跳过导航
法律

Sketch 安全措施

2023 年 4 月 13 日版本

在 Sketch,我们关心您的隐私。因此,我们采取了多项安全措施来保护您的数据。

控制环境

  • Sketch 拥有一套行为准则和违规纪律流程,所有人员和/或承包商在雇佣/合作开始时都必须阅读并确认。
  • Sketch 与第三方或分包商之间的协议包含明确定义的条款、条件和责任,包括信息安全责任。
  • Sketch 正在进行的风险评估和管理流程包括定期审查其组织结构,以帮助满足不断变化的承诺和系统要求。
  • 管理层对员工、承包商和分包商进行定期绩效评估。

沟通和信息

  • Sketch 会记录核心信息,包括但不限于开发、财务交易、工资单和费用。
  • Sketch 已实施重要流程的政策和程序,并向所有人员和/或承包商提供这些政策和程序。
  • Sketch 和用户的责任在 Sketch 的服务条款中描述。
  • 计划内或紧急系统更改会在内部传达给所有相关利益相关者。这通过事件和变更管理程序来覆盖。
  • status.sketch.com 被 Sketch 用来告知其客户和利益相关者事件和可用性以及重大维护操作。 用户可以订阅此状态仪表板的电子邮件更新。

风险评估

  • Sketch 拥有专门的信息安全团队,他们定期与法律团队和高层管理人员会面,以审查风险评估和安全策略。
  • Sketch 管理层的适当级别参与风险管理流程,风险识别考虑内部和外部因素及其对实现目标的影响。
  • 作为风险管理流程的一部分,风险评估包括管理层关于如何管理内部和外部风险的决策(是否接受、避免、减少或分担风险),并考虑潜在的欺诈活动。
  • Sketch 基于 ISO27005 等国际标准执行年度、定期和临时信息安全评估。

控制活动

  • Sketch 平台和产品始终从存储在 Github 等源代码管理系统中的源代码构建和部署。
  • 在部署到生产环境之前,任何部署都在非生产环境中进行测试,并由工程师和专门的 QA 团队进行测试。 不使用生产数据进行测试。
  • 部署是完全自动化的,并由专门的基础设施团队控制。 使用基础设施即代码实践。
  • 对软件的所有更改都会被记录。

监控活动

  • Sketch 识别安全风险并评估现有控制措施的有效性,并根据需要进行更改以解决任何已识别的风险。 具有受影响领域专业知识的人员被分配来调查和制定风险缓解措施。 主要安全风险和事件会遵循事件程序,包括通过事后分析进行跟进。
  • Sketch 的政策和流程变更会在全公司范围内传达。 主要变更通过内部 HR 工具宣布,以确保公司中的每个人都阅读并批准这些变更。
  • 政策存储在公司范围内的知识库系统中,在该系统中会跟踪变更,并且每个人始终可以使用最新版本。 管理层会审查并批准政策。

逻辑访问控制

  • Sketch 对客户创建的文档、数据和使用日志的访问通过 AWS 身份访问管理机制进行控制。
  • 具有生产环境或客户数据访问权限的帐户,强制执行双因素身份验证。
  • Sketch 的员工只能根据用户的书面指示访问用户的数据。 对客户数据的访问根据角色和需要知道的基础进行限制。
  • Sketch 的员工通过完成访问请求并使用自己的凭据来获得对上述信息的访问权限。 禁止在生产系统上使用共享帐户或密码。
  • 当员工/自由职业合同终止时,访问权限会立即被删除。 Sketch 拥有一个由 Sketch 的 HR 部门触发的离职程序。
  • 对 Sketch 服务的所​​有访问(包括临时访问)都受到监控,并定期审查,并在必要时根据需要知道的基础进行更新。
  • 不需要的存储的安全擦除由 AWS 处理。
  • 私有 VPC 网络用于存储和访问内部数据。 需要 VPN(带有 2FA 层)才能访问这些数据。
  • Sketch 服务与用户之间的通信始终使用 TLS 1.2 或更高版本进行加密。
  • 部署通过 Slack 传达给所有工程师和员工。
  • 配置更改通过源代码管理系统进行跟踪,并宣布给基础设施工作人员。

系统操作和变更管理

  • 所有代码更改和配置更改都至少由 Sketch 工程团队(和/或基础设施团队,如果需要)的一名成员进行审查。 QA 在这些更改合并并部署到非生产环境之前参与,并审查这些更改以确保它们满足目标。
  • 更改会自动进行测试和扫描,以查找已知漏洞。 还会自动检查使用的依赖项是否存在已知漏洞和可用更新。 已安装自动警报系统。
  • CI 测试用于在合并任何更改之前测试和验证应用程序逻辑。
  • Sketch 使用多个环境来开发和测试更改。 生产环境与其他所有环境完全隔离。
  • 部署到生产和非生产环境由基础设施团队领导。
  • Sketch 正在运行多个渗透测试程序。 管理层会审查测试结果以确定威胁级别。 事件程序用于关键发现,以确保尽快解决这些问题,包括缓解和后续行动。
  • 遥测和匿名使用数据(例如,异常、日志)用于优化 Sketch 服务。
  • 监控用于遥测和使用报告,以快速检测技术问题,从而解决这些问题。 安全问题和事件的缓解和解决是优先事项。
  • 通过多个系统执行所有数据的备份,以防止数据丢失,并确保在需要时可以快速恢复系统。
  • Sketch 正在确保处理系统和服务的持续保密性、完整性和可用性。
  • 数据始终以加密方式传输(使用 TLS 1.2 或更高版本)。
  • 数据以加密方式存储在 Sketch 的环境中。
  • 所有备份数据都已加密。
  • Sketch 使用密钥管理系统。

风险缓解

  • Sketch 制定了一项业务连续性计划,其中包含遏制可能发生的业务中断的说明。