主页 / 法规 / 安全

NetRoadshow 信息安全

对于 NetRoadshow,安全是重中之重。 自 1997 以来,在为全球银行社区举办在线路演方面,我们一直是市场标准和值得信赖的全球领导者。
Security icon image

以设计促安全

NetRoadshow 安全计划的核心原则是保护客户数据并维护客户信任。

NetRoadshow 利用深度防御方法实现整个组织的各层安全。 我们热衷于定义新的安全控制措施,并不断完善现有控制措施。

我们的安全计划不仅取决于合规性和法规要求,还取决于行业最佳实践,例如 OWASP 十大漏洞、CIS 关键安全控制措施和威胁情报。

Secure design image
Security culture image
Security icon image

安全文化

所有 NetRoadshow 员工和承包商在受雇前都要接受背景调查。 如果背景调查结果存在问题,我们可能会限制安全权限,甚至撤消工作邀请。 我们的背景调查涵盖以下方面:县、州和联邦犯罪搜索历史、性犯罪者搜索历史、工作经历和信用记录。

我们拥有安全政策,旨在确保所有客户数据的完整性、保密性和可用性,并保护这些数据免遭未经授权或非法的访问、使用信息披露或损毁。

Security culture image
Privacy icon image

隐私与保护

NetRoadshow 努力维护您托管给我们的数据的隐私。 我们制定安全计划以保护您的数据,并且仅在服务条款隐私政策允许的情况下使用您的数据。 我们从不与客户分享您的数据,也从不销售您的数据。

NetRoadshow 致力于持续遵守 GDPR,并且与客户合作执行标准合同条款和数据保护协议,以记录 NetRoadshow 如何使用和保护个人数据。

Privacy and protection image
Disaster recovery image
Business continuity icon image

灾难恢复和业务持续性

NetRoadshow 服务在 AWS 中托管,并且经过配置,可以承受 AWS 可用区的长期中断。 我们在 US-EAST-1 和 EU-WEST-1 中的 AWS 区域拥有完全冗余的系统,旨在确保客户始终可以使用我们的应用程序。 我们不会在办公室存放任何关键服务器,也不会在公司网络存储任何客户数据。 如果我们的员工突然无法进入某个办公室,他们可以找到替代的远程工作场所,有望以物理方式实现协作以优化工作效率。

如果发生任何灾难,无论是火灾、天灾、政灾,还是疫情,导致 NetRoadshow 的实体办公室受到影响,我们将联系当地机构寻求帮助,确保我们员工的安全。

Disaster recovery image
Encryption icon image

加密

动态加密

根据 NetRoadshow 的政策,NetRoadshow 员工专属访问的所有 TLS 终端节点均支持 TLS 1.2 和 1.3。

静态加密

所有持久性数据均使用 AWS/KMS 进行静态加密,通过 AES-256 密码加密所有数据。 此类数据均由 AWS 托管,AWS 的安全实践实施已成功获得符合 SSAE-16 的 SOC 1、SOC 2 和 SOC 3 认证。

Encryption image
SSO image
SSO icon image

安全的单点登录和设备验证

NetRoadshow 可以集成行业标准 SAML 2.0 单点登录 (SSO) 解决方案,以便团队成员可以使用他们的 SSO 凭据登录 NetRoadshow。 这样的话,用户不必拥有单独的 NetRoadshow 凭据,从而确保只有合适用户有权访问您的数据,助力您为 NetRoadshow 应用与其他企业应用程序相同的身份验证政策。 每个应用程序都会设置会话非活动帐户,以便被遗忘的会话不会在员工设备上持续处于打开状态。
SSO image
AICPA SOC logo image

SOC 2®第2类报告

我们的SOC 2 Type 2认证反映了我们为您提供最安全和最合规的解决方案的承诺。

签署NDA以下载完整的报告。

请求报告
Software development image
Development icon image

软件开发和监控

NetRoadshow 根据 OWASP 项目和 CIS 的建议进行安全编码。

源代码和配置文件存储于基于 Git 的私密存储库。 这些工具支持代码属性和代码审核。 审核员会检查是否符合 NetRoadshow 的惯例和风格,是否存在潜在错误、潜在性能问题,以及部署是否仅限于其预期用途。 CI 管道中的多个扫描工具还针对质量、安全和单元验证执行静态分析和自动化测试。 私密信息(例如密码和加密密钥)不会存储在存储库中。 如果使用 TLS 密钥,所有私密信息均存储在 AWS Secrets Manager 或 AWS CloudHSM 设备中。

