Demandbase安全政策

1.简介

本Demandbase安全政策(“安全政策”)概述了Demandbase为确保业务操作安全、保护公司和委托给我们的数据而采取的组织和技术措施。

2.人员

组织结构

安全团队协调整个Demandbase的所有安全程序。安全团队向CFO报告，CFO直接向CEO报告。工程部还有额外的保安人员。法规遵循团队促进安全和法规遵循程序的内部审计和治理。合规团队向总法律顾问报告，总法律顾问直接向CFO报告。

背景调查

Demandbase所有的工作邀请都取决于完成背景调查。所有可能接触到数据(包括客户数据)的第三方承包商在开始与Demandbase合作之前都必须完成背景调查。

保安及资料私隐培训

员工和第三方承包商参加入职培训，必须完成安全意识和数据隐私培训。对于未及时完成安全意识和数据隐私培训的员工和第三方承包商，系统访问权限将被取消。

员工和第三方承包商必须完成年度安全意识和数据隐私培训模块。

信息安全政策

员工和第三方承包商在入职期间和之后每年审查和确认Demandbase的信息安全政策和程序。

物理及逻辑访问

员工和第三方承包商需要使用他们的徽章才能进入Demandbase的办公室。使用设施管理软件工具记录和监控访客的访问。

对系统的访问是根据基于角色的访问控制(记录为矩阵)(rbac)进行授权和供应的。rbac与用户访问审查同时定期审查和更新，以确保访问受到限制，以“最少的必要特权”反映业务需求。访问控制系统默认配置为“deny-all”。

员工和第三方承包商对Demandbase系统的所有访问都需要使用使用身份提供者(IdP)的多因素身份验证“MFA”进行成功的身份验证。此外，访问虚拟私有网络“VPN”和虚拟私有云“VPC”访问AWS还需要另外一层鉴权机制。

一旦雇佣或合同终止，Demandbase系统和办公室的访问将立即被撤销。

3.网络与应用安全

体系结构

Demandbase使用Amazon Web Services (AWS)和谷歌云平台(GCP)作为主要的云平台。该基础设施跨越多个区域和每个区域内的多个可用性区域，以实现冗余、性能和灾难恢复目的。Demandbase采用共享安全责任模型，云提供商负责底层云基础设施的安全(即物理基础设施、地理区域、可用区域、来自主机系统的操作、管理和控制组件、云本地服务的安全、虚拟化层和存储)和Demandbase负责确保部署在云提供商基础设施中的应用平台和配置的安全。

云安全

Demandbase在我们的云提供商提供的安全模型中工作。通过使用安全组，可以对流量进行分析，并根据规则确定是否允许访问。Demandbase采用了基于角色的框架。通过IAM (Identity and Access Management)基于角色访问资源来提供访问。此外，访问是基于实体的角色和上下文(被授与者)授予的，而不仅仅是基于源。环境在物理上和逻辑上按功能分离——例如，开发、阶段和生产。Demandbase的公司位置通过防火墙技术隔离，利用主动威胁监控，并提供对中央安全组件和端点的主动流量和日志分析。通过云提供商的DDOS服务和web应用防火墙保护应用云基础设施，并结合基于AI的威胁检测、流量和事件分析以及与威胁数据库的关联，提供全面的分层防御。

系统事件日志、监控和警报

监控工具和服务用于监控系统，包括网络设备、安全事件、操作系统事件、资源利用、用户访问审计记录、云基础设施及其关联事件日志、审计和安全日志、应用操作事件和应用帐户审计日志。

基于安全事件签名，对日志进行异常、异常值和模式分析。警报逻辑处理这些事件和操作，以启动任何适用的补救措施。所有生产服务器的日志都存储在一个集中式存储库中，并可从中检索。

App 保护

在Demandbase，安全性被集成到软件开发生命周期(SDLC)过程中。

培训:Demandbase使用第三方供应商的解决方案，为所有工程师提供安全的代码培训。我们鼓励工程师根据需要，并根据其管理人员的建议，接受对其发展至关重要的核心概念培训。
设计:安全影响被视为应用程序设计过程的一部分。
开发:源代码的同行评审是SDLC过程的一部分。安全检查列表包含在代码评审模板中，使工程师能够在评审过程中始终如一地检查安全缺陷。
测试:安全测试在开发生命周期的各个阶段执行:
- 自动化测试:业务逻辑的安全性测试尽可能自动化，以捕获对现有特性的回归。
- 手动测试:手动安全测试作为发布测试的一部分进行，以标记任何安全问题。
- 安全扫描:在生产和开发环境中定期运行静态和动态应用程序安全测试，以检测和标记任何问题。
漏洞管理:定期对安全问题进行分类，根据严重性划分优先级，并根据发布的sla跟踪到补救措施。

