概述
Wave Connect 高度重视安全。我们在基础设施、应用开发、访问管理和员工运营等各方面实施行业标准安全实践,以保护您和您团队的数据。 更多详情请访问 security.wavecnct.com。合规与认证
| 认证 | 详情 |
|---|---|
| SOC 2 Type II | 已认证。报告可在签署保密协议后提供,请联系 security@wavecnct.com |
| CSA STAR Level 1 | 已列入云安全联盟 STAR 注册表 |
| GDPR | 完全合规。企业客户可获得数据处理协议 |
| EU AI Act | 符合适用要求 |
- OWASP Top 10
- CSA CAIQ
- CIS 基准
- NIST 对标实践
基础设施
Wave 的基础设施建立在托管云服务之上,与服务提供商共同承担安全责任。| 提供商 | 角色 |
|---|---|
| Google Cloud Platform | 核心应用基础设施、计算和网络 |
| Vercel | 前端交付和边缘网络 |
| PlanetScale | 数据库(MySQL 兼容,全球分布式) |
| Cloud Storage | 文件和资产存储 |
数据驻留
- 客户应用数据存储并处理于 美国
- 数据仅在已批准的地区处理
- Enterprise 客户可咨询数据驻留选项
加密
传输中- 所有连接使用 TLS 1.3
- 所有端点强制使用 HTTPS
- 启用 HSTS
- 所有存储数据使用 AES-256 加密
- 通过 Google Cloud KMS 进行云托管加密密钥管理
- 通过 Secret Manager 强制执行密钥轮换和访问控制
身份与访问管理
身份验证选项- SAML 2.0 单点登录
- OpenID Connect(OIDC)
- SCIM 2.0 自动预配和取消预配
- 启用 SAML 或 OIDC 时通过 SSO 提供商强制执行
| 角色 | 访问权限 |
|---|---|
| Owner(所有者) | 完全账户访问,包括账单和计划管理 |
| Admin(管理员) | 管理用户、模板、联系人和设置 |
| Manager(经理) | 管理分配团队的线索和分发模板,无公司级设置权限 |
| Member(成员) | 使用分配的数字名片并查看自己的联系人 |
| Viewer(查看者) | 只读访问 |
- 所有内部访问遵循最小权限原则
- 每季度进行内部访问审查
- 用户离职时通过 SCIM 自动取消预配
密码安全
- 强制执行最低密码长度和复杂度要求
- 多次登录失败后账户锁定
- 通过已验证邮件进行安全密码重置
- 空闲时强制会话超时
应用安全
安全开发生命周期- 功能设计阶段进行威胁建模
- 合并前必须进行同行代码审查和拉取请求审批
- 每次发布审查安全要求
- 专门的发布审批流程
- 对所有代码变更进行 CodeQL 静态分析
- 自动化依赖项漏洞扫描
- 密钥扫描防止代码中的凭据泄露
- 遵循 OWASP Top 10 指南
- 强制执行输入验证和输出编码
- 定期更新依赖项
漏洞管理
扫描- 持续自动化依赖项扫描
- 基础设施漏洞扫描
| 严重程度 | 目标修复时间 |
|---|---|
| 严重 | 24 小时 |
| 高 | 7 天 |
| 中 | 30 天 |
| 低 | 90 天 |
- 每年进行一次独立第三方渗透测试
- 根据严重程度时间表对发现的问题进行分类和修复
监控与日志
收集的日志包括:- 身份验证事件(登录、注销、失败尝试)
- 管理员操作(用户变更、设置更新)
- API 活动
- 安全事件
- 通过 Google Cloud Monitoring 进行 24/7 云基础设施监控
- 异常和安全事件的自动告警
- 可疑登录检测
事件响应
Wave 维护正式的事件响应计划,涵盖:- 严重程度分类:严重、高、中、低
- 调查流程:遏制、分析和证据保全
- 根本原因分析:所有重大事件后进行事后审查
- 客户通知:按监管要求及时通知受影响客户
- 监管通知:GDPR 违规通知在 72 小时内发出(如适用)
- 事后总结:重大事件后内部记录和审查
业务连续性与备份
恢复目标- RTO(恢复时间目标):4 小时
- RPO(恢复点目标):1 小时
- 已制定正式的 BCP 并每半年进行一次测试
- 定期测试灾难恢复计划
- 每日自动备份
- 备份静止时加密
- 定期进行恢复测试
- 备份保留策略与数据分类政策保持一致
可用性
- 具备自动故障转移的高可用架构
- 状态页面:status.wavecnct.com
- Enterprise 客户可获得 SLA
网络安全
- Google Cloud 防火墙和 Cloud Armor
- 网络层和应用层 DDoS 缓解
- 所有 API 端点的速率限制
- OWASP 对标保护(注入、XSS、CSRF)
- 入侵检测和防御系统(IDS/IPS)
端点安全
所有员工设备均需遵守:- 全盘加密
- 公司管理设备策略
- 防病毒和端点保护
- 操作系统和安全自动更新
- 屏幕锁定强制执行
- 远程访问的最低设备要求
物理安全
Wave 是一家远程优先公司,没有本地数据中心。物理基础设施安全由 Google Cloud 负责管理,其数据中心已获得 ISO 27001、SOC 2 及其他标准的独立认证。 员工遵循安全家庭办公要求,设备在报废时进行安全处置。员工安全
- 对所有员工进行背景调查
- 入职时进行安全意识培训
- 每季度进行安全和隐私培训
- 所有员工签署可接受使用政策
- 签订保密协议
供应商安全
Wave 维护供应商风险管理计划。在接入前对第三方提供商进行审查,并根据其安全状况(SOC 2 报告、安全调查问卷和供应商评估)进行评估。 主要子处理商| 供应商 | 用途 |
|---|---|
| Google Cloud | 基础设施和计算 |
| Vercel | 前端和边缘交付 |
| PlanetScale | 数据库 |
| Twilio | 短信通信 |
| Stripe | 支付处理 |
| Shopify | 电子商务 |
| Zendesk | 客户支持 |
| Microsoft | 生产力工具和集成 |
| MaxMind | IP 地理定位 |
AI 安全
Wave 在以下功能中使用 AI:- 通用徽章扫描仪:OCR 提取名片和活动徽章上的联系人信息
- 联系人信息补全:从公开来源填充缺失的个人资料字段
- 内容审核:检测个人资料上违反政策的内容
- 客户数据不会用于训练 AI 模型
- AI 功能在适用情况下可以禁用
- AI 提供商已在我们的子处理商列表中披露
数据分类
| 分类 | 描述 |
|---|---|
| 公开 | 营销内容、面向公众的文档 |
| 内部 | 运营数据、内部通信 |
| 机密 | 客户数据、业务数据、安全配置 |
| 受限 | 身份验证凭据、加密密钥、审计日志 |
数据保护
- 逻辑租户隔离:每个组织的数据在应用和数据库层面分离
- 基于角色的访问控制防止跨租户数据访问
- 所有敏感操作均有审计日志
- 在收集时应用数据最小化原则
企业安全功能
单点登录(SAML)
通过 SAML 2.0 或 OIDC 使用您的身份提供商对用户进行身份验证。
目录同步(SCIM)
自动化用户预配、取消预配和团队映射。
自定义域名
为 Wave 个人资料和分享链接使用您自己的域名。