本頁面採用機器翻譯,可能未準確反映英文原意,僅供參考之便。此處提及之條款、條件和陳述需以其英文之定義和詮釋為準。如本文之英文版本和任何譯文有任何差異或衝突,需以英文版本為準。
二零二一年六月十六日生效
本資訊安全附錄(「附錄」)概述了 Cloudflare 將作為服務一部分維護的安全要求(「安全要求」),並納入 Cloudflare 與客戶之間的企業方案訂閱服務條款(「協議」)中。在本附錄中使用的大寫字詞而沒有定義,將具有協議中給予它們的含義。
1.1 Cloudflare 將 (i) 實施並維護全面的書面資訊安全計畫; (ii) 根據需要定期或在服務提供發生重大變更時更新和審查該計劃; (iii) 確保此類計劃 (x) 符合適用法律和適用行業標準(包括 ISO/IEC 27001:2013、PCI DSS、SOC 2 Type II),(y) 包括適當的管理、邏輯、技術和實體保障措施符合本附錄,且(z) 經過合理設計以實現以下目標:
(A) 確保客戶資料的安全性、機密性、完整性和可用性;
(B) 防止客戶資料的安全性和完整性受到任何威脅或危害;和
(C) 防止未經授權或意外存取、取得、銷毀、遺失、刪除、揭露或更改或使用客戶資料。
1.2 在本協議(包括其他附件、展品或附表)與本附錄之間發生衝突時,本附錄的條文將適用。
2.1 Cloudflare 將至少每年審查一次解決資訊安全問題的政策,包括但不限於:存取和身分驗證管理、資產管理、變更管理、加密、安全和隱私事件回應、軟體開發生命週期以及第三方風險管理政策。
2.2 Cloudflare 將在僱用時以及此後每年為 Cloudflare 員工提供安全意識培訓。培訓將定期更新,以包含有關安全主題的適用信息,包括保護資料和系統的責任以及新出現的威脅和趨勢。
3.1 Cloudflare 僅允許根據本協議獲得授權的 Cloudflare 人員和第三方(統稱為「授權使用者」)存取客戶資料。授權的 Cloudflare 人員和授權的第三方將僅在協議和本附錄允許的範圍內使用客戶資料。
3.2 Cloudflare將依照業界標準對使用者進行身份驗證和授權。
3.3 授權使用者不得使用共用或通用身分憑證來存取客戶資料。
3.4 Cloudflare 將要求授權使用者使用雙重驗證來存取客戶資料所在的系統。
3.5 Cloudflare 將維護一個集中儲存庫,其中包含用於存取客戶資料所在的 Cloudflare 網路的所有身分憑證。
3.6 Cloudflare 將撤銷不再需要存取客戶資料的授權使用者的存取權限。
3.7 Cloudflare 將根據需要定期審查並撤銷授權使用者的存取權限。
3.8 不允許使用預設密碼對 Cloudflare 的網路資源、平台、裝置、伺服器、工作站、 App和裝置進行驗證。
3.9 Cloudflare 將確保與 Cloudflare 網路的外部網路連接的安全。
3.10 Cloudflare 將在將設備或系統投入生產之前更改預設伺服器密碼。
3.11 一段時間停用的工作站將自動鎖定。
4.1 Cloudflare 將透過 AES 最低 128 位元加密和 1024 位元密碼金鑰長度對靜態、傳輸中和使用中的客戶資料進行加密。
4.2 Cloudflare 將對存取、傳輸或儲存客戶資料的所有 Cloudflare 系統上的任何靜態客戶資料套用並維護全磁碟加密。
4.3 隱私式加密金鑰和非對稱金鑰將在傳輸和預存程序中進行加密,防止未經授權的訪問,並確保安全。密碼編譯金鑰 管理和輪調程式將被記錄下來。對加密金鑰的存取將僅限於金鑰保管人。Cloudflare 將遵循業界標準來產生、儲存和管理用於加密客戶資料的編譯金鑰。
4.4 Cloudflare 將維護安全的資料處置程序,包括但不限於根據行業標準酌情使用安全擦除命令、消磁和「加密粉碎」。
