我们的客户经常询问我们关于SparkPost安全态势的问题。作为一般原则,我们不希望公开详细的安全计划信息,因为我们不想向不法分子提供情报。然而,我们意识到信息安全至关重要,我们的客户需要知道我们正在实施一个安全计划来保护他们的信息。为此,我们在较高层次上概述了我们采取的措施以保护客户的数据。
Attestations
SparkPost 已通过 SSAE-16 SOC II Type 2 认证。我们已经认证了我们的云和企业环境。在我们不断提高安全态势的努力中,我们现在将注意力转向 ISO 27001,并开始这一新的评估和认证过程。
数据中心 Security
我们利用Amazon Web Services (AWS)提供基础设施服务来托管我们的环境。
通过使用AWS,SparkPost能够利用他们复杂的安全环境、日志记录、身份和入侵保护系统,并专注于我们的软件和您的数据。
AWS有一个强大的DDOS团队,持续监控他们的数据中心。
SparkPost利用经过演练的业务连续性和灾难恢复计划,以确保在自然灾害发生时您的数据和业务能够继续。
应用层安全
我们允许客户使用两因素认证 (2FA)、密码和 SAML 来管理其账户的访问。
SparkPost 定期扫描其应用程序以找出漏洞和安全问题,并及时修复我们发现的任何问题。
SparkPost 使用 SSL、HTTPS 和 TLS 加密。
我们按照 OWASP 和 CERT 的漏洞标准进行管理。
我们使用第三方每年进行内部和外部渗透测试,以验证我们的外围和内部防御姿态。
安全文化
我们有一位拥有超过20年企业级信息安全经验的合规和IT安全副总裁。你可以在 这里详细了解他。他有一支安全工程师团队,其全职工作是保持SparkPost的安全。
我们有一项安全策略,用于保护客户数据的完整性、机密性和可用性,并防止未经授权或非法的获取、访问、使用、披露或破坏客户数据。
所有有权访问机密信息或客户数据的员工都必须阅读并确认我们的安全政策。
我们每年进行安全意识培训,并每季度进行威胁简报,以确保我们的团队了解最新的攻击趋势。
我们对所有员工进行年度背景调查。
我们的安全团队参与到开发和运营流程和周期中,以确保我们将安全融入产品和环境中。
我们的办公室时刻保持安全。
关于漏洞赏金和漏洞披露
SparkPost 感谢安全研究人员联系 SparkPost 披露在 SparkPost 拥有的基础设施和/或服务中发现的任何漏洞或配置错误。然而,SparkPost 不会被动地与这些个人互动,尤其是在他们在未经许可的情况下测试 SparkPost 拥有的基础设施和/或服务,并试图为此类披露获得任何形式的认可和/或补偿时。
滥用
我们希望确保发送的电子邮件是人们想要接收的。因此,我们有一个专门的团队来确保我们在合规性和交付方面处于最前沿。如果我们发现账户有可疑活动的迹象,我们会立即采取行动。虽然我们努力将垃圾邮件排除在我们的系统之外,但如果您发现有任何垃圾邮件从我们的平台发送,请 在这里联系我们。
投资于您的隐私
我们的 General Counsel and Data Protection Officer 与我们的开发人员合作,确保我们的服务符合适用的国际垃圾邮件和隐私法律。
SparkPost 已准备好符合 GDPR 并获得 Privacy Shield 认证。
我们聘请了一家领先的国际律师事务所来为我们提供有关欧盟隐私问题、实践和政策的建议。
我们从不出售您的收件人电子邮件地址。
保险
SparkPost 建立了一个全面的保险计划,与我们的安全计划配合使用。该计划旨在为各种业务、技术和安全问题提供保障,并且 SparkPost 只与信誉良好和评级较高的保险公司合作。
v1.0 2018年4月2日
