·
安全政策 
了解 Tomba 如何通过企业级安全措施、加密和合规标准保护您的数据。
我们对安全的承诺
我们非常重视数据安全。作为处理敏感商业数据的 SaaS 平台,我们保持最高的安全标准,以确保您的信息始终受到保护。
数据加密
传输中
所有传入和传出 Tomba 的数据都使用行业标准协议加密:
- 所有网络流量使用 TLS 1.3
- 所有端点强制使用 HTTPS
- API 连接使用 SSL/TLS
- 内部数据传输使用 SSH 隧道
静态
所有存储的数据都使用 AES-256 加密进行加密。
数据保留
数据仅在提供服务和维护管道所需的时间内保留。
基础设施安全
云托管
我们的基础设施托管在 Cloudflare 和 DigitalOcean 上,它们保持以下合规性:
- SOC 1、2 和 3
- HIPAA
- GDPR
- ISO 27001
物理安全
我们的托管提供商实施全面的物理安全:
- 24/7 现场监控团队
- 生物识别访问控制
- 完整的电源和连接冗余
- 带有访问控制的安全设施
应用程序安全
防火墙保护
- Web 应用程序防火墙(WAF) Cloudflare WAF 过滤所有传入请求以阻止恶意流量
- 网络防火墙 所有服务器都受到严格的基于 IP 的访问控制保护
身份验证
- 所有管理访问的多因素身份验证
- 安全会话管理
- 强制使用强凭据的密码策略
代码安全
- 定期安全审计和渗透测试
- 自动安全更新
- 安全开发实践
人员安全
- 所有团队成员需要加密通信
- 安全意识培训
- 访问的最小权限原则
支付安全
卡数据保护
Tomba 不存储信用卡信息。我们仅保留非敏感数据(后四位数字)用于客户支持目的。
PCI 合规
我们的支付处理器 Paddle 被认证为 PCI 1 级服务提供商 支付行业最严格的认证。
事件响应
我们维护全面的事件响应计划:
- 检测 持续监控安全异常
- 遏制 立即隔离受影响的系统
- 调查 彻底分析事件范围
- 通知 及时与受影响方沟通
- 修复 完全解决和预防措施
漏洞披露
如果您发现安全漏洞,请负责任地报告:
电子邮件: security@tomba.io
我们感谢您帮助保持 Tomba 的安全,并会确认有效的报告。
合规
Tomba 保持以下合规性:
- GDPR 欧盟数据保护法规
- CCPA 加州消费者隐私法
- SOC 2 Type II 安全和可用性控制
有问题吗?
如有安全相关查询,请联系 security@tomba.io