常见问题
Cloudflare 是一家总部位于美国的安全、性能和可靠性公司,业务覆盖全球,包括在澳大利亚的办事处,为所有地区、所有规模的企业提供广泛的网络服务。我们帮助使客户的网站和互联网应用程序更安全,增强其关键业务应用程序的性能,并消除管理个别网络硬件的成本和复杂性。Cloudflare 的 Anycast 网络由遍布全球的超过 270 个边缘服务器提供支持(参见此处),以此为基础,我们能够快速为客户开发和部署产品。
Cloudflare 无法访问或控制客户选择通过我们的全球网络传输、路由、交换和缓存的数据。在有限的情况下,Cloudflare 产品可用于存储内容。但是,无论使用哪种 Cloudflare 服务,对于客户选择通过 Cloudflare Anycast 网络传输、路由、交换、缓存或存储的数据,客户均承担自行遵守适用法律和独立合同安排的全部责任。
Cloudflare 代表客户处理的个人数据的类型取决于所实施的 Cloudflare 服务。Cloudflare 网络上传输的绝大部分数据都保留在 Cloudflare 的边缘服务器上,而与此活动相关的元数据由我们位于美国和欧洲的主要数据中心代表客户进行处理。
Cloudflare 维护我们网络上事件的日志数据。其中一些日志数据将包含有关客户的域、网络、网站、应用程序编程接口(API)或应用程序(包括可能适用的 Cloudflare 产品 Cloudflare Zero Trust)的访问者和/或授权用户的信息。这类元数据包含极其有限的个人数据,通常是 IP 地址的形式。我们在有限的时间内在位于美国和欧洲的主要数据中心代表客户处理这类信息。
Cloudflare 将安全性视为确保数据隐私的一个关键要素。自 2010 年 Cloudflare 成立以来,我们已经发布了许多先进的隐私增强技术,这些技术通常在业界处于领先地位。除了其他功能外,客户可以借助这些工具来轻松使用 Universal SSL 来加密通信内容,利用 DNS-over-HTTPS 或 DNS-over-TLS 及加密 SNI 来加密通信中的元数据,并且控制存放其 SSL 密钥的位置和检查其流量的位置。
Cloudflare 维持超过行业标准的安全计划。该安全计划包括维护正式的安全策略和程序,设立妥当的逻辑和物理访问控制,并在公司和生产环境中实施技术保护措施,例如建立安全配置、安全传输和连接,记录日志,进行监控,以及为个人数据实施适当的加密技术。
我们目前维护以下认证:ISO 27001,ISO 27701,SOC 2 Type II,ISO 27018,SOC 2 Type II 和 PCI DSS Level 1 合规。在此进一步了解我们的认证和报告。
如需查看 Cloudflare 为个人数据(包括从澳大利亚转移到美国的个人数据)保护提供的安全措施,请参阅标准 DPA 附录 2。
我们在 2014 年发布第一份透明度报告,披露了在 2013 年期间收到的法律程序,并在当时承诺,除紧急情况以外,向任何政府实体提供任何客户数据前均要求法律程序,并在收到任何索取客户或账单信息的法律程序时,我们都会在披露这些信息前通知我们的客户,除非法律禁止这样做。我们公开表示,我们从未将加密密钥交给任何政府机构,未曾向任何政府机构提供通过我们网络传输的内容,也没有在我们网络上部署执法设备。我们还承诺,如果我们被要求做任何这些事情,我们将“用尽一切法律救济来保护我们的客户,以对抗我们认为非法或违宪的请求”。自成立以来,Cloudflare 每年两次在透明度报告中重申这些承诺,甚至对其进行扩展。
我们还展示了对公开透明的信念,以及我们在必要时通过提起诉讼来保护客户的承诺。2013 年,在电子前沿基金会(Electronic Frontier Foundation)的帮助下,我们为保护客户权利在法律上挑战了以行政方式签发的美国国家安全信函(NSL),因为其中的规定允许政府限制我们向受影响的客户披露有关 NSL 的信息。Cloudflare 未曾按照这一请求提供�任何客户信息,但保密规定一直有效,直至法院于 2016 年解除相关限制为止。
我们经常表明这一立场:即任何政府对个人数据的要求如果与其居住国的隐私法相冲突,就应该在法律上受到挑战。(例如,请查看我们的透明度报告和我们的白皮书:Cloudflare 有关数据隐私和政府执法机构数据要求的政策。)按照现有美国判例法和法定框架,Cloudflare 可能会基于这样的法律冲突请求美国法院驳回美国当局的个人数据请求。
我们已经更新了面向客户的标准数据处理补遗(DPA),将上述补充保护措施作为合同承诺纳入。您可以在 DPA 的第 7 节中查阅这些合同承诺。
Cloudflare 开发的数据本地化套件可帮助企业获得 Cloudflare 全球网络的性能和安全优势,同时能更轻松地在边缘设置规则和控制措施,以决定存储和保护数据的位置。
数据本地化套件将与一些具有新功能的现有产品捆绑推出:
区域服务。Cloudflare 在 100 多个国家/地区超过 270 个城市设有数据中心。结合使用区域服务(Regional Services) 和 Geo Key Manager 解决方案,客户能够选择存储 TLS 密钥以及 TLS 终止发生的数据中心位置。可在全球范围内吸收流量,应用 L3/L4 DDoS 缓解措施,而安全、性能和可靠性功能(例如 WAF、CDN、DDoS 缓解措施等)则仅在指定的 Cloudflare 数据中心提供。
Keyless SSL。客户可借助 Keyless SSL 存储并管理自己用于 Cloudflare 的 SSL 私钥。客户可以使用多种系统来运行其密钥库,包括硬件安��全性模块(HSM)、虚拟服务器,以及在客户控制环境下运行 Unix/Linux 及 Windows 的硬件。
Geo key Manager。Cloudflare 拥有真正的国际化客户群,并且我们也了解到,世界各地的客户对于私钥的放置有不同的法规和法定要求以及不同的风险预测。秉承这一理念,我们着手设计了一个非常灵活的系统来决定密钥存放位置。Geo Key Manager 允许客户限制为仅向特定位置公开其私钥。它类似于 Keyless SSL,但 Cloudflare 无需在您的基础设施中运行密钥服务器,而是将密钥服务器器托管到您选择的位置。