集成部署之后,代码由 OWASP Zap 工具扫描,以发现单元和集成漏洞。 所有漏洞都修复之后,再将版本推送到生产环境。

我们会针对可靠性、稳定性、性能、安全性和可维护性,审核包含的开源软件库和工具的所有主要组件。 安全和开发团队会建立并遵守正规的软件发布流程。

Software development image
Development icon image

代码审核和生产签核

用于生产系统的所有 NetRoadshow 源代码更改均由合格开发同行进行提交前代码审核,包括安全、性能和潜在滥用分析。

在更新生产服务之前,软件更新版本的所有贡献者都需要批准他们的更改在暂存服务器上按预期工作。 所有更改都必须遵守文档更改管理流程。

Code review image
Security training image

安全培训

安全团队在公司范围内维护基于计算机的安全意识计划,在招聘和之后的年度招聘中向 NetRoadshow 员工传达该计划。 计划涵盖安全意识、政策、流程、隐私和培训,旨在确保员工充分了解并履行其义务。

开发员工接受额外的强制性季度培训,专门关注软件和开发安全主题。

Security training image
Security icon image

员工访问

NetRoadshow 在服务器访问、编写软件、诊断和解决问题及支持客户等方面都遵循最小权限原则。 员工仅会获得手头任务所需的充足访问权限,仅此而已。 我们每季度进行访问控制审核,确保整个组织保持最小权限,员工在工作所需范围之外没有访问权限。

我们使用 AWS IAM 验证员工帐户身份,所有内部应用程序都要求双因素身份验证,无一例外。 在适用的情况下,我们会强制执行管理权限,所有管理访问权限均通过传统 Web 服务器日志和 CloudWatch/CloudTrail 记录和审计。

Employee access image
Physical security image
Security icon image

物理安全

我们利用 AWS 数据中心为我们的应用程序提供基础设施和托管服务。 Amazon AWS 在物理安全方面超出了所有行业标准,包括全天候监控和生物识别。 所有数据均托管于他们的安全数据中心。 AWS 定期接受各种第三方独立审计,可以验证其数据中心、基础设施和运营的合规性控制措施。 这包括,但不仅限于 SOC 1、SOC 2 和 SOC 3 认证,以及 ISO 27001 认证。

Physical security image

信息安全实践

NetRoadshow 深入实践信息安全,整合 SOC2 CIS 的建议和各种工具,以保护我们的系统和客户数据。 我们的方法经过 SOC2 Type 1 认证,由十大国际银行的信息安全审核者批准。

我们利用的一些解决方案包括:

入侵检测和防御
NetRoadshow 使用双层 IDS/IPS 系统在设备级别和每个请求的应用程序级别检测并防止入侵。

我们在所有云环境中使用 Crowdstrike IPS,为每台服务器和容器化设备提供保护。 这样可以广泛、动态地检测和应对攻击,对所有云终端节点了如指掌。 我们还利用 ModSecurity IDS/IPS 内部入口和出口点来防止可能试图隐藏于有效请求的入侵。 所有检测均记录到集中式日志系统,并发送给分配组以供审核。

对于会议系统团队,我们使用 Fortinet 的 IDS/IPS Fortiguard。

终端节点安全和加密
我们部署名为 WorkSpace ONE 的移动设备管理 (MDM) 系统。 WorkSpace ONE 加载于所有公司笔记本电脑和台式机,受到集中监控。 监控功能包括在企业设备丢失或被盗时远程清除数据。 WorkSpace ONE 确保所有公司设备上的 USB 端口都不会被用作机器上的可写设备。

所有笔记本电脑硬盘都使用 Bitlocker 加密,通过 WorkSpace ONE 安装。 Bitlocker 使用 AES 256 位密钥加密硬盘上存储的数据。 所有公司笔记本电脑还都安装了 Crowdstrike 反病毒软件。 Crowdstrike 无法由终端用户禁用。

