安全概览
  • 数据中心和安全基础架构
  • 会话加密和验证
  • Web 应用程序和网络防火墙
  • 数据安全
    • 数据中心的管理安全
    • 资料存储的安全性
  • 代码签名
  • 《一般数据保护条例》(GDPR)
  • 漏洞评估
  • 渗透测试
AirDroid 企业产品
  • AirDroid 企业版安全功能
  • 客户责任
  • 报告安全问题
  • 禁止误用/滥用原则
  • 中断
  • 不当活动

数据中心和安全基础架构

AirDroid 的云基础架构托管在提供安全网络和计算环境的 Amazon Web Services(AWS)上,包括但不限于网络、应用程序和实例层的防火墙、数据加密、DDoS 缓解等。此外,存储敏感数据的所有服务器均位于美国硅谷和德国。

所有 AirDroid 服务器均置于符合 ISO 27001 的安全数据中心内,数据中心已经实施了一流的安全控制,这意味着个人访问控制、摄像机监视、动作探测器、24×7 全天候监控及现场安全人员将确保仅授权人员可进入数据中心,并保证以最高安全标准保护硬件和数据。数据中心的单个入口点还有详细的识别检查。

会话加密和验证

在建立会话时,AirDroid 会确定最佳连接类型。服务器完成握手后,在所有情况下,80% 会通过 TLS 隧道 (如 HTTPS 或 WSS),其余的连接通过 TCP 或者 UDP 连接。

AirDroid 通信使用 RSA 公钥/私钥交换和 AES(256 位)会话加密来保护,应用形式类似于 HTTPS/SSL,符合所有当前的安全标准。

由于私钥从不离开客户端计算机,因此该过程可确保包括 AirDroid 路由服务器在内的互连计算机无法解密数据流,AirDroid 也无法读取加密的数据流。

Web 应用程序和网络防火墙

AirDroid 使用多种工具监视潜在的攻击,其中包括 Web应用程序防火墙和网络级防火墙。此外,AirDroid 平台包含分布式拒绝服务(DDoS)预防防御,暴力猜测防护,以帮助保护您的站点和对产品的访问。

数据安全

AirDroid 非常重视用户的数据安全,其中包括中心数据管理的安全以及资料存储的安全。

数据中心的管理安全

关于数据中心的管理安全,AirDroid 可以做到以下规格:

1.只有指定的运维人员和系统管理员才能访问生产服务器。
2.每个SSH登录事件都会被记录并在管理控制台中实时报告。
3.SSH登录使用行业标准的公用/专用密钥进行保护。
4.某些关键系统使用2FA(两步认证)进行保护。
5.防火墙策略会阻止除80(HTTP)和443(HTTPS)之外的所有端口,并且对传入和传出流量也有限制。所有访问都将被记录和监视。
6.跨数据中心的所有通信均实施 TLS。

资料存储的安全性

关于资料存储的安全性,AirDroid 可以做到以下规格:

1.密码: 密码不明文存储,而是通过单向不可逆加密处理,我们建议用户选择至少 8 个字符以上的密码,并使用密码管理器。
2.登录安全性: 我们通过速率限制进一步保护您的登录免受暴力破解的尝试。
3.日志记录: 密码和其他敏感令牌从所有系统日志中排除。
4.分析: 分析工具具有“ IP匿名化”功能,可以保护用户的隐私。
5.备份: 所有备份均已加密并存储在长期存储中。通过生命周期策略管理备份,该策略将在一定期限后自动清除它们。
6.CDN或内容交付网络: 我们使用 Amazon CloudFront 作为 CDN 来快速将上传的文件分发到设备,以减少我们服务器上的负载,这可能需要跨多个边缘服务器复制文件。
7.素材资源: 上传的APK和图像存储在 Amazon S3中
8.HTTPS: 所有请求均使用HTTPS进行服务,我们利用证书固定(在某些情况下)并使用完全转发保密。我们还确保为我们的域保留 CAA 记录,以防止证书发行错误。
9.付款或信用卡数据: 您的付款或信用卡信息未存储在我们的服务器中,我们利用 paypal 或者 stripe 为我们的客户处理付款。它们是经过PCI 1级认证的付款处理器,并将信用卡数据存储在符合PCI的服务器中。

代码签名

AirDroid 的 Windows 桌面端都通过 Comodo Code Signing (代码签名)进行签名,保证软件代码不会被篡改。一旦代码被篡改,数字签名将自动变为无效。

