安全

在Skilljar,数据安全和客户信任是至关重要的。我们致力于提供可靠和高可用性的服务,完善的企业级安全。

表的内容
SOC 2认证

Skilljar致力于维护客户信息的安全。每年,Skilljar都会与美国注册会计师协会(AICPA)认证的独立第乐动体育 足球新闻三方评估师一起完成服务组织控制2 II型(SOC 2 II型)审计。该审计使用AICPA发布的信托服务原则来评估服务组织控制的有效性。

SOC 2认证

更多关于SOC 2报告的信息可以在这里找到在这里

Salesforce.com安全审查

Skilljar已经成功完成了Salesforce.com的安全审查,现在已经在Salesforce AppExchange上上市。

托管和物理安全

Skilljar服务器托管在Heroku上,Heroku是一个应用平台,它反过来使用Amazon Web services (AWS)提供的服务。因此,Skilljar继承了Amazon通过SSAE16 SOC 1、2和3、ISO 27001和FedRAMP/FISMA报告和认证维护和演示的控制环境。Web服务器和数据库运行在安全数据中心的服务器上。物理访问仅限于授权人员。监控场所并记录访问。

你可以在这里进一步了解AWS和Heroku的安全和认证:

隔离的服务

Skilljar服务器运行在Linux虚拟机中,这些虚拟机彼此隔离,并与底层硬件层隔离。服务器进程被限制到一个特定的目录,并且不能访问本地文件系统。

网络安全

Skilljar服务只能通过HTTPS访问。HTTPS上的流量是加密的,并且保护(TLS 1.2及更高)不被未经授权的第三方拦截。Skilljar只使用强加密算法,密钥长度至少为128位。
所有网络访问,包括数据中心内部和数据中心与外部服务之间的访问,都受到防火墙和路由规则的限制。记录网络访问日志,且日志至少保留30天。

Skilljar服务器只能通过HTTPS访问,并且拒绝对其他端口的访问,除了为管理启用了SSH访问(受TLS和私钥身份验证保护)。根据角色和业务需要,管理权限仅授予Skilljar的部分员工。

Skilljar服务中使用的数据库访问是通过加密链接(TLS)进行的。

身份验证

客户端使用只有他们知道的密码登录Skilljar,并且只能通过安全(HTTPS)连接。要求客户端拥有合理的强密码。密码不会未经加密存储;相反,按照标准做法,只有密码的安全散列存储在数据库中。因为哈希的计算成本相对较高,而且使用了“盐”方法,所以暴力猜测的尝试相对无效,而且即使哈希值是由恶意方获得的,密码反向工程也很困难。

当客户端允许终端用户使用用户提供的凭证(单点登录)连接到Skilljar时,这是使用安全令牌、OAuth或SAML 2.0完成的,在这些情况下,Skilljar系统中不需要存储凭证。

开发过程

Skilljar的开发人员接受过安全编码实践的培训。Skilljar应用程序体系结构包括针对常见安全缺陷(如OWASP Top 10)的缓解措施。Skilljar应用程序使用行业标准,高强度算法,包括AES和bcrypt。定期进行安全测试,包括使用扫描和模糊工具检查漏洞。

员工筛选及政策

作为雇佣条件,所有Skilljar员工都要接受入职前的背景调查,并同意公司政策,包括安全和可接受的使用政策。乐动-app直播

数据隐私

Skilljar有一项隐私政策,详细说明了我们保护客户信息的步骤。你可以在这里查看隐私政策://www.besttradeshow.com/privacy

GDPR

Skilljar存储了最低限度的个人身份信息(PII),并且仅根据我们的订阅者的指示,用于提供Skilljar服务。我们的订阅者充当数据控制器,决定将哪些数据发送到Skilljar进行处理。根据GDPR原则,订阅用户应避免与Skilljar分享除基本信息(姓名和电子邮件地址)之外的不必要的个人信息。

GDPR规定,数据控制人员必须向用户提供有关他们的个人数据是如何被收集、使用、存储和共享的具体信息。因此,您可能需要更新您的隐私政策,以反映您为提供培训项目而将Skilljar作为数据处理器的使用。Skilljar还提供了一些工具,订阅者可以使用这些工具来提供此类通知。例如,您可以利用Skilljar的弹出式模式在用户注册时提供通知。

