安全和隐私
信赖
自成立以来,保护客户数据的安全和隐私一直是 ThousandEyes 的第一要务。出于对我们的信赖,客户允许我们收集和存储有关他们使用的网络和应用程序的性能信息。根据实际的部署场景和具体的客户使用案例,这些信息可能包括来自互联网的信息(属于公共领域知识)和/或来自私有企业网络的信息。因此,我们所有收集到的数据视为高度敏感数据,并实施了专门的管理系统来保障数据的机密性、完整性、可用性和隐私性。
我们的信息安全管理系统遵循广泛认可和推崇的 ISO/IEC 27001 标准,奠定了坚实的管理基础。我们的隐私信息管理系统则以 ISO 27701 为基础,并通过了认证。
这些框架共同组成了由严格的政策、标准、技术和流程支持的 ThousandEyes 统一安全和隐私管理框架 (USPMF)。我们通过实施额外的技术和组织控制措施来不断改进 USPMF,从而确保客户数据始终受到当前最佳实践的保护。
作为云服务提供商,ThousandEyes 与客户共同承担保护安全和隐私的责任。查看以下信息,了解您在实施安全控制措施和安全运营实践方面发挥的作用。
漏洞赏金计划
ThousandEyes 致力于为客户、合作伙伴和社区提供强有力的安全保障。“Cisco ThousandEyes 漏洞奖励计划”是我们整体安全战略的一部分,旨在鼓励外部研究人员与我们的安全团队通力合作,共同维护 ThousandEyes 平台的安全。
如果您认为您在 ThousandEyes 的某个产品、服务、网站或其他基础设施中发现了漏洞,或者需要报告疑似滥用问题,请将您发现的情况提交至 bugcrowd.com/thousandeyes-og。收到您的报告后,Bugcrowd 会与 ThousandEyes 安全团队一起对您反映的问题进行分类和回复。希望您配合我们了解与问题相关的任何信息,或者积极地与我们一起保护 ThousandEyes 客户、合作伙伴和社区。
信息安全
信息安全组织架构
ThousandEyes 的信息安全部门由首席信息安全官领导。整个部门负责落实所有数据保护工作,包括业务、物理和技术层面的安全和隐私。此外,信息安全部门也承担审计和合规以及整体风险管理职责。
人力资源安全
我们相信,人是信息安全的出发点,仅仅保证物理系统的安全是不够的。因此,我们强化所有员工的安全意识,对他们开展培训,确保他们从入职第一天起就具备支持我们的安全和隐私管理系统所需的知识。
资产和风险管理
按照三级数据分类方案,我们根据机密性对所有信息进行分类,并要求相应实施特定的安全控制措施。我们要求对每项关键信息资产执行风险评估,以验证现有控制措施是否符合指定的标准。默认情况下,所有客户信息均归为机密信息,因此始终受到最高级别的保护。
访问控制
访问信息的权限以 “按需知密” 的方式授予,并通过管理流程加以控制,内容涵盖新访问权限的授权、必要时及时撤销访问权限,以及定期审查关键信息访问权限清单。
加密
ThousandEyes 的所有加密控制措施都遵守国际法律法规和限制,并要求制定强有力的密钥管理程序。
物理和环境安全
数据中心和办公场所均配备了访问控制和视频监控系统,提供全天候现场安全保护。要得到 ThousandEyes 认可,数据中心必须满足 III 级要求。
操作安全
所有网络、系统和应用程序都会安全地配置、实施和备份,以确保其按预期运行。所有面向客户的关键系统上均部署反恶意软件。
通信安全
ThousandEyes 所有通信资源的使用方式均符合我们的道德和商业原则,并已实施相关控制措施,例如在传输敏感数据时使用加密技术。
系统获取、开发与维护
我们的控制措施示例包括渗透测试和代码审查,这些是审批流程中的重要步骤。此外,我们不断增强安全软件开发生命周期设计和部署方法,与当前最佳实践保持同步,领先于最新的威胁。
第三方服务
签约第三方代表我们行事时,我们要求他们满足与内部同样严格的安全和隐私标准。该尽职调查是我们供应商风险管理流程的一部分,该流程要求对第三方组织及其服务或产品进行全面的安全审查。
安全监控和事件管理
我们持续监控我们的网络、系统和应用程序,以检测各种类型的事件。毫无疑问,我们自己的云监控解决方案会监控其自身以及我们技术基础架构的其他组件。注册关键事件后,事件响应计划将立即生效。
隐私
思科《线上隐私声明》及本摘要适用于链接至该声明的思科网站及我们关联公司的网站。
