安全和隐私
.png)
信赖
自成立以来,保护客户数据的安全和隐私一直是 ThousandEyes 的第一要务。出于对我们的信赖,客户允许我们收集和存储有关他们使用的网络和应用程序的性能信息。根据实际的部署场景和具体的客户使用案例,这些信息可能包括来自互联网的信息(属于公共领域知识)和/或来自私有企业网络的信息。因此,我们所有收集到的数据视为高度敏感数据,并实施了专门的管理系统来保障数据的机密性、完整性、可用性和隐私性。
我们的信息安全管理系统遵循广泛认可和推崇的 ISO/IEC 27001 标准,奠定了坚实的管理基础。我们的隐私信息管理系统则以 ISO 27701 为基础,并通过了认证。
这些框架共同组成了由严格的政策、标准、技术和流程支持的 ThousandEyes 统一安全和隐私管理框架 (USPMF)。我们通过实施额外的技术和组织控制措施来不断改进 USPMF,从而确保客户数据始终受到当前最佳实践的保护。
作为云服务提供商,ThousandEyes 与客户共同承担保护安全和隐私的责任。查看以下信息,了解您在实施安全控制措施和安全运营实践方面发挥的作用。
信息安全
信息安全组织架构
ThousandEyes 的信息安全部门由首席信息安全官领导。整个部门负责落实所有数据保护工作,包括业务、物理和技术层面的安全和隐私。此外,信息安全部门也承担审计和合规以及整体风险管理职责。
人力资源安全
我们相信,人是信息安全的出发点,仅仅保证物理系统的安全是不够的。因此,我们强化所有员工的安全意识,对他们开展培训,确保他们从入职第一天起就具备支持我们的安全和隐私管理系统所需的知识。
资产和风险管理
按照三级数据分类方案,我们根据机密性对所有信息进行分类,并要求相应实施特定的安全控制措施。我们要求对每项关键信息资产执行风险评估,以验证现有控制措施是否符合指定的标准。默认情况下,所有客户信息均归为机密信息,因此始终受到最高级别的保护。
访问控制
访问信息的权限以 “按需知密” 的方式授予,并通过管理流程加以控制,内容涵盖新访问权限的授权、必要时及时撤销访问权限,以及定期审查关键信息访问权限清单。
加密
ThousandEyes 的所有加密控制措施都遵守国际法律法规和限制,并要求制定强有力的密钥管理程序。
物理和环境安全
数据中心和办公场所均配备了访问控制和视频监控系统,提供全天候现场安全保护。要得到 ThousandEyes 认可,数据中心必须满足 III 级要求。
操作安全
所有网络、系统和应用程序都会安全地配置、实施和备份,以确保其按预期运行。所有面向客户的关键系统上均部署反恶意软件。
通信安全
ThousandEyes 所有通信资源的使用方式均符合我们的道德和商业原则,并已实施相关控制措施,例如在传输敏感数据时使用加密技术。
系统获取、开发与维护
我们的控制措施示例包括渗透测试和代码审查,这些是审批流程中的重要步骤。此外,我们不断增强安全软件开发生命周期设计和部署方法,与当前最佳实践保持同步,领先于最新的威胁。
第三方服务
签约第三方代表我们行事时,我们要求他们满足与内部同样严格的安全和隐私标准。该尽职调查是我们供应商风险管理流程的一部分,该流程要求对第三方组织及其服务或产品进行全面的安全审查。
安全监控和事件管理
我们持续监控我们的网络、系统和应用程序,以检测各种类型的事件。毫无疑问,我们自己的云监控解决方案会监控其自身以及我们技术基础架构的其他组件。注册关键事件后,事件响应计划将立即生效。
隐私
思科线上隐私声明和本摘要适用于思科的网站和声明链接的附属公司之网站。
思科尊重并致力于保护个人信息。我们的隐私声明可体现出处理个人信息的当前全球原则和标准:透明度、公平性和问责制。以下是思科线上隐私声明的一些重点。请注意,有关思科如何处理个人信息的具体信息,请参阅隐私数据表、产品描述或数据收集前或收集时提供的其他通知。
个人信息
我们会出于各种原因收集个人信息,例如:处理您的订单、配置网站和解决方案并启用功能、帮助您订阅新闻简报、发送业务和营销信息、为您提供个性化体验,或者管理工作申请。
在收集您的个人信息时,我们将把具体的用途通知您,保证将信息用于收集之目的,并按照相关法律的要求使用,亦或用于合法目的。
