信任保障

我们关心我们的客户及其使用Revizto时的便利。我们的产品让用户尽可能多地关注他们工作流程的实现。其他一切将由我们的团队负责。我们特别关心您数据的安全。
我们公司非常重视数据安全，并承诺负责任地处理数据并遵守适用的信息安全标准和全球数据隐私法。

Revizto 公司集团成立于 2008 年，专注于开发其综合协作平台，业务遍及美洲、EMEA 和 APAC 地区。

以下是我们公司截至目前的全球结构。我们致力于为所有用户提供完全的透明度，因此公司信息和/或结构将不断更新并反映在本节中。

ISO 27001 认证体现了 Revizto 在所有流程中投入并确保最高安全标准、提供最佳技术和服务的承诺。该认证让我们的客户和合作伙伴放心，Revizto 的服务符合数据保护和信息安全的最佳实践，一切都是通过定期的风险评估进行独立确认的。

我们对安全开发Revizto，实施必要的安全控制并执行定期的安全风险评估定义了高要求。程序开发方法是建立在系统开发和项目管理最佳实践的基础上的。

Revizto包括主动安全控制，可帮助避免对台式机/移动应用程序和网络基础设施造成威胁。

我们非常重视测试Revizto组件。Revizto测试包括在开发和测试阶段利用静态代码分析技术。开发、测试和级环境与生产环境相互隔离。

为了提供额外的控制和更好的用户管理流程，我们通过单点登录（SSO）提供用户身份验证。目前，我们支持（LDAP和OAuth（Google Workspace（以前称为G Suite）），并且正在实施SAML。

我们认为，合格的人员是安全维护的主要部分之一。我们定期对员工进行培训和测试。根据内部信息安全政策和程序，培训和意识提高计划是将责任传达给我们团队的主要工具。

在入职过程中，我们团队的新成员将接受安全意识培训并签署严格的保密协议。

公司在雇用前会完成深入的背景调查。软件开发人员接受了如何安全有效地应用系统开发方法等各个方面的培训。

我们在堆栈的每一层实施访问控制机制，将我们的基础结构按区域、环境和服务划分。我们在以下层面实施了严格的访问控制：

身份验证通过强大的密码保护（根据密码策略）和多因素身份验证（如果适用）提供。对机密业务数据、应用程序和公司网络的访问（对应于管理职责）是基于“需要知道”的基础。我们的团队一直在监视所有处理数据和信息系统的访问，并检查对访问策略的遵守情况。

只有获得授权的人员才能访问我们的数据中心和办公设施。
使用VPN授予对公司内部网络的网络访问权限。通过虚拟私有云（VPC）路由和基于证书的加密连接，可以提供对Revizto的云基础结构的访问控制。

我们重视和尊重客户的每一分钟，并关心我们应用程序的可访问性。Revizto托管在AWS中，可提供高度的可扩展性和容错能力。应用程序、数据和备份数据在AWS区域内的多个数据中心之间复制和存储。客户的个人数据将根据我们的隐私政策和全球数据隐私法规进行处理。

该公司的信息安全计划是基于以风险为基础的方法。在所有信息系统和业务流程中都实施了风险管理流程。公司在风险管理方面的目标如下：

我们的团队为Revizto执行威胁建模，以识别和确定潜在的安全威胁的优先级。这些信息会在应用程序设计过程中以及后续的开发阶段中考虑。开发团队的所有关键成员都参与了客观的威胁建模过程。

我们公司已实施必要的保护措施，以防止和防范利用漏洞、损害计算环境性能和/或获取笔记本电脑、工作站和数据中心服务器所拥有的机密业务数据的“恶意代码”（计算机病毒、恶意软件）。

在部署和维护网络安全性的过程中，我们使用信息安全最佳实践和供应商标准的要求和建议。我们会定期分析办公室和AWS中的网络基础架构，并根据新的潜在威胁和风险进行重新配置。

我们的网络安全控制措施包括各种保护措施：

网络安全性使我们可以有效地应对“内部”和“外部”应用程序基础设施的威胁。

我们的IT团队将采取措施，收集有关所有系统中漏洞的信息，并通过供应商提供的软件更新、补丁程序和修复程序使所有系统保持最新。我们的漏洞/补丁管理包括5个步骤：

我们汇总来自各种信息系统的日志，并使用SIEM平台进行分析。我们的事件管理流程中定义的内部政策和程序包括监视、分析、分类、响应、补救、报告、经验教训。为了提高事件响应的效率和速度，所有关键员工都参与了事件报告的内部结构。

万一发生严重的安全事件，我们的团队将请外部专家进行应对和调查。如果事件威胁到客户的权利和自由，我们的团队将采取一切必要的措施来减轻事件的影响，因此不会影响我们的客户，如果会影响到我们的客户，我们将立即与客户联系。