合同记录着交易的对象、金额、条款等商业核心数据,堪称企业的“生命线”。合同信息的安全传输与存储,是企业在选择电子签名服务商时比较注重的因素,也是电子签名服务商的核心能力与技术壁垒的体现。
本次将主要以放心签为例,从技术和管理两个层面诠释电子合同信息安全传输与存储的措施。希望能给大家带来相对专业的安全知识。
技术层面
【金融级别的数据中心】
金融一直是对安全敏感的行业,他们的安全标准也超乎寻常。为了达到优质化的安全保障,电子签名平台可以将数据中心承载在金融云上。比如,放心签部署在安全级别很高的阿里金融云上,通过等保四级测评,也具备完善的安全防御设施,包括DDoS、IDS、WAF、云杀毒和态势感知。这些布局都是合同信息安全有力的保障。
【数据加密保护至关重要】
在电子签约场景中,对敏感数据进行严格的加密保护至关重要。当下技术条件下,可以通过对合同进行一文一密的加密存储;对客户隐私数据进行国密4加密存储,这是符合互金和银行的行业标准,能够有效保证电子合同数据隐私。
【严格的数据传输加密】
数据传输中的加密也是至关重要的一环,电子合同签约中数据传输通过 SSL/TLS加密,并且对请求进行签名,可以有效确保只有合法身份发起的请求才会被正确响应,能杜绝恶意盗用的情况发生。这也是合同信息安全的重要防线。
管理层面
【信息安全管理流程】
想要保障安全,电子签名企业必须要以银行的标准去自我要求。以放心签的管理为例,放心签运维必须在由堡垒机管理的专用工作站上进行操作,限制任何数据的下载,而堡垒机记录所有操作行为。并且管理账号的权限没有重合,每月进行全面安全审计。
这样的管理方式,也通过了汇丰银行的评估,满足其“上下游行为一致的原则”,可为银行供应链上的所有客户所信任。汇丰银行的认可也进一步认可了信息安全管理的重要性与可靠性。
【安全合规认证】
电子合同签约中安全至关重要,能否获得第三方权威机构的认证也是展现安全保障能力的重要方式。ISO27018个人隐私保护国际认证是非常具有代表性的认证,这是专注于云中个人数据保护的国际行为准则,是目前国际上被广泛接受和应用的信息安全体系认证。
而ISO27001信息安全管理体系认证、公安部信息安全三级等保、工信部可信云等安全认证也非常具有权威性,可以为信息安全做背书。
【SDL全覆盖】
SDL是Security Development Lifecycle(安全开发生命周期)的缩写,是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,它在开发的所有阶段都引入了安全和隐私的原则。
电子签名服务商通过全面落实SDL,真正落实安全设计、安全开发和安全测试,会大大增强产品的安全性,比如放心签会对每个版本进行安全测试,每月进行内部安全扫描,每年进行2次第三方渗速测试,这些举措都为整体签约过程的绝对安全保驾护航。
安全措施千万条,信息安全第一条,合同是企业的“生命线”,放心签作为行业领跑者必然会全力保障合同信息的传输与存储,也会始终引领电子签约平台的信息安全标准。