有权访问公司电子邮件和数据的公司和个人移动设备都必须安装 VMWareOne (IntelligentHub)。 IntelligentHub 在每个人的移动设备上以容器的方式存储所有公司信息(包括电子邮件)。 这些存储容器与手机的其他部分分离,可以被远程清除(如果手机丢失或被盗)。 所有设备通过合规性和配置政策进行管理。

电子邮件 DLP
我们将 Mimecast 用作我们的内部数据丢失防护 (DLP) 工具,旨在监控电子邮件。 所有出站电子邮件均基于设置的参考字典(包括 GDPR、CCPA、GLBA、PCI 等的规则)进行扫描。 我们先隔离可疑电子邮件进行审核,然后再发布。 Mimecast 还用作我们的 Web 过滤工具,在所有公司设备上阻止员工访问未经批准的站点。
渗透测试

所有 NetRoadshow 应用程序每年都通过第三方公司进行渗透测试。 根据渗透测试成功确定的安全漏洞的相关信息,我们设定缓解和补救优先事项。 完成之后,每项应用程序的结果和发现均适当存档并提交管理团队。 测试期间确定的所有关键问题均在问题确定之日后的 45 个日历日内得到处理。 测试期间确定的所有问题都根据对组织造成的风险进行排序。 信息安全团队的成员从启动到完成跟踪每个问题。

NetRoadshow 将根据客户要求来提供渗透测试发现的摘要。

漏洞扫描
我们每周运行 Nessus 扫描,以测试漏洞和合规性,包括软件版本规则。 扫描完成之后,信息安全团队的成员对漏洞进行审核和排序,并将这些发现提交给开发运营团队以进行修复。
应用程序外部 CV
我们使用 DigiCert 作为我们应用程序网站 SSL 认证的认证机构。 DigiCert 是当今市场上非常值得信任的认证机构。
审计和日志记录
我们在所有系统上维护审计日志。 这些日志记录了哪些个人访问了哪些系统。 我们日志的访问权限有限制。 我们的信息安全团队负责记录、监控和处理安全事件。 网络组件、工作站、应用程序和任意监控工具都可以监控用户活动。 我们的事件响应政策定义了事件响应方面的组织职责。 用于记录关键系统配置的安全事件有变时,管理员会收到提醒。 我们的信息安全政策定义了日志的保留时间表。
持续监控
我们利用内部和外部服务来持续扫描和监控我们的网络和应用程序。 我们每周进行漏洞扫描,每年进行风险评估和渗透测试。
防病毒软件/反恶意软件
Crowdstrike 安装于所有用户终端节点和服务器,用作我们的防病毒软件/反恶意软件解决方案。 它具有集中式配置和日志记录。 签名每 24-48 小时自动更新一次。 CrowdStrike 实时分析并消除所有潜在威胁。
安全软件开发
我们拥有安全编码标准,专用于解决标准 OWASP 漏洞。 我们利用行业标准的前端框架(例如 VueJS 和 AngularJS),帮助针对常见漏洞提供标准保护。 此外,我们的安全软件开发流程涉及多层防御以解决此类漏洞,包括 STRIDE/DREAD 威胁分析、同行代码审核、安全测试、动态扫描每个主要版本的应用程序,以及外部渗透测试。

安全政策

NetRoadshow 维护一套内部安全政策,至少每年进行一次审核。 我们的安全政策涵盖广泛的安全相关主题,从每个员工必须遵守的通用标准(例如帐户、数据和物理安全),到更专业的安全标准,包括应用程序和网络安全和信息系统。 如需查看这些政策的副本,请与我们的信息安全部门联系。

NetRoadshow 维护信息安全政策、可接受的使用政策和行为规范,旨在定义员工的责任和可接受的信息系统资源使用。 组织收到用户的签名确认,表明他们已阅读、理解并同意遵守行为规则。

NetRoadshow 信息安全

如果您或您的团队成员有任何问题,或想进一步了解其中一项或所有安全控制措施的详细信息,请发送电子邮件至 security@netroadshow.com,我们的信息安全团队成员将与您联系。
提交