安全

安全概览

项目方法

Giftpack 维护旨在保护客户和平台数据的管理、技术和组织措施。我们的安全项目旨在支持机密性、完整性、可用性、隐私和负责任的服务交付。

基础设施与托管

云基础设施

Giftpack 使用 Google Cloud Platform（GCP）提供托管及相关基础设施服务。Giftpack 使用位于东京的 GCP 基础设施用于灾难恢复。生产环境及相关环境在管理时会考虑安全性、弹性和运营连续性。

环境管理

Giftpack 对生产环境及相关环境实施控制措施，以支持变更管理、系统可靠性以及在适用情况下对访问和职责进行适当分离。

加密

传输中与静态数据保护

Giftpack 使用符合行业标准的加密协议保护传输中和静态数据。相关加密措施旨在支持平台处理数据的机密性和完整性。

访问控制与认证

访问管理

对系统和客户数据的访问仅限于具有合法业务需要的授权人员。Giftpack 采用基于角色的访问原则，并在适当情况下力求遵循最小权限实践。

认证控制

Giftpack 支持旨在降低未授权访问风险的认证和访问控制，包括在适当情况下对内部系统启用多因素认证。根据服务配置和套餐，也支持单点登录及相关身份控制。

安全开发与变更管理

开发实践

Giftpack 维护旨在支持安全软件交付的开发和变更管理实践。代码变更和基础设施更新通常会通过适合服务环境的受控流程进行审查、测试和部署。

监控、日志与漏洞管理

安全运营

Giftpack 维护监控和日志实践，以支持对潜在安全事件和运营异常的发现、调查和响应。

安全测试与修复

Giftpack 进行漏洞扫描和定期安全测试，包括渗透测试，并根据风险、严重性和运营背景评估并推进修复。

事件响应

响应流程

Giftpack 维护事件响应流程，以支持对安全事件的识别、升级、遏制、调查、修复和适当沟通。相关客户可能会根据合同和法律义务收到通知。

人员与内部安全

员工意识

Giftpack 的安全项目由内部政策、保密义务和安全意识实践支持，旨在强化对系统和数据的负责任处理。

隐私与数据保护

负责任的数据处理

Giftpack 的安全和隐私实践旨在支持对个人数据和机密信息的负责任处理。访问限制、保密义务和安全控制旨在支持适用的隐私要求。更多信息请参阅 Giftpack 的 隐私政策。

合规与保障

外部保障与项目对齐

Giftpack 维护一份涵盖相关安全控制的 SOC 2 Type II 报告。Giftpack 的隐私和安全项目在设计时参考了公认框架和监管要求，包括 GDPR、CCPA，以及在适当情况下与 ISO 27001 原则对齐的控制措施。

供应商与子处理方管理

第三方风险管理

Giftpack 在评估和管理第三方服务提供商时会考虑安全和隐私因素。数据访问预计仅限于服务交付所必需的范围，并在适当情况下使用合同保护措施。

安全审查与联系

额外审查请求

如客户需要额外的安全审查、问卷或评估支持，可通过下方渠道提交请求。Giftpack 可根据保密要求和内部审查流程提供额外文档，包括安全问卷或支持材料。