就影响、严重性和缓解措施提供明确的指导意见。我们与安全社区成员和客户协作,确保及时通报影响我们产品的安全漏洞,并以负责任的方式及时发布相应的解决方案。Elastic 源代码和问题跟踪是公开可访问的,我们鼓励您通过 HackerOne 漏洞赏金计划报告漏洞,以帮助保持 Elastic 产品和服务的安全性!

零号客户计划

Elastic 对于所有解决方案,特别是 Elastic Security,都热衷于实现“零号客户”计划。在向客户广泛分发我们的产品和服务之前,我们都坚持先在实际生产环境测试这些产品和服务。我们会尽可能在任何环境中都使用自己的产品,为的绝不仅仅是获得日志。Elastic 的信息安全团队每天都在使用 Elastic Stack 的许多功能来创建、监测、检测和响应安全事件。

有关更多信息,请访问 Elastic on ElasticElastic Security

供应链安全

我们会认真评估每个供应商,确保他们符合 Elastic 的安全性和合规性标准。Elastic 与主要的基础架构即服务 (IaaS) 提供商合作来交付 Elastic Cloud。我们的每个 IaaS 提供商都会定期接受独立的第三方审计,至少包括 SOC 2 审计和 ISO 27001 认证,以证明他们服务的安全性。作为我们第三方风险管理计划的一部分,Elastic 会审核这些审计报告和认证。

此外,Elastic 还会审核第三方代码并发布 Elastic 产品的第三方开源依赖项清单。

如需报告安全性方面的问题,请联系 [email protected]

请访问 Elastic 安全性问题页面,了解我们的 PGP 密钥和更多详细信息。