思科尊重并致力于保护个人数据。我们的《隐私声明》反映了当前处理个人数据的全球原则与标准,即透明、公平和负责。以下是思科《线上隐私声明》的部分要点。请注意,有关思科如何处理个人数据的更详细信息,请参阅产品披露、产品描述或在收集数据之前或之时提供的其他通知。
个人数据
我们出于多种原因收集个人数据,例如处理您的订单、提供网站和解决方案并启用其功能、为您提供新闻通讯订阅、发送商业和营销通信、提供个性化体验或管理求职申请。
我们会在向您收集个人数据时告知收集目的,并为实现该目的、满足适用法律要求或出于合法目的而保留这些数据。
我们可能会将从您收集的信息与从其他来源获得的信息进行组合,帮助我们提高信息的整体准确性和完整性,并帮助我们改进和更好地调整与您的互动和我们的表现。
我们还可能通过各种技术(包括 Cookie)收集与您使用我们的网站和基于网络的解决方案相关的信息。
数据使用通知和您的选择
我们将出于收集个人数据的目的使用您的数据;未经您的事先许可或缺乏合法使用依据,我们不会将其用于其他目的。
在我们与第三方共享您的个人数据,用于并非您提供时之目的或未按照《线上隐私声明》的说明使用前,将征求您的许可。
有关您对思科如何处理您的个人数据的选择或关于我们使用 Cookie 或其他网络技术的更多信息,请参阅完整的《线上隐私声明》。
数据访问和完整性
如需更新您的个人数据和通讯偏好设置,请点击此处,或访问特定产品或服务网站。
数据安全
我们承诺保护您个人数据的安全,防止擅自被人使用或披露。
二次传输
作为一家全球性企业,我们可能会将您的个人数据传输至位于美国的思科实体、全球任何思科子公司,或位于数据收集国境外且代表我们行事的授权第三方。这些传输目的地司法管辖区的数据保护标准可能与您所在国家/地区不同。除非第三方承诺提供至少与我们同等水平的数据保护,否则我们不会将您的个人数据传输给第三方。
有关思科 ThousandEyes 数据处理实践和安全控制的更详细信息,请参阅我们的产品披露。请注意,在 ThousandEyes for Government 实例中,除非客户另有指示,否则所有个人数据均存储于美国本土。
重要信息
我们的个人数据保护和隐私政策以及实践旨在遵守全球适用法律,从而赢得并保持您对思科的信任。
关于个人数据处理以及在 APEC 成员经济体之间的个人数据传输,思科已通过 APEC 跨境隐私规则系统和处理者隐私识别认证。欲了解有关我们参与范围的更多信息,或通过我们的责任代理 BBB 国家计划提交隐私查询,请点击下方的官方印章:
思科的《约束性企业规则 - 控制者》(BCR-C) 规定,思科以控制者身份在全球范围内传输欧洲个人信息将得到充分的安全保护。
关于收集、使用和处理来自欧盟/欧洲经济区、英国和瑞士的个人数据,思科已通过美国商务部规定的欧盟-美国和瑞士-美国隐私盾框架的认证并予以遵守。
如果您对本隐私声明或个人信息的处理有任何疑问、意见或疑虑,请点击此处。
如果您有未解决的隐私或数据使用问题,请联系我们位于美国的第三方争议解决提供商(免费)。
参考资料
若要了解隐私惯例的更多详情,请参考思科线上隐私声明的完整版本。
最后更新日期:2021 年 12 月 1 日
合规
ThousandEyes 和我们的员工遵守多项法律法规:
我们实施了两步法来确保合规。首先,我们确保将所有外部和内部要求均纳入我们的政策,并通过基本标准、技术和流程提供支持。其次,通过内部风险评估和审计,我们定期进行测试,确保所有安全控制措施妥善实施,有效运行。
我们使用独立第三方执行 AT 第 101 节认证,并出具涵盖 12 个月期限的安全原则的 SOC2 Type II 报告。为我们的网络性能管理软件即服务应用程序提供支持的信息安全管理系统获得了独立认证机构颁发的 ISO/IEC 27001:2013 和 ISO/IEC 27018:2019 证书。此外,为我们的网络性能管理软件即服务应用程序提供支持的隐私信息管理系统获得了独立认证机构颁发的 ISO/IEC 27701:2019 证书。最后,独立第三方每年对我们的关键信息资源进行一次企业风险评估。
ThousandEyes 是云安全联盟 (Cloud Security Alliance) 企业成员,通过该联盟,
我们与其他行业领先的公司共享信息并进行协作,以保持最高级别的安全最佳实践。ThousandEyes 还是互联网安全中心 (Center for Internet Security) 成员,该中心是一家前瞻性的非营利实体,利用全球 IT 社区的力量来保护私人和公共组织免受网络威胁。
精选博客文章
ThousandEyes 隐私与安全认证详解
