資料中心和安全基礎架構
AirDroid 的雲基礎架構託管在提供安全網路和計算環境的 Amazon Web Services(AWS)上,包括但不限於網路,應用程式和實例層的防火牆,資料加密,DDoS 緩解等。此外,存儲敏感性資料的所有伺服器均位於美國矽谷和德國。
所有 AirDroid 伺服器均置於符合 ISO 27001 的安全資料中心內,資料中心已經實施了一流的安全控制,這意味著個人存取控制、攝像機監視、動作探測器、24×7 小時全天候監控及現場安全人員將確保僅授權人員可進入資料中心,並保證以最高安全標準保護硬體和資料。資料中心的單個入口點還有詳細的識別檢查。
會話加密和驗證
在建立會話時,AirDroid 會確定最佳連接類型。透過主要伺服器握手後,在所有情況下,80% 會透過 TLS 隧道 (如 HTTPS 或 WSS),其餘的連接透過 TCP 或者 UDP 連接。
AirDroid 通信使用 RSA 公開金鑰/私密金鑰交換和 AES(256 位)會話加密來保護,應用形式類似於 HTTPS/SSL,按照目前的標準認為完全安全。
由於私密金鑰從不離開用戶端電腦,因此該過程可確保包括 AirDroid 路由伺服器在內的互連電腦無法解密資料流程,AirDroid 也無法讀取加密的資料流程。
Web 應用程式和網路防火牆
AirDroid 使用多種工具監視潛在的攻擊,其中包括 Web應用程式防火牆和網路級防火牆。此外,AirDroid 平臺包含分散式拒絕服務(DDoS)預防防禦,暴力猜測防護,以幫助保護您的網站和對產品的訪問。
資料安全
AirDroid 非常重視使用者的資料安全,其中包括資料中心管理的安全以及資料存儲的安全
資料中心的管理安全
關於資料中心的管理安全,AirDroid 可以做到以下規格:
1. 只有指定的運維人員和系統管理員才能訪問生產伺服器。
2. 每個 SSH 登入事件都會被記錄並在管理主控台中即時報告。
3. SSH 登入使用行業標準的公用/專用金鑰進行保護。
4. 某些關鍵系統使用2FA(兩步認證)進行保護。
5. 防火牆策略會阻止除80(HTTP)和443(HTTPS)之外的所有埠,並且對傳入和傳出流量也有限制。所有訪問都將被記錄和監視。
6. 跨資料中心的所有通信均實施 TLS。
資料存儲的安全性
關於資料存儲的安全性,AirDroid 可以做到以下規格:
1. 密碼: 密碼不明文存儲,而是透過單向不可逆加密處理,我們建議用戶選擇至少 8 個字元以上的密碼,並使用密碼管理器。
2. 登入安全性: 我們透過速率限制進一步保護您的登入免受暴力破解的嘗試。
3. 日誌記錄: 密碼和其他敏感權杖從所有系統日誌中排除。
4. 分析: 分析工具具有“ IP 匿名化”功能,可以保護用戶的隱私。
5. 備份: 所有備份均已加密並存儲在長期存儲中。透過生命週期策略管理備份,該策略將在一定期限後自動清除它們。
6. CDN 或內容交付網路: 我們使用 Amazon CloudFront 作為 CDN 來快速將上傳的檔分發到裝置,以減少我們伺服器上的負載,這可能需要跨多個邊緣伺服器複製檔。
7. 素材資源: 上傳的 APK 和圖像存儲在 Amazon S3 中
8. HTTPS: 所有請求均使用 HTTPS 進行服務,我們利用證書固定(在某些情況下)並使用完全轉發保密。我們還確保為我們的域保留 CAA 記錄,以防止證書發行錯誤。
9. 付款或信用卡數據: 您的付款或信用卡資訊未存儲在我們的伺服器中,我們利用 paypal 或者 stripe 為我們的客戶處理付款。它們是經過 PCI 1級認證的付款處理器,並將信用卡資料存儲在符合 PCI 的伺服器中。
代碼簽名
AirDroid 的 Windows 桌面端都透過 Comodo Code Signing (代碼簽名)進行簽名,保證軟體代碼不會被篡改。一旦代碼被篡改,數位簽章將自動變為無效。
《一般資料保護條例》(GDPR)
