本页是机器翻译文本,仅为方便您参考而提供,可能无法准确反映英文原文的含义。本文所述条款、条件和陈述的含义均以英文版中的定义和解释为准。如果本文的任何译文与英文版之间存在差异或冲突,均以英文版为准。

自 2021 年 6 月 16 日起生效

本信息安全附录(以下简称 "附录")概述了 Cloudflare 将作为服务的一部分进行维护的安全要求(以下简称 "安全要求"),并纳入 Cloudflare 和客户之间的Enterprise 订阅服务条款(以下简称 "协议")。 本增补件中使用的未注明定义的大写术语具有本协议赋予的含义。

1. 一般

1.1 Cloudflare 将:(i) 实施并维护一项全面的书面信息安全计划;(ii) 根据需要定期更新并审查该计划,或在提供服务的过程中发生重大变更时更新并审查该计划;(iii) 确保该计划 (x) 符合适用法律和适用行业标准(包括 ISO/IEC 27001:2013、PCI DSS、SOC 2 Type II),(y) 包括符合本附录的适当的管理、逻辑、技术和物理保障措施,以及 (z) 经过合理设计以实现以下目标:

(A) 确保客户数据的安全性、保密性、完整性和可用性;

(B) 防止客户数据的安全性和完整性受到任何威胁或危害;以及

(C) 防止未经授权或意外访问、获取、破坏、丢失、删除、披露或更改或使用客户数据。

1.2 如果协议(包括其任何其他附件、展品或附表)与本附录发生冲突,以本附录的规定为准。

2. 政策、认识和培训

2.1 Cloudflare 将至少每年审查一次信息安全政策,包括但不限于:访问和身份验证管理、资产管 理、变更管理、加密、安全和隐私事件响应、软件开发生命周期和第三方风险管理政策。

2.2 Cloudflare 将在 Cloudflare 员工入职时为其提供安全意识培训,此后每年进行一次。 培训将定期更新,以纳入有关安全主题的适用信息,包括保护数据和系统的责任以及新出现的威胁和趋势。

3. 访问管理和识别;身份验证

3.1 Cloudflare 只允许根据本协议授权的 Cloudflare 人员和第三方(统称为 "授权用户")访问客户数据。 Cloudflare 授权人员和授权第三方仅在本协议和本附录允许的范围内使用客户数据。

3.2 Cloudflare 将遵循行业标准对用户进行身份验证和授权。

3.3 授权用户不得使用共享或通用识别凭证访问客户数据。

3.4 Cloudflare 将要求授权用户使用双因素身份验证访问客户数据所在的系统。

3.5 Cloudflare 将对所有用于访问客户数据所在 Cloudflare 网络的身份凭证进行集中存储。

3.6 Cloudflare 将取消不再需要访问客户数据的授权用户的访问权限。

3.7 Cloudflare 将根据需要定期审查和撤销授权用户的访问权限。

3.8 不允许使用默认密码对 Cloudflare 的网络资源、平台、设备、服务器、工作站、应用程序和设备进行身份验证。

3.9 Cloudflare 将确保与 Cloudflare 网络的外部网络连接是安全的。

3.10 Cloudflare 将在设备或系统投入生产之前更改默认服务器密码。

3.11 一段时间不活动的工作站将被自动锁定。

4. 安全数据处理

4.1 Cloudflare 将通过 AES 最低 128 位加密和 1024 位密码密钥长度对静态、传输和使用中的客户数据进行加密。

4.2 Cloudflare 将在访问、传输或存储客户数据的所有 Cloudflare 系统上对任何静态客户数据应用并保持全磁盘加密。

4.3 对称加密密钥和非对称私钥在传输和存储过程中将进行加密,防止未经授权的访问, 并确保其安全。 加密密钥管理和轮换程序将记录在案。 只有密钥保管人才能访问加密密钥。 Cloudflare 将遵循行业标准生成、存储和管理用于加密客户数据的加密密钥。