《一般数据保护条例》(GDPR)

随着欧盟颁布的《一般数据保护条例》(GDPR)正式生效,数据保护在我们的世界越发重要。AirDroid 作为一家全球性的公司,同样在意每一个用户的数据隐私安全,我们严格按照GDPR的要求处理您的数据隐私。如需了解更多关于AirDroid GDPR相关的详情,请访问 https://www.airdroid.cn/legal/privacy.html

漏洞评估

AirDroid 会反复测试潜在漏洞。我们运行静态代码分析和基础架构来进行漏洞扫描。

渗透测试

AirDroid 每年多次利用第三方渗透测试公司来测试 AirDroid 产品和产品基础架构。

AirDroid 企业版安全功能

AirDroid 的企业产品经过专门设计,可为 IT 经理提供对数据保护的完全控制权,同时使员工能够灵活地从任何地方访问数据。它们特别适用于具有严格的立法和合规性法规的行业,这些法规要求对数据隐私和系统安全性进行控制。AirDroid 的企业版安全功能包括以下并不仅限于:

1.登录两步验证
2.Kiosk 锁定防止使用者滥用
3.远程访问管理权限

客户责任

在 AirDroid,我们努力确保我们所有的客户和终端用户数据都得到安全存储,并且始终将客户隐私放在第一位。 为了更好地保护数据,我们制定了"客户责任",目的是让我们的客户了解自身在防止数据丢失方面的角色和责任。

客户端系统安全:客户应确保以其行业内的标准和常规范围内认为安全的方式存储和访问他们的数据,防止数据被盗。客户还应教育其终端用户以安全和负责任的方式使用科技产品。

数据传输:将敏感数据传输到 AirDroid 的客户端应通过 TLS 等安全方式进行。

基于角色的访问控制:使用 AirDroid 服务的客户需要负责采取确保为用户分配正确的安全角色和权限的措施。

客户活跃账户:有权访问 AirDroid 产品的客户有责任确保他们的账户是命名账户,并配置密码复杂性和过期策略。

用户人员管理:使用 AirDroid 软件或服务的客户有责任在发生人事职责变动和/或雇佣状态变动通知时停用 AirDroid 的相关用户账户。

报告安全问题

保护客户数据的安全对我们来说非常重要,我们鼓励客户向我们报告使用 AirDroid 产品或服务中遇到的任何安全问题和软件漏洞。您可以将安全问题报告发送电子邮件至 success@airdroid.com。请提供问题、资源、工具和用于重现问题的方法的完整描述,以便我们的团队可以分析、验证和实施任何需要的修复。我们将及时回复安全问题报告邮件,表明我们已收到您的请求,并提供后续步骤的信息(如果存在)。

禁止误用/滥用原则

为了保持我们的服务平稳、快速地运行,我们需要您(我们的客户)的帮助,以免我们的产品和服务被误用或滥用。

为了进一步详细说明我们所说的"误用"或"滥用"的确切含义,帮助我们了解违规行为并作出相对应的反应,我们制订了此可接受使用政策。根据本政策的规定,我们保留删除用户账户和禁止与本政策指导原则精神不一致和不相容的 IP 权,即使本政策的文字并无完全禁止。

本页面提及的所有服务均指 AirDroid 创建和运营的所有网站,以及 AirDroid 运营的任何托管服务。

中断

•损害我们系统的完整性,包括探测、扫描或测试任何系统或网路的漏洞,除非另有授权执行此类活动。

•逆向工程、篡改或入侵我们的服务,绕过任何安全协议或身份验证措施,非法尝试未经授权访问客户账户、服务、网路和数据。

•攻击或试图攻击我们的基础设施或系统,施加不合理的负载,消耗大量资源(RAM、CPU、频宽等)。

不当活动

•"网路钓鱼"、"欺骗"、虚假陈述或虚假暗示与 AirDroid 有任何关联。

•使用服务侵犯他人隐私,包括网路钓鱼、未经事先同意发布他人的机密信息或从我们的服务中收集和收集有关我们用户的个人身份信息。

•使用我们的服务跟踪、骚扰或发布针对他人的直接或特定暴力威胁。

•将服务用于任何非法目的或违反法律(包括但不限于数据、隐私和出口管制法律)。

•通过我们公开支持的界面以外的任何方式访问、复制内容或搜索我们的服务。

在以上情况下,AirDroid 将保留其所有的法律权利。