我们可能会将从您收集的信息与从其他来源获得的信息进行组合,帮助我们提高信息的整体准确性和完整性,并帮助我们改进和更好地调整与您的互动和我们的表现。
我们还可能通过各种技术(包括 Cookie)收集与您使用我们的网站和基于网络的解决方案相关的信息。
数据使用通知和您的选择
个人信息仅用于收集之目的,若事先未经您的许可或使用没有法律依据,则不得用于其他目的。
在我们与第三方共享您的个人信息,用于并非您提供时之目的或未按照线上隐私声明的说明使用前,将征求您的许可。
有关您对思科如何处理您的个人信息的选择或关于我们使用 Cookie 或其他网络技术的更多信息,请参阅完整的在线隐私声明。
数据访问和完整性
如需更新您的个人信息和通讯偏好设置,请点击此处,或访问特定产品或服务网站。
数据安全
我们承诺保护您个人信息的安全,防止擅自被人使用或披露。
二次传输
作为全球性的公司,我们可能将您的个人信息传输至美国的思科公司,或传输至世界各地的任何思科子公司,以及传输至在数据收集地以外的国家/地区代表我们履行服务的第三方,这些国家/地区实行的数据保护标准可能有所不同。
只有第三方承诺将对这些个人信息提供至少与我们同等水平的保护,才会将您的个人信息传输至第三方。
重要信息
我们的个人数据保护和隐私政策以及实践旨在遵守全球适用法律,从而赢得并保持您对思科的信任。
关于个人数据处理以及在 APEC 成员经济体之间的个人数据传输,思科已通过 APEC 跨境隐私规则系统和处理者隐私识别认证。欲了解有关我们参与范围的更多信息,或 通过我们的责任代理 BBB 国家计划提交隐私查询,请点击下面的官方标志:
思科的《约束性企业规则 - 控制者》(BCR-C) 规定,思科以控制者身份在全球范围内传输欧洲个人信息将得到充分的安全保护。
关于收集、使用和处理来自欧盟/欧洲经济区、英国和瑞士的个人数据,思科已通过美国商务部规定的欧盟-美国和瑞士-美国隐私盾框架的认证并予以遵守。
如果您对本隐私声明或个人信息的处理有任何疑问、意见或疑虑,请点击此处。
如果您有未解决的隐私或数据使用问题,请联系我们位于美国的第三方争议解决提供商(免费)。
参考资料
若要了解隐私惯例的更多详情,请参考思科线上隐私声明的完整版本。
最后更新日期:2021 年 12 月 1 日
合规
ThousandEyes 和我们的员工遵守多项法律法规:
- ISO/IEC 27001:2013
- ISO/IEC 27018:2019
- ISO/IEC 27701:2019
- FTC 法规
- 隐私保护
- 美国商务部工业和安全局的要求
- 所有其他相关的国家和地方法律、法规和合同要求
我们实施了两步法来确保合规。首先,我们确保将所有外部和内部要求均纳入我们的政策,并通过基本标准、技术和流程提供支持。其次,通过内部风险评估和审计,我们定期进行测试,确保所有安全控制措施妥善实施,有效运行。
我们使用独立第三方执行 AT 第 101 节认证,并出具涵盖 12 个月期限的安全原则的 SOC2 Type II 报告。为我们的网络性能管理软件即服务应用程序提供支持的信息安全管理系统获得了独立认证机构颁发的 ISO/IEC 27001:2013 和 ISO/IEC 27018:2019 证书。此外,为我们的网络性能管理软件即服务应用程序提供支持的隐私信息管理系统获得了独立认证机构颁发的 ISO/IEC 27701:2019 证书。最后,独立第三方每年对我们的关键信息资源进行一次企业风险评估。
ThousandEyes 是云安全联盟 (Cloud Security Alliance) 企业成员,通过该联盟,
我们与其他行业领先的公司共享信息并进行协作,以保持最高级别的安全最佳实践。ThousandEyes 还是互联网安全中心 (Center for Internet Security) 成员,该中心是一家前瞻性的非营利实体,利用全球 IT 社区的力量来保护私人和公共组织免受网络威胁。
精选博客文章
THOUSANDEYES 隐私实践:ISO 27018 和 ISO 27701 认证
