合规与框架
我们运营所对齐的标准、法规与框架的概要。对齐是经过深思的目标——并不替代经审计的认证。
对齐不等于认证。如有外部认证我们会明确指出;如在没有认证的情况下与某框架对齐,本页会如实说明。
NIST CSF 2.0
NIST 网络安全框架 2.0 将安全工作组织为 Govern、Identify、Protect、Detect、Respond 与 Recover。
我们的安全概览、事件响应与韧性实践围绕这些功能组织。我们没有外部 CSF 认证。
OWASP ASVS
OWASP 应用安全验证标准为现代 Web 应用定义验证要求。
平台界面的目标为 OWASP ASVS 二级,并在重大版本前进行外部渗透测试。渗透测试摘要应要求在 DPA 框架下共享。
WCAG 2.2 AA
W3C WCAG 2.2 是当前面向公开 Web 界面的无障碍参考标准。
WCAG 2.2 AA 级是企业站点的文档化目标;产品界面按路由逐步对齐。无障碍声明描述了范围与已知限制。
GDPR
欧洲《通用数据保护条例》规范欧洲经济区内个人数据的处理。
我们的 DPA、标准合同条款、次级处理方清单与数据主体请求处理流程,旨在满足 GDPR 下的控制者–处理者要求。
KVKK
土耳其《Kişisel Verileri Koruma Kanunu》(第 6698 号法律)规范在土耳其的个人数据处理。
我们的隐私通知、数据主体请求渠道、保留与销毁实践,以及跨境传输承诺,与土耳其个人数据保护机构所要求的 KVKK 义务保持一致。