新增功能:智能动画 — 为您的原型添加动效。 了解更多

新增功能:智能动画 — 为您的原型添加动效。 了解更多
跳过导航
法律

Sketch 安全措施

2023 年 4 月 13 日版本

在 Sketch,我们关心您的隐私。因此,我们采取了多项安全措施来保护您的数据。

控制环境

  • Sketch 有一套行为准则和违规处分流程,所有员工和/或承包商在入职/开始合作时都必须阅读并确认。
  • Sketch 与第三方或分包商之间的协议包括明确定义的条款、条件和责任,包括信息安全责任。
  • Sketch 的持续风险评估和管理流程包括定期审查其组织结构,以帮助满足不断变化的承诺和系统需求。
  • 管理层定期对员工、承包商和分包商进行绩效评估。

沟通与信息

  • Sketch 执行核心信息的日志记录,包括但不限于开发、财务交易、工资和费用。
  • Sketch 已为重要流程实施了政策和程序,并将其提供给所有员工和/或承包商。
  • Sketch 和用户的责任在 Sketch 的服务条款中进行了描述。
  • 计划的或紧急的系统更改会内部传达给所有相关利益相关者。这通过事件和变更管理程序涵盖。
  • status.sketch.com 用于 Sketch 向其客户和利益相关者通报事件和可用性以及主要维护操作。用户可以订阅此状态仪表板的电子邮件更新。

风险评估

  • Sketch 拥有一个专门的信息安全团队,该团队定期与法律团队和高层管理人员会面,以审查风险评估和安全政策。
  • Sketch 管理层的适当级别参与了风险管理流程,风险识别考虑了内部和外部因素及其对目标实现的影响。
  • 作为风险管理流程的一部分,风险评估包括管理层关于如何管理内部和外部风险(是否接受、避免、降低或分担风险)的决策,并考虑潜在的欺诈活动。
  • Sketch 基于 ISO27005 等国际标准执行年度、定期和临时信息安全评估。

控制活动

  • Sketch 平台和产品始终从存储在 Github 等源代码管理系统中的源代码构建和部署。
  • 在部署到生产环境之前,任何部署都将在非生产环境中进行测试,并由工程师和专门的 QA 团队进行测试。测试不使用生产数据。
  • 部署完全自动化,并由专门的基础设施团队控制。使用基础设施即代码实践。
  • 所有软件更改都将记录在案。

监控活动

  • Sketch 识别安全风险并评估现有控制措施的有效性,并根据需要进行更改以解决任何已识别的风险。将具有受影响领域专业知识的人员分配到调查和制定风险缓解措施。对于重大安全风险和事件,将遵循事件程序,包括通过事后分析进行后续跟踪。
  • Sketch 的政策和流程变更将在公司范围内进行沟通。通过内部人力资源工具宣布重大变更,以确保公司中的每个人都阅读并批准这些变更。
  • 政策存储在公司范围内的知识库系统中,其中跟踪更改,并且最新版本始终可供所有人使用。管理层会审查和批准政策。

逻辑访问控制

  • Sketch 对客户创建的文档、数据和使用日志的访问通过 AWS 身份访问管理机制进行控制。
  • 具有生产环境或客户数据访问权限的帐户强制执行双因素身份验证。
  • Sketch 的员工只有在获得用户的书面指示后才能访问用户的数据。根据角色和知情权基础限制对客户数据的访问。
  • Sketch 的员工通过完成访问请求获得上述信息的访问权限,并将使用他们自己的凭据。在生产系统上禁止使用共享帐户或密码。
  • 当员工/自由职业合同终止时,访问权限将立即被撤销。Sketch 拥有由 Sketch 人力资源部门触发的离职流程。
  • 所有对 Sketch 服务的访问(包括临时访问)都将被监控,并在必要时根据知情权基础定期审查和更新。
  • AWS 处理不需要的存储的安全擦除。
  • 使用私有 VPC 网络存储和访问内部数据。访问这些数据需要 VPN(带 2FA 层)。
  • Sketch 的服务与用户之间的通信始终使用 TLS 1.2 或更高版本加密。
  • 部署通过 Slack 传达给所有工程师和员工。
  • 配置更改通过源代码管理系统进行跟踪,并通知基础设施团队成员。

系统操作和变更管理

  • 所有代码更改和配置更改都将由 Sketch 工程团队的至少一名成员(以及在需要时由基础设施团队)进行审查。在这些更改合并并部署到非生产环境之前,QA 会参与其中,并审查这些更改以确保它们满足目标。
  • 更改会自动测试并扫描已知的漏洞。还会自动检查使用的依赖项是否存在已知的漏洞和可用的更新。到位自动警报系统。
  • CI 测试用于在任何更改合并之前测试和验证应用程序逻辑。
  • Sketch 使用多个环境来开发和测试更改。生产环境与所有其他环境完全隔离。
  • 对生产环境和非生产环境的部署由基础设施团队领导。
  • Sketch 正在运行多个渗透测试程序。管理层会审查测试结果以确定威胁级别。对于关键发现,将使用事件程序以确保尽快解决这些问题,包括缓解和后续跟踪。
  • 遥测和匿名使用数据(例如异常、日志)用于优化 Sketch 服务。
  • 对遥测和使用报告进行监控,以便快速检测技术问题,目标是修复这些问题。安全问题和事件的缓解和解决被优先考虑。
  • 通过多个系统执行所有数据的备份,以防止数据丢失并确保系统在需要时可以快速恢复。
  • Sketch 确保处理系统和服务的持续机密性、完整性和可用性。
  • 数据始终以加密方式传输(使用 TLS 1.2 或更高版本)。
  • 数据在 Sketch 的环境中加密存储。
  • 所有备份数据都已加密。
  • Sketch 使用密钥管理系统。

风险缓解

  • Sketch 制定了业务连续性计划,其中包含控制可能发生的业务中断的说明。