dot 快速的未来正在您所在的城市举办的活动中到来。

加入我们参加 Redis 发布会
白色 Redis Logo 返回
搜索

Redis 技术和组织安全措施

最后更新:2022 年 2 月 3 日

本文档包含适用于您使用 Redis 云服务(“云服务”)的技术和组织安全措施(“措施”)。这些措施被引用并纳入适用于云服务的 Redis 数据处理附录 (DPA)。在本文件中,术语“您”或“您的”是指 Redis 云客户,而“我们”或“我们”是指 Redis。您同意以下措施,适用于您的 Redis 云服务,并构成您针对 Redis 云服务的服务条款、适用签署协议或数据处理协议(“协议”)的一部分。

**注意:现场软件。**如果您使用的是其他产品,例如您自己部署的 Redis 企业软件,请参阅适用的 Redis 企业软件 - 安全文档,因为本文档中包含的措施可能不适用,除非您的组织也遵循这些措施,并且您在部署 Redis 企业软件时启用了正确的安全配置。

1. Redis 措施

1.1. 书面信息安全计划。Redis 维护一个符合适用数据保护法律的书面信息安全计划。该计划考虑了适当的管理、技术和物理安全保障措施,旨在提供适合处理风险和要保护的数据性质的安全级别。

1.2. 审计控制。Redis 使用独立的第三方公司进行与安全控制相关的审计。至少每年一次,一家独立、信誉良好的第三方公司将调查并根据这些调查准备一份 SSAE 18 II 型,特别是 SOC 2 II 型合规报告和认证(“SOC 2”)。SOC 2 的范围将涵盖对可用性、安全、隐私、处理完整性、灾难恢复、备份和应急计划和系统的证明,以及机密性,视情况而定。根据您的书面请求,Redis 将向您提供此报告的副本(请注意,此报告具有保密性)。

1.3. 访问控制。对云基础设施的访问受到严格控制并定期审计。只有授权的 Redis 团队成员才能根据需要访问云基础设施,访问由多个因素控制。Redis 利用行业标准措施,例如逻辑和物理安全访问控制、基于角色的、最小特权和强大的身份验证机制,旨在保护数据并防止未经授权的访问。

1.4. 软件开发生命周期。Redis 使用行业标准的软件开发生命周期(“SDLC”)管理信息系统,该生命周期将信息安全考虑因素纳入其中,在整个 SDLC 中定义和记录信息安全角色和责任,确定拥有这些角色或责任的个人,并将 Redis 的信息安全风险管理流程整合到 SDLC 活动中。Redis SDLC 政策包括内部安全测试、第三方渗透测试,以及根据风险的严重程度、缓解措施和利用可能性来优先处理测试期间发现的已识别问题的流程。

1.5. 数据完整性。对于 Redis 云客户,逻辑隔离是用于保持数据隔离和安全的措施。传输层安全 (TLS) 使用加密来保护数据在传输过程中的未经授权的访问。Redis 强烈建议您在所有 Redis 数据库上启用 TLS。此外,Redis 支持所有云提供商的静止加密,并启用持久性。Redis 利用行业标准的加密和主要云提供商提供的本机加密密钥管理服务。

2. 监控和通知

2.1. 违规通知。Redis 利用技术工具来帮助安全团队了解异常活动。如果 Redis 发现或被告知发生了影响您数据的安全漏洞,或者可能导致数据泄露、未经授权的修改或以其他方式影响您的数据完整性,Redis 将 (i) 以书面形式(通常通过电子邮件以提高速度)立即通知您安全漏洞,但不得晚于 Redis 能够合理识别和调查安全漏洞的时间起 72 小时,或者不得晚于 Redis 被告知安全漏洞已直接影响您的数据的时间起 72 小时。Redis 将与您合作,提供有关其调查结果的适用信息,以及您可能合理要求的其他信息。

2.2. 可用性监控。Redis 定期提供有关与云服务相关的已知中断的更新。有关云服务的可用性信息,请访问我们的 Redis 操作状态 页面。

2.3. 安全测试。不同的安全测试类型旨在实现不同的结果。我们的方法是使用最合适的方法来获得正确的结果。Redis 进行许多不同的活动,包括:渗透测试、红队测试、代码审查和漏洞扫描。

2.4. 漏洞披露计划。Redis 认为,与安全研究社区积极合作是确保为我们的全球 Redis Geeks 社区提供支持的软件和基础设施安全的重要组成部分。Redis 社区的研究在帮助我们发现意想不到的攻击媒介或潜在的盲点方面发挥着至关重要的作用。访问我们在 HackerOne 上的漏洞披露计划,成为积极参与者。

2.5. 供应链监控。我们认识到供应链风险是一种威胁,并且我们已制定了适当的流程来确保它们满足我们承诺的安全标准。我们每一家第三方提供商都将接受严格的审查,以确保所提供服务的安全性。

3. 共享责任;安全文档和配置

3.1. 共享责任。云服务的某些方面必须由您根据您组织的需要进行配置。例如,作为客户,您负责 Redis 数据库和云服务管理控制台中的安全配置。您同意您已阅读并理解云服务共享责任模型文档,该文档可从 https://docs.redis.com/latest/rc/security/shared-responsibility-model/ 获取。

3.2. 安全文档。通过使用云服务,您同意在配置和部署云服务时遵循最佳实践,并遵循在 https://docs.redis.com/latest/rc/security/(“安全文档”)中提供的云服务安全最佳实践。