我们的数据是否安全？

我们使用行业标准协议和最佳实践来保护您的数据和隐私。
在当今复杂且受监管的环境中，我们的用户信任我们，通过符合行业标准的工具和实践来保护他们的数据。本页面概述了Netatoo为满足这些要求所做的努力。

在当今复杂且受监管的环境中，我们的用户信任我们，通过符合行业标准的工具和实践来保护他们的数据。本页面概述了Netatoo为满足这些要求所做的努力。

数据库和访问安全

首先，我们通过限制对我们主应用数据库的访问到应用层和一组固定的Netatoo已知IP地址来保护我们的持久层。这种访问限制是通过防火墙规则、身份验证机制（要求用户证明其身份）和基于角色的权限授权的组合来实现的。

数据备份和恢复

我们通过自动创建具有地理冗余的方法的数据库备份来应对应用数据灾难性丢失的可能性（例如自然灾害后）。

我们创建完整和差异备份，每个备份都使用AES-256算法加密。
数据库的完整备份每隔几个小时进行一次，而差异备份通常每小时进行一次，事务日志备份通常每10到15分钟进行一次。
在数据丢失的情况下，我们能够将数据恢复到特定时间点，以尽量减少信息丢失。备份的完整性通过半自动和定期的方式进行验证，以确保存储的数据符合要求。
备份保留90天，然后销毁。

安全审计和威胁检测

为了帮助我们保持法规合规性、了解数据库活动以及更好地理解可能表明安全违规的差异和异常（欧盟GDPR的另一个方面），我们在服务器上部署了高级审计以实现威胁检测。这些服务在威胁发生时检测潜在威胁（例如异常数据库连接、SQL注入漏洞），并立即提醒我们的团队以便采取必要措施。在GDPR的特殊情况下，该服务是我们技术机器的关键组成部分，使我们能够检测数据泄露并在发生这种情况的情况下通知监管机构。

连接安全和HTTPS协议

在应用层，我们强制所有传入请求使用安全的HTTPS连接（HTTP over TLS）。根据客户端设备，连接可以使用TLS 1.0、TLS 1.1.1或TLS 1.2。我们禁止使用过时和易受攻击的SSL 2和SSL 3协议的连接。

高级HTTP安全头

接受的TLS连接使用采用最强Web标准的SSL证书进行加密。作为所有HTTPS响应的一部分，我们的服务器包含了一些高级安全头。这些包括：

X-XSS-Protection 命令现代浏览器在检测到反射型XSS（跨站脚本）攻击时中断通信。
Content-Security-Policy 要求浏览器采取严格措施以防止跨站脚本（XSS）、点击劫持（clickjacking）和其他由于在可信网页上下文中执行恶意内容而导致的代码注入攻击。
Strict-Transport-Security 也称为HSTS。要求浏览器仅使用HTTPS访问ballejaune.com / openresa.com（即从不使用HTTP）。我们已部署此头，具有较长的生存期。
Expect-CT 要求客户端/浏览器实施证书透明性要求（即验证我们网站的证书是否出现在公共CT日志中），这有助于防止使用不正确的Netatoo证书。
Referrer-Policy 允许我们控制“referer”头的值（原文如此），用于我们页面之外的链接。在我们的情况下，我们指定当导航导致从HTTPS降级到HTTP时不应设置“referer”头。

独立安全审计结果

Netatoo获得独立服务securityheaders.io的“A”评级，该服务验证已实施的不同元素。您可以按需为ballejaune.com和openresa.com运行测试并自行查看报告。我们也鼓励您将测试与您使用或打算使用的其他网站进行比较。

Netatoo的应用托管服务器也获得了行业标准的独立Qualys SSL Labs服务器测试的“A+”评级。您可以按需运行测试并自行查看报告。报告指出，我们不易受到一些最新漏洞的攻击，如BEAST、POODLE和Heartbleed。再次，我们鼓励您将测试与您使用或打算使用的其他网站进行比较。

攻击预防和Cookie安全

为了帮助防止字典攻击，我们的登录机制还使用账户锁定功能，如果多次输入错误的登录密码。

服务器发送给客户端用于身份验证和请求验证的Cookie始终标记为“HttpOnly”和“Secure”，其域和值路径适当地设置为与ballejaune.com / openresa.com一起使用。

在线支付安全

关于在线支付，Netatoo符合PCI标准。在实践中，所有支付均直接通过您选择的支付网关（PayPal、Paybox Verifone）处理。因此，没有敏感支付详细信息接触Netatoo拥有的系统（相反，它透明地重定向到您的网关，然后通过基于令牌的方法进行管理）。

交易电子邮件安全

我们的服务发送的交易电子邮件使用最新的电子邮件验证安全功能。这包括有效的SPF、DKIM和DMARC策略。在DMARC的情况下，我们发布的策略要求接收服务器将所有未通过DMARC测试的消息隔离。这些功能是帮助防止垃圾邮件、欺骗和网络钓鱼攻击的高级工具。当然，我们还在发送的所有电子邮件中包含退订链接，并实施速率限制系统以帮助防止电子邮件轰炸攻击。

Netatoo的内部安全实践

在组织层面，Netatoo的员工根据“需要知道”和“最小特权”的安全原则对数据的访问受到限制。开发和测试系统部署在不对外开放的内部网络上。应用源代码在私有存储库中管理，不包含任何敏感信息（如API密钥、密码或连接字符串）。

服务可用性监控

在发生事件（例如应用程序故障、性能下降或其他）时，您可以通过以下地址通过Pingdom跟踪我们的服务状态：http://stats.pingdom.com/rn0d9ch52vnj/1678478

持续更新和最佳实践

最后，我们特别注意定期更新我们的服务器和内部系统，以提供最新的安全补丁。我们每60天更改一次密码，并在我们使用的几乎所有应用程序和第三方服务中使用双因素身份验证。

结论

我们希望这些信息帮助您了解Netatoo为保护您的数据而实施的主要安全机制。我们不断审查我们的安全程序，因此这些信息可能会随着我们对安全环境的变化做出反应而改变。

联系我们

邮寄地址：
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

电子邮件：
support@openresa.com

更新于2025年6月12日星期四