隨著歐盟頒佈的《一般資料保護條例》(GDPR)正式生效,資料保護在我們的世界越發重要。AirDroid 作為一家全球性的公司,同樣在意每一個使用者的資料隱私安全,我們嚴格按照 GDPR 的要求處理您的資料隱私。如需瞭解更多關於 AirDroid GDPR 相關的詳情,請訪問 https://www.airdroid.com/legal/privacy.html。
漏洞評估
AirDroid 會反覆測試潛在漏洞。我們運行靜態代碼分析和基礎架構來進行漏洞掃描。
滲透測試
AirDroid 每年多次利用協力廠商滲透測試公司來測試 AirDroid 產品和產品基礎架構。
AirDroid 企業版安全功能
AirDroid 的企業產品經過專門設計,可為 IT 管理員提供對資料保護的完全控制權,同時使員工能夠靈活地從任何地方訪問資料。它們特別適用於具有嚴格的立法和合規性法規的行業,這些法規要求對資料隱私和系統安全性進行控制。AirDroid 的企業版安全功能包括以下並不僅限於:
1. 登入雙重認證
2. Kiosk 鎖定防止使用者濫用
3.遠端存取管理許可權
客戶責任
在 AirDroid,我們努力確保我們所有的客戶和終端用戶數據都得到安全存儲,並且始終將客戶隱私放在第一位。為了更好地保護數據,我們制訂了"客戶責任",目的是讓我們的客戶瞭解自身在防止數據丟失方面的角色和責任。
客戶端系統安全:客戶應確保以其行業內的標準和常規範圍內認為安全的方式存儲和訪問他們的數據,防止數據被盜。客戶還應教育其終端用戶以安全和負責任的方式使用科技產品。
數據傳輸:將敏感數據傳輸到 AirDroid 的客戶端應透過 TLS 等安全方式進行。
基於角色的訪問控制:使用 AirDroid 服務的客戶需要負責採取確保為用戶分配正確的安全角色和權限的措施。
客戶活躍帳戶:有權訪問 AirDroid 產品的客戶有責任確保他們的帳戶是命名帳戶,並配置密碼複雜性和過期策略。
用戶人員管理:使用 AirDroid 軟體或服務的客戶有責任在發生人事職責變動和/或雇傭狀態變動通知時停用 AirDroid 的相關用戶帳戶。
報告安全問題
保護客戶數據的安全對我們來說非常重要,我們鼓勵客戶向我們報告使用 AirDroid 產品或服務中遇到的任何安全問題和軟體漏洞。您可以將安全問題報告發送電子郵件至 success@airdroid.com。請提供問題、資源、工具和用於重現問題的方法的完整描述,以便我們的團隊可以分析、驗證和實施任何需要的修復。我們將及時回覆安全問題報告郵件,表明我們已收到您的請求,並提供後續步驟的資訊(如果存在)。
禁止誤用/濫用原則
為了保持我們的服務平穩、快速地運行,我們需要您(我們的客戶)的幫助,以免我們的產品和服務被誤用或濫用。
為了進一步詳細說明我們所說的"誤用"或"濫用"的確切含義,幫助我們瞭解違規行為並作出相對應的反應,我們制訂了此可接受使用政策。根據本政策的規定,我們保留刪除用戶帳戶和禁止與本政策指導原則精神不一致和不相容的 IP 權,即使本政策的文字並無完全禁止。
本頁面提及的所有服務均指 AirDroid 創建和營運的所有網站,以及 AirDroid 營運的任何託管服務。
中斷
•損害我們系統的完整性,包括探測、掃描或測試任何系統或網路的漏洞,除非另有授權執行此類活動。
•逆向工程、篡改或入侵我們的服務,繞過任何安全協議或身份驗證措施,非法嘗試未經授權訪問客戶帳戶、服務、網路和數據。
•攻擊或試圖攻擊我們的基礎設施或系統,施加不合理的負載,消耗大量資源(RAM、CPU、頻寬等)。
不當活動
•"網路釣魚"、"欺騙"、虛假陳述或虛假暗示與 AirDroid 有任何關聯。
•使用服務侵犯他人隱私,包括網路釣魚、未經事先同意發佈他人的機密資訊或從我們的服務中收集和收集有關我們用戶的個人身份資訊。
•使用我們的服務跟蹤、騷擾或發佈針對他人的直接或特定暴力威脅。
•將服務用於任何非法目的或違反法律(包括但不限於數據、隱私和出口管制法律)。
•透過我們公開支援的介面以外的任何方式訪問、複製內容或搜索我們的服務。
在以上情況下,AirDroid 將保留其所有的法律權利。