如果你的法律顾问认为你在使用Skilljar之前还需要获得用户的同意,请确保你更新了Skilljar的配置,只发送那些提供所需同意或已经同意的数据。

Skilljar遵循以下与GDPR相关的政策:

  • 隐私政策:Skilljar的隐私政策已经更新,以与GDPR保持一致://www.besttradeshow.com/privacy/
  • 模型条款和数据处理协议(DPA): Skilljar将DPA作为我们默认合同的一部分。如果您是或代表我们的订阅用户之一,已与我们签署独立的符合gdp的数据处理协议或附录,则您现有的数据处理附录或协议的条款将继续适用,而您无需采取任何其他步骤。
  • 处理基础:Skilljar收集和处理数据,以履行我们与用户的合同。每个订阅者,作为数据控制人,有责任确定处理数据和记录欧盟数据主体同意的合法基础,如果同意是处理的合法基础。
  • 数据存储:所有数据都通过Amazon Web Services安全地存储在美国。
  • 数据删除、更正、编辑或提取:如果功能尚未提供自助服务,Skilljar将根据订阅者的请求导出、更正或删除学生数据(Skilljar为订阅者管理员提供了在Skilljar仪表板中响应例行访问和导出请求的能力)。
  • 同意:Skilljar是一个数据导入器,数据主体的同意是订阅者作为数据控制器的责任。Skilljar提供的产品功能可以帮助订阅者获得并记录同意。
  • 营销:Skilljar不营销或转售任何代表订阅者收集的联系数据。
数据库存
数据类型 收集依据 笔记
电子邮件地址 要求 这是Skilljar提供服务的最低要求。
其他最终用户人口统计信息(姓名、职务、公司等)乐动-app直播 按认购人指示 我们依赖我们的订阅者只分享满足我们义务所必需的数据。
培训分析(课程进度、课程名称等) 按认购人指示 用户已购买Skilljar报告个人培训分析。
Web浏览器分析(IP地址,会话时间等) 经最终用户同意 目前的电子隐私提案承认,同意可以通过浏览器设置和创建一个豁免的同意要求第三方分析。此外,提案要求浏览器提供商允许个人在初始设置期间配置浏览器,以防止使用cookie和类似技术。

需要注意的是,GDPR没有经过认可的认证方法,因此,没有GDPR批准的方法来证明其符合性。

报告安全问题

Skilljar代表我们的客户、他们的客户和我们自己,认真履行其安全责任。乐动体育 足球新闻我们还认为,安全研究人员在我们提供的控制和产品改进方面的作用至关重要。我们认为,可以用来发现漏洞的道德和安全流程应该有一个适当的渠道向Skilljar提供建议。请参阅下面我们关于漏洞披露程序的标准。

通知

对于Skilljar产品中发现的问题,请将这些问题发送到sec_reporting@skilljar.com

Non-Skilljar问题

如果发现任何与Skilljar知识产权无关的问题,都将向该方提出。这些问题将在我们的程序之外,虽然感激,这些将不会以同样的方式处理。

信息披露过程

Skilljar将认真对待所有报告的问题,并审查细节。如果任何漏洞被确认,Skilljar将立即纠正发现的漏洞。为了保护Skilljar免受混乱测试的影响,任何希望参与我们项目的研究人员都需要遵守我们的流程。我们不会采取法律行动反对任何合法的,非破坏性的测试用来揭示一个问题。Skilljar将需要一个合理的时间框架来审查、重建和处理任何潜在的发现。

请注意,Skilljar没有漏洞奖励计划,我们不会为分享潜在安全漏洞提供奖励或补偿。Skilljar的客户或他们的客户没有资格参加这个项乐动体育 足球新闻目,应该避免任何测试尝试。

信息披露准则
  • 首先,不应该造成数据丢失或服务中断
  • 应提供可感知的漏洞的具体细节和再现步骤
  • 任何数据的隐私都不应被侵犯
  • 数据和系统不应被修改

最后更新:2021年5月12日