隐私-这是一项基本人权
我们将捍卫你的数据
我们会收到各式各样法律程序上的要求,需要我们提供信息或采取行动。我们要求政府和私人机构在请求获取用户信 息和数据时,也遵循适用的法律和法规。同时,我们在合约中也要求自己的服务提供商,在面对来自政府的Cloudlung数据请求时 遵循同样的标准。我们的法律团队会进行审核,以确保这些请求具备有效的法律依据。如果请求符合法律规定,我们会回应请求 ,提供相关数据。如果请求缺乏有效的法律依据,或者我们认定请求不明确、不恰当或过于宽泛,我们会质疑或拒绝该请求。
承诺:
- 1.我们从未就任何产品或服务建立过所谓的“后门”或“万能钥匙”,也从未允许任何政府直接访问我们的服务器,并且永远不会。
- 2.我们将继续努力,为用户实现更高的透明度和数据安全保护力度。
- 3.我们通过明确定义的成熟响应策略和流程、强有力的合同承诺(必要情况下还可通过法庭)来捍卫你的数据。我们认为应将政府对你数据的所有请求转交给你。我们不允许任何政府直接或不受限制地访问客户数据。
执法请求时:如果我们收到对于你的数据的请求,我们将立即通知你,并提供请求的副本,除非法律禁止我们这么做。此外,我们将让请求方直接向你索取数据。 同时我们不会向政府或执法机构披露数据,除非你给出指示或法律要求。我们会仔细审查政府的所有要求,以确保这些要求在法律上有效且适当。
透明度报告:倘若政府给予合理充分的请求,并且我们经过审理通过了,那么我们将公示有关政府提出的请求。
合规性承诺
我们拥有独立开发的内部安全规则规则,此标准会兼容部分合规性要求,详情查看产品/服务默认支持的合规性列表。同时我们也可以使用部分地区的合规性标准,在此罗列了部分美国与中国的可扩展的合规性标准,详情查看产品/服务可扩展的合规性列表。我们接受指定合规标准的请求(仅限部分定制服务/产品)。
产品/服务默认支持的合规性:联邦信息处理标准 (FIPS),国际武器贩运条例 (ITAR),联邦风险和授权管理项目 (FedRAMP),《IPSecVPN技术规范》。
产品/服务可扩展的合规性:美国国防部 (DOD),GM/Z0001-2013《密码术语》,《智能IC卡及智能密码钥匙密码应用接口规范》,《随机性检测规范》,《密码模块安全检测要求》,GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等。
产品/服务合规性详情:
联邦信息处理标准 (FIPS):
联邦信息处理标准 (FIPS) 140-2,联邦信息处理标准 (FIPS) 出版物 140-2 是一项美国政府标准,它定义信息技术产品中加密模块的最低安全要求,如 1996 年信息技术管理变革法案第 5131 节中的定义。加密模块验证计划 ( CMVP) 是美国国家标准和技术协会 (NIST) 和加拿大网络安全中心 (CCCS) 的一项联合努力,它验证加密模块符合加密模块标准的安全要求 (即 FIPS 140-2) 和相关 FIPS 加密标准。 FIPS 140-2 安全要求涵盖与设计和实现加密模块相关的 11 个方面。 NIST 信息技术实验室运行相关程序,以验证模块中 FIPS 批准的加密算法。国际武器贩运条例 (ITAR):
美国国务院负责管理国防物品的导出和临时导入 (这意味着根据“美国弹药清单”指定的任何项或技术数据, 如《武器出口管制法》第 22 章 22 CFR 121.1) 中所述, (第 22 版 USC 2778) 和 ITAR (国际武器流量条例) (标题 22 CFR 120-130) 。 国防贸易管制局 (DDTC) 负责管理这些计划所管理的实体。联邦风险和授权管理项目 (FedRAMP):
美国联邦风险和授权管理计划 (FedRAMP) 的建立,旨在根据《联邦信息安全管理法》 (FISMA) 提供评估、监视和授权云计算产品和服务的标准化方法,并加速联邦机构采用安全云解决方案。管理和预算办公室现在要求所有联邦执行机构使用 FedRAMP 来验证云服务的安全性。 (其他机构也采用了它,因此它也在公共部门的其他领域也很有用。) 美国国家标准与技术研究院 (NIST) SP 800-53 设置了强制性标准,建立了信息系统的安全类别(机密性、完整性和可用性),以评估其信息和信息系统受到威胁时对组织的潜在影响。 FedRAMP 是认证云服务提供商 (CSP) 符合这些标准的计划。
美国国防部 (DOD):
我们所支持的版本包括但不限于(IL2,IL5)。美国国防部信息系统局 (DISA) 是美国国防部 (DoD) 的一个机构,负责开发和维护 DoD 云计算安全要求指南 (SRG) 。 SRG 定义 DoD 用于评估云服务提供商 (CSP) 的安全状况的基准安全要求,以支持授权 DoD 临时授权 (PA) 以允许云解决方案提供商托管 DoD 任务的决定。 它合并、取代并撤销之前发布的 DoD 云安全模型 (CSM) 并映射到 DoD 风险管理框架 (RMF)GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》:
该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求,以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。与GM/T0054-2018《信息系统密码应用基本要求》相比,该标准结合近年来商用密码应用与安全性评估工作实践对部分内容进行了优化,按照信息系统安全等级分别提出了相应的密码应用要求。
《IPSec VPN技术规范》
GM/T0022-2014《IPSecVPN技术规范》支持涵盖内容包括但不限于:
GM/T0023-2014《IPSecVPN网关产品规范》
GM/T0024-2014《SSLVPN技术规范》
GM/T0025-2014《SSLVPN网关产品规范》
GM/T0026-2014《安全认证网关产品规范》
GM/T0027-2014《智能密码钥匙技术规范》
GM/T0028-2014《密码模块安全技术要求》
GM/T0029-2014《签名验签服务器技术规范》
GM/T0030-2014《服务器密码机技术规范》
GM/T0031-2014《安全电子签章密码技术规范》
GM/T0032-2014《基于角色的授权管理与访问控制技术规范》
GM/T0033-2014《时间戳接口规范》
GM/T0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》
GM/T0035-2014《射频识别系统密码应用技术要求》
GM/T0036-2014《采用非接触卡的门禁系统密码应用技术指南》
GM/T0037-2014《证书认证系统检测规范》
GM/T0038-2014《证书认证密钥管理系统检测规范》
《密码模块安全检测要求》
《密码模块安全检测要求》支持涵盖内容包括但不限于:
GM/T0039-2015密码模块安全检测要求
GM/T0040-2015射频识别标签模块密码检测准则
GM/T0041-2015智能IC卡密码检测规范
GM/T0042-2015三元对等密码安全协议测试规范
GM/T0043-2015数字证书互操作检测规范