Mathpix 安全措施

Mathpix 非常重视安全，并致力于遵守最高的安全标准，以确保我们的客户得到保护。我们目前正在进行 SOC 2 类型 1 认证。有关我们安全实践的更多信息请见下文。

组织安全

• 信息安全计划
  • 我们已建立信息安全计划，并在整个组织内进行沟通。我们的信息安全计划遵循 SOC 2 框架所提出的标准。SOC 2 是由美国注册会计师协会创建的广泛认可的信息安全审计程序。
• 第三方审计
  • 我们组织会接受独立的第三方评估，以测试我们的安全和合规控制。
• 第三方渗透测试
  • 我们至少每年进行一次独立的第三方渗透测试，以确保我们服务的安全性没有受到妥协。
• 角色和责任
  • 与我们的信息安全计划和保护客户数据相关的角色和责任有明确的定义和记录。我们的团队成员需要审阅并接受所有安全政策。
• 安全意识培训
  • 我们的团队成员需要接受覆盖行业标准实践和信息安全主题的员工安全意识培训，如网络钓鱼和密码管理。
• 保密性
  • 所有团队成员在第一天上班之前都需要签署并遵守行业标准的保密协议。
• 背景调查
  • 我们根据当地法律对所有新团队成员进行背景调查。

云安全

• 云基础设施安全
  • 我们的所有服务均托管在 Amazon Web Services (AWS) 上。他们实施了一个强大的安全计划，并拥有多项认证。有关我们提供商的安全流程的更多信息，请访问 AWS 安全。
• 数据托管安全
  • 我们的所有数据均托管在 Amazon Web Services (AWS) 数据库中。这些数据库都位于美国。有关更多信息，请参考上述提供商的文档。
• 静态加密
  • 所有数据库在静态时都进行加密。
• 传输加密
  • 我们的应用程序在传输中仅使用 TLS/SSL 进行加密。
• 漏洞扫描
  • 我们执行漏洞扫描，并积极监控威胁。
• 日志记录和监控
  • 我们积极监控并记录各种云服务。
• 业务连续性和灾难恢复
  • 我们使用数据托管提供商的备份服务，以减少硬件故障时的数据丢失风险。我们利用监控服务在发生影响用户的故障时提醒团队。
• 事件响应
  • 我们有处理信息安全事件的流程，包括升级程序、快速缓解和沟通。

访问安全

• 权限和认证
  • 对云基础设施和其他敏感工具的访问仅限于需要这些权限的授权员工。
  • 在可用的情况下，我们有单点登录 (SSO)、双因素认证 (2FA) 和强密码政策，以确保对云服务的访问受到保护。
• 最小权限访问控制
  • 我们在身份和访问管理方面遵循最小权限原则。
• 季度访问审核
  • 我们每季度对所有具有敏感系统访问权限的团队成员进行访问审核。
• 密码要求
  • 所有团队成员必须遵守最低密码要求和复杂性标准。
• 密码管理器
  • 所有公司发放的笔记本电脑都使用密码管理器，供团队成员管理密码并维护密码复杂性。

供应商和风险管理

• 年度风险评估
  • 我们至少每年进行一次风险评估，以识别任何潜在威胁，包括对欺诈的考虑。
• 供应商风险管理
  • 供应商风险会被评估，并在授权新的供应商之前进行适当的供应商审查。

联系我们

如果您有任何问题、意见或担忧，或者希望报告潜在的安全问题，请联系 security@mathpix.com。