安全

第 1 节

计划方法

Giftpack 维护行政、技术和组织措施，旨在支持保密性、完整性、可用性、隐私和负责任的服务交付。Giftpack 的安全计划设计为随着 Giftpack 的平台、产品、供应商和客户要求的发展而演进。

第 2 节

基础设施和托管

Giftpack 使用 Google Cloud Platform 进行托管和相关基础设施服务。Giftpack 使用位于东京的 GCP 基础设施用于灾难恢复。生产及相关环境在管理时会考虑安全性、韧性和运营连续性。

第 3 节

加密

Giftpack 使用行业标准加密协议保护传输中和静态数据。加密措施旨在支持通过平台处理的数据的保密性和完整性。

第 4 节

访问控制和身份验证

对系统和客户数据的访问仅限于具有合法业务需要的授权人员。Giftpack 在适当情况下采用基于角色的访问原则和最小权限实践。Giftpack 支持旨在降低未经授权访问风险的身份验证和访问控制，包括在适当情况下对内部系统使用多因素身份验证。单点登录和相关身份控制可根据服务配置和计划提供支持。

第 5 节

安全开发和变更管理

Giftpack 维护旨在支持安全软件交付的开发和变更管理实践。代码变更和基础设施更新应通过适合服务环境的受控流程进行审查、测试和部署。

第 6 节

监控、日志和漏洞管理

Giftpack 维护监控和日志实践，旨在支持对潜在安全事件和运营异常的检测、调查和响应。Giftpack 执行漏洞扫描和定期安全测试，包括渗透测试，并根据风险、严重性和运营背景审查已识别问题以进行修复。

第 7 节

事件响应

Giftpack 维护事件响应流程，旨在适当支持安全事件的识别、升级、遏制、调查、修复和沟通。相关客户可能会根据合同和法律义务收到通知，包括适用情况下 Giftpack 的数据处理附录。

第 8 节

人员和内部安全

Giftpack 的安全计划由内部政策、保密义务和安全意识实践支持，旨在强化对系统和数据的负责任处理。

第 9 节

隐私和数据保护

Giftpack 的安全和隐私实践旨在支持对个人数据和机密信息的负责任处理。更多信息请查看 Giftpack 的隐私政策和数据处理附录。

第 10 节

合规和保证

Giftpack 维护涵盖相关安全控制的 SOC 2 Type II 报告。Giftpack 的隐私和安全计划参考公认框架和监管要求设计，包括 GDPR、CCPA 以及在适当情况下与 ISO 27001 原则一致的控制。

第 11 节

供应商和子处理者管理

Giftpack 在评估和管理第三方服务提供商时会考虑安全和隐私因素。数据访问旨在限制于服务交付所必需的范围，并在适当情况下使用合同保护。

第 12 节

安全审查请求

需要额外安全审查、问卷、评估支持、SOC 2 材料或采购支持文件的客户，可通过 Giftpack 的安全或采购审查渠道提交请求。Giftpack 可在保密要求、客户资格和内部审查的约束下提供额外文件。