4.4 Cloudflare 将根据行业标准维护安全的数据处理程序,包括但不限于使用安全擦除命令、消磁和 "加密粉碎"。

4.5 客户数据将在逻辑上与 Cloudflare 其他客户的数据分开。

5. 基础设施& 网络安全

5.1 Cloudflare 将安装、配置并维护周边和网络安全控件,以防止未经授权访问客户数据。

5.2 Cloudflare 将对安全事件(包括尝试和成功访问、对包含客户数据的端点、网络设备和服务器系统的未经授权的更改)以及其他危害指标进行持续监控和记录,并发出相关警报。 所有日志都将受到保护,防止未经授权的访问或修改。

5.3 Cloudflare 将根据行业最佳实践,实施并维护网络设备的安全和加固标准。

5.4 Cloudflare 将遵循成文的变更管理程序。

6. 应用程序安全

Cloudflare 将遵循安全软件开发生命周期的安全编码实践,如开放式 Web 应用程序安全项目 (OWASP) Top 10(可在https://www.owasp.org/ 上找到)开发的实践,以确保不交付有害代码并遵循最佳实践。 编码实践将包括:(i) 独立的开发、测试和生产环境;(ii) 定期安全代码审查;(iii) 扫描所有 Cloudflare 软件和/或存储、处理或传输客户数据的应用程序;(iv) 仅在非生产环境(如开发或测试)中使用非生产、混淆或去标识数据。

7. 风险管理;第三方/Cloudflare 保证

7.1 Cloudflare 将维护第三方风险管理计划,其中包括:(i) 维护信息安全协议,以确保 Cloudflare 的第三方在访问客户数据时遵守至少与本附录中规定的数据安全要求相同的限制性要求;(ii) 监控和审计访问客户数据的第三方遵守本附录中规定的要求的情况。

7.2 风险管理将包括 Cloudflare 根据风险和完成情况的证据对任何已确定的发现进行补救。

7.3 Cloudflare 将维护一项风险评估计划,该计划定义了执行风险评估和对评估结果做出反应的角色和责任。 Cloudflare 将定期进行风险评估,以验证保护业务运营和信息技术的控制设计。

8. 漏洞& 补丁管理

8.1 Cloudflare 将执行常规网络和应用程序级别的漏洞扫描,并根据行业标准(例如 PCI DSS)。

8.2 Cloudflare 将聘请独立的第三方安全公司至少每年进行一次网络和 Web 应用程序渗透测试。 Cloudflare 将根据要求提供渗透测试结果摘要。

8.3 Cloudflare 将根据行业标准(例如:"安全补丁")对 Cloudflare 管理的软件和应用程序、设备和操作系统应用安全补丁和系统更新。 PCI DSS)。

9. Business 连续性和灾难恢复

Cloudflare 将维持一个记录在案且可操作的业务连续性和灾难恢复("BC&DR")计划。 Cloudflare 将至少每年执行并更新其 BC&DR 计划。

10. 安全漏洞通知

10.1 Cloudflare 将维护并每年更新记录在案的数据泄露行动和响应计划。

10.2 如果 Cloudflare 发现或被告知存在安全漏洞,导致未经授权访问、获取、披露或使用任何客户数据("数据泄露"),Cloudflare 将立即自费:(i) 通知客户数据泄露事件,不得无故拖延;(ii) 调查数据泄露事件;(iii) 减轻数据泄露事件的影响;(iv) 执行事件后评估并向客户报告评估结果。

11. 报告& 审计

11.1 Cloudflare 将至少每年与独立评估机构合作:(i) 进行合规性评估,并根据 (A) 服务组织控制(SOC 2 类型 II)或 (B) 其他行业认可的类似独立合规性评估提供全面证明、审查或报告。

11.2 Cloudflare 将根据要求提供 Cloudflare 最新的 SOC 2 Type II 报告副本。

11.3 Cloudflare 将配合客户对 Cloudflare 员工或第三方可能欺诈或未经授权使用或访问客户数据的行为进行合理调查。 Cloudflare 同意与客户讨论适用的调查结果和任何相关的补救计划。

如果您对这些条款或有关 Cloudflare 的其他内容有任何疑问,请随时联系我们:

+1 (650) 319-8930

Cloudflare, Inc.
101 Townsend St,
San Francisco, CA 94107
USA