Yeeflow 的安全

ISO/IEC 27001 认证

ISO/IEC 27001:2013 是信息安全管理系统（ISMS）的规范，是组织信息风险管理流程的框架。

微软认证应用程序

Yeeflow是经微软认证的在线应用程序，符合微软云应用程序安全所要求的安全性和合规性。这些安全性、数据处理和合规性信息旨在帮助企业评估和管理使用Yeeflow的风险。

隐私合规和数据处理附录

我们认真对待我们的隐私义务和对您信息的保护，并遵守所有适用的隐私法律和法规。

您可以在我们的隐私政策中了解有关 Yeeflow 隐私惯例的更多信息。

网络和系统安全

当您访问Yeeflow网站或使用Yeeflow应用程序时，您的设备与我们的服务器之间的信息传输将受到256位TLS加密保护。在静止状态下，Yeeflow使用AES-256对数据进行加密。

我们定期安装安全更新和补丁，以保持服务器的最新状态。服务器根据角色进行划分，并使用限制性防火墙进行保护。

服务可靠性和耐用性

Yeeflow 采用业界领先的 Microsoft Azure 托管基础设施。备份在多个可用区进行地理冗余复制，以确保数据的持久性。Yeeflow 维护业务连续性和灾难恢复计划。灾难恢复计划包括多个站点操作手册，并定期进行审查和演练。Yeeflow实施广泛的服务监控，我们的运营团队全天候待命。

产品安全

在 Yeeflow 产品中，协作者权限可在工作区级别或应用程序级别进行管理。通过这些权限，您可以控制与您共享工作空间或应用程序的人员，以及他们是否可以修改与您共享的工作空间或应用程序。

Yeeflow 支持 OAuth 2.0 和基于 SAML 的单点登录 (SSO)，并为企业计划的团队提供额外的管理功能。

组织和信息安全

Yeeflow 根据当地法律对员工进行审查和背景调查。员工完成年度安全培训，培训内容包括数据隐私、信息安全和密码安全等。

员工工作站配置了全磁盘加密、高强度密码和自动锁定功能。禁止员工安装未经授权的软件或使用便携式媒体。

应用安全

Yeeflow 每天运行应用程序级自动安全扫描，每周运行软件包依赖性安全公告扫描，每月运行端点扫描。除内部扫描外，Yeeflow 还定期委托外部渗透测试。

作为软件开发流程的一部分，代码和配置更改都要经过彻底审查。在部署之前，这些变更将在质量保证流程中进行测试，以帮助确保在 Yeeflow 支持的所有设备、平台和浏览器上获得一致的体验。

遵守数据隐私法规

Yeeflow 致力于遵守全球数据隐私法规，包括《通用数据保护条例》（GDPR）和其他相关框架。我们的合规战略包括以下内容：

数据主体权利：根据 GDPR 和类似的隐私法规，Yeeflow 授权客户管理数据主体权利：

• 访问权：Yeeflow 客户可完全控制其存储在平台上的数据设计，并可设置相应的访问权限。这种灵活性使企业能够使数据存储和访问符合其隐私和安全政策。
• 被遗忘权：使用 Yeeflow 的企业可根据需要删除用户数据，确保从活动系统和备份中完全删除，并遵守法规要求。
• 数据可移植性：我们提供常用格式的数据导出工具，使用户能够按照数据可移植性要求转移数据。

跨境数据传输：Yeeflow 由位于欧盟以外的 Microsoft Azure 新加坡数据中心托管：

• 数据驻留：虽然数据存储在新加坡数据中心，但客户可以灵活设计数据管理和存储方法，以满足特定的监管要求。
• 传输合规性：虽然 Yeeflow 的总部不在欧盟，但它遵守安全跨境数据传输所需的保障措施和标准，从而支持合规性。

数据处理和保护：我们的平台设计有健全的数据保护措施，以确保符合全球隐私法规：

• 数据最小化：Yeeflow 可让客户灵活决定存储哪些数据，使他们能够遵守数据最小化原则。
• 数据加密：所有数据在传输过程中均使用安全加密协议进行加密。Yeeflow 还为客户提供自定义字段，以便在静止状态下加密个人数据，从而根据客户需求增加额外的安全层。

数据泄露响应：Yeeflow 有一套全面的协议来应对潜在的数据泄露：

• 违规通知：根据 GDPR 和其他数据隐私法规，Yeeflow 承诺在确认数据泄露后 72 小时内通知受影响的客户和相关机构。
• 调查和解决：我们的事件响应团队会及时调查任何事件，采取补救措施，并就相关情况与客户进行持续沟通。

业务连续性

Yeeflow 设计有全面的业务连续性战略，即使面对潜在的中断，也能确保平台的可用性和数据的完整性。我们的业务连续性措施包括

高可用性：Yeeflow 的架构采用冗余、负载平衡和面向服务的架构 (SOA) 结构来保持高可用性：

• 冗余服务：该平台具有冗余的前端和逻辑服务，使用网络负载平衡（NLB）进行平衡，以确保无缝的服务备份。SOA 结构具有灵活性和可扩展性，可减少硬件故障或网络问题对平台性能的影响。
• 数据库冗余：Yeeflow 采用主从数据库设置，可实时复制数据。即使主数据库出现问题，也可通过这种冗余方式不间断地访问数据。

数据备份和恢复：保护您的数据是重中之重，我们实施了多层备份策略：

• 实时备用日志备份：我们的平台支持实时备用日志备份，以捕捉数据库中正在发生的变化，确保在需要时可将数据恢复到任何特定时间点。
• 每日增量备份：Yeeflow 在远程位置执行每日增量备份，以防止数据丢失，确保最新的数据更改被安全地存储在异地。
• 每周完整备份：除增量备份外，我们每周还在远程位置进行完整的数据库备份，以保持全面的数据保护。
• 服务器快照：定期服务器快照可在发生意外情况时将平台快速恢复到预定义的环境中。

灾难恢复计划 (DRP)：Yeeflow 制定了健全的灾难恢复计划，以应对潜在的系统中断：

• 恢复时间目标（RTO）：我们的 DRP 可在 4-8 小时内恢复平台服务，确保停机时间最短和业务运营的连续性。
• 恢复点目标（RPO）：Yeeflow 的备份策略旨在最大限度地减少数据丢失，能够将数据恢复到上一次实时 binlog 备份的点。

DevOps 和持续更新：Yeeflow 采用 DevOps 实践来促进持续更新和系统部署：

• 自动部署：我们的平台采用自动部署管道，确保更新顺利推出，并将对用户的干扰降至最低。
• 监控和警报：Yeeflow 采用先进的监控工具持续跟踪系统性能，并自动提醒我们的团队注意任何可能表明潜在中断的异常情况。