4.5 客戶資料將在邏輯上與其他 Cloudflare 客戶的資料分開。
5.1 Cloudflare 將安裝、設定和維護外圍和網路安全控制措施,以防止未經授權存取客戶資料。
5.2 Cloudflare 將針對安全事件執行持續監控和日誌記錄以及相關警報,包括嘗試和成功的存取、對包含客戶資料的端點、網路設備和伺服器系統的未經授權的更改以及其他妥協指標。所有記錄都將受到保護,免受未經授權的訪問或修改。
5.3 Cloudflare 將根據業界最佳實務實施和維護網路設備的安全和強化標準。
5.4 Cloudflare 將遵循記錄的變更管理程序。
Cloudflare 將遵循安全軟體開發生命週期安全編碼實踐,例如由開放 Web App安全專案 (OWASP) Top 10 開發的實踐(可在https://www.owasp.org/找到),以確保不會傳遞有害代碼並遵循最佳實踐。編碼實踐將包括 (i) 獨立的開發、測試和生產環境; (ii) 定期進行安全代碼審查; (iii) 掃描所有儲存、處理或傳輸客戶資料的 Cloudflare 軟體和/或App ; (iv) 僅使用非生產環境(例如開發或測試)中使用的非生產、混淆或去識別化資料。
7.1 Cloudflare 將維護第三方風險管理計劃,其中包括 (i) 維護資訊安全協議,以確保有權存取客戶資料的 Cloudflare 第三方至少遵守本附錄中規定的資料安全要求; (ii) 監控和審核有權存取客戶資料的第三方是否遵守本附錄中規定的要求。
7.2 風險管理將包括 Cloudflare 對任何已識別的發現結果進行與風險和完成證據相稱的補救。
7.3 Cloudflare 將維護風險評估計劃,該計劃定義了執行風險評估和回應結果的角色和職責。Cloudflare 將定期進行風險評估,以驗證保護業務營運和資訊技術的控制措施的設計。
8.1 Cloudflare 將執行例行網路和App層級的漏洞掃描,並根據行業標準(例如數位數據分析)。
8.2 Cloudflare 每年至少聘請獨立的第三方安全公司進行一次網路和 Web App滲透測試。根據要求,Cloudflare 將提供滲透測試結果的摘要。
App Cloudflare 將根據行業標準(例如數位數據分析)。
Cloudflare 將維護記錄在案且可操作的業務連續性和災難復原 (“BC&DR”) 計劃。Cloudflare 將至少每年執行並更新其 BC&DR 計畫方案。
10.1 Cloudflare 將維護並每年更新記錄的資料外洩行動和回應方案。
10.2 如果 Cloudflare 發現或收到安全漏洞通知,導致與任何客戶資料相關的未經授權的存取、取得、揭露或使用(「資料外洩」),Cloudflare 將立即自擔費用: (i) 通知客戶立即發生資料外洩; (ii) 調查資料外洩事件; (iii) 減輕資料外洩的影響; (iv) 進行事件後評估並向客戶報告評估結果。
11.1 Cloudflare 至少每年都會與獨立評估員合作:(i) 進行合規性評估並根據 (A) 服務組織控制(SOC 2 Type II)或 (B) 其他類似行業提供完整的證明、審查或報告公認的獨立合規評估。
11.2 根據要求,Cloudflare 將提供 Cloudflare 最新 SOC 2 Type II 報告的副本。
11.3 Cloudflare 將配合客戶對 Cloudflare 員工或第三方可能的詐欺或未經授權使用或存取客戶資料的行為進行任何合理調查。Cloudflare 同意與客戶討論適用的調查結果和任何相關的補救方案。
如果您對這些條款或有關 Cloudflare 的任何其他問題有疑問,請隨時與我們聯絡:
+1 (650) 319-8930
Cloudflare, Inc.
101 Townsend St,
San Francisco, CA 94107
USA