数据完整性

机密和敏感数据只在法律、监管和业务要求所需的时间内保留。在与Demandbase的关系到期或终止后，客户数据默认保留13个月。但是，根据要求，Demandbase将在书面通知后30天内删除客户数据。

加密在运输途中

当在一个不可信的网络上通信时，Demandbase使用传输层安全“TLS”对传输期间的流量进行加密。这适用于外部和内部通信。

对称密钥由传输客户机和服务器为每个传输会话惟一生成。必须使用高水平的初始化熵和完美的前向保密来确保密钥永远不相同。高熵和完全前向保密消除了对称密钥存储的需要。非对称密钥最好存储在HashiCorp Vault或云提供商密钥管理系统中

对闲置数据进行加密

数据加密适用于以下情况:

个人和客户数据:通过唯一字段值标识个人数据的任何数据，这些字段值将揭示Demandbase客户的个人身份信息。例如:客户的电子邮件或电话号码。任何具有商业交易性质的客户数据，如机密的营销活动预算和目标列表。
数字广告元数据:任何需要与数字广告交易所、参与网站或合作伙伴共享的数据，它是从个人身份抽象出来的，但可以用作目标定位的识别字段。此类信息的一个例子是cookie或IP地址的前三个字节。

加密存储/备份

数据存储:所有Demandbase数据存储均通过Amazon S3加密，通过AWS密钥管理服务(KMS)进行加密，通过谷歌KMS对谷歌云平台(GCP)进行加密，不考虑数据分类。

密钥管理:用于数据加密或密钥加密的密钥存储在云KMS中或通过使用软件仓库秘密引擎存储。

访问管理:身份和访问管理(IAM)角色用于基于最少权限访问数据策略的加密/解密权限。

密码学的细节

https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html

https://cloud.google.com/kms/docs/encrypt-decrypt

4.评估和认证

SOC 2

Demandbase很乐意根据NDA为潜在客户和现有客户的要求提供我们目前的II型SOC 2安全TSC报告的副本。请将您的请求通过电子邮件发送到security@demandbase.com．

渗透测试

渗透测试由独立的第三方评估机构至少每年进行一次。此外，Demandbase全年都在运行几个私人安全漏洞赏金项目，邀请研究人员测试Demandbase的产品以及底层基础设施。测试项目报告的所有问题都将根据问题的严重程度进行筛选、排序，并在发布的sla中及时进行补救。除了外部测试之外，Demandbase安全团队全年都在对应用程序和基础设施进行灰盒测试。

根据NDA的要求，Demandbase将由独立的第三方评估机构分享最新的渗透测试认证摘要。

业务连续性和灾难恢复计划

Demandbase与我们的SaaS应用程序和业务连续性计划保持着一个灾难恢复计划。这两个计划每年都要进行审查、测试和更新。

5.风险管理

风险管理

Demandbase风险管理过程旨在识别、评估安全风险，并根据优先级将风险最小化、监控和降低。

风险管理流程和方法: Demandbase安全团队每年至少与关键利益相关者和业务所有者举行一系列会议，对所有业务资产、流程和服务(外部和内部)进行风险审查。我们使用开放威胁分类标准来指导风险评估工作。所有风险都根据四种威胁类别进行审查:物理、资源、人员和技术。风险登记册是评审过程的结果，由确定的风险的优先级列表组成。风险登记册将提交给Demandbase执行管理以及最小化和控制风险的建议。制定并执行缓解计划。

除年度审查外，每当发生重大物理、环境、人事、监管或技术变化时，还会进行异常风险审查。

第三方风险管理

Demandbase要求所有集成或访问客户或公司机密数据的技术公司填写一份安全问卷，并执行一份数据处理协议，作为入职和合同续签流程的一部分。

事件响应政策

Demandbase安全团队有一个已建立的事件管理政策，该政策定义了负责应对安全事件的个人，这些个人在事件响应过程的每个阶段的责任——检测、分析、遏制、根除、恢复和事件后活动、沟通渠道、升级程序，以及在事件调查过程中记录和跟踪证据的程序。

可疑的安全事件必须立即通过电子邮件向Demandbase安全团队报告security@demandbase.com．此外，Demandbase客户可以直接向负责该账户的客户成功代表报告安全问题，或通过我们网站上的电子邮件链接联系客户支持。