数据安全是侯斯特 CRM 的持续工作。以下内容概述当前采用的主要安全原则和管理措施。
1. 安全原则
系统遵循最小权限、职责分离、纵深防御和必要数据最小化原则。生产、开发和测试环境相互隔离,敏感操作需要经过身份验证和权限校验。
2. 传输与存储保护
- 网站和接口使用 HTTPS 传输;
- 敏感凭据采用不可逆摘要或加密方式保存;
- 数据库不直接暴露在公网,服务间访问受到网络和身份限制;
- 备份数据受到与生产数据相应的访问控制。
3. 访问控制
- 内部人员按工作需要分配最小权限;
- 关键操作记录操作人、时间和来源信息;
- 异常登录和高风险操作会触发额外验证或人工检查;
- 权限变更和人员离职时及时回收访问权限。
4. 微信数据合规
系统仅在公众号授权范围内调用微信开放接口,不跨公众号共享粉丝标识。公众号取消授权后,系统停止获取新的微信数据。
5. 备份与恢复
我们根据业务重要程度执行数据备份,并定期检查备份和恢复流程。发生故障时,根据影响范围执行恢复、降级或服务切换。
6. 安全监控与审计
系统记录必要的运行、访问和安全日志,用于异常检测、故障排查和安全审计。日志访问受到权限控制,并按既定期限保存。
7. 安全事件响应
发现安全事件后,我们会进行隔离、调查、修复和影响评估,并按照适用法律要求向受影响用户或主管机构进行通知。
8. 漏洞报告
如发现安全问题,请勿公开披露或进行破坏性测试。请将问题说明发送至 hi@weixinhost.com。