简介
智能密码深受广大用户的信任,将他们的密码、机密信息、银行账户以及个人资料都保存在这里。用户的信任源于我们对数据隐私和安全的保护。此概述之目的在于向用户阐述我们如何保护数据。我们会在提高安全能力及升级产品安全性能的同时,持续更新此概述的内容。
我们的团队
Intuitive Security Systems 股份有限公司是澳大利亚的密码管理公司位于墨尔本。我们的团队具有最专业的网络应用开发技术,数据安全及漏洞防御技术。我们的任务是设计和建立可靠的网络应用程序,提供准确的产品支持以及保护我们顾客的数据安全。
网络安全
智能密码的主机环境拥有强大的反病毒引擎,并不断的更新及病毒扫描。我们所有的数据都保存在多层防火墙之后,以确保数据通过互联网未经允许的访问。我们的数据库访问机制受到严格的审核,我们授权于最信任的专业人员才能访问主机运行环境。
我们通过按需缓解服务来应对分布式拒绝服务( DDoS )的攻击,以保护我们的服务器。并且利用反病毒系统实时扫描恶意程序,以确保我们的服务器没有任何异常。
账户安全
智能密码从未以明文存储过用户的密码。用于验证账户登录的密码被存储到智能密码服务器上时,都配有唯一的盐值,并通过PBKDF2算法进行安全加密。为了兼顾良好的用户体验和密码破解的复杂度,我们慎重选择了PBKDF2算法中的加密迭代次数 (高于10,000次的迭代次数)。
虽然智能密码不会强制用户设置复杂的密码,但我们的密码强度指示器会鼓励用户选择一个不宜破解的高强度密码。智能密码会针对同一账户或来自同一地址的登录尝试次数设限,降低他人破解密码进行登录的风险。
智能密码为高级账户提供双因数验证功能。我们的验证机制是有时间限制的一次性密码算法。所有高级用户和企业用户都可以通过使用手机上的应用程序来生成本地密码,或者选择将密码以短信的形式发送至手机。
应用程序安全
对于保护用户数据而言,确保我们接入互联网的网络服务的安全性是至关重要的一环。我们的安全团队使用应用安全程序来提高代码的安全性,并针对以下常见的应用安全性问题定期评估我们的服务:跨站请求伪造、注入攻击(XSS)、会话管理、URL重定向及点击劫持。
你的所有智能密码数据都先通过本地加密。也就是说你的数据在访问互联网前就已被加密,任何黑客或攻击者将无法通过网络访问你的加密数据,包括你的密码、银行信息、保密笔记以及任何部分的敏感数据。
实体安全
智能密码保存你的加密数据在我们企业级的数据中心里。这些数据中心都受到全天候监控。任何在数据中心的访客必须获得授权,如果要访问地区服务器、工作站或网络设备,必须获得进一步授权。由于这些严格的访问机制,访客的任何行为都将被记录作为实体审计线索。
所有智能密码的数据都保存在澳大利亚。我们的两大数据中心都位于悉尼和墨尔本。
数据传输安全
智能密码使用安全套接层 (SSL) 技术为您提供最安全 、最可靠的用户体验。SSL技术主要用于对网络传输的数据进行加密,包括密码以及信用卡信息。我们网站的任何部分都使用SSL技术保护,以确保您的个人信息安全。
我们同时支持多种加密算法及 TLS 协议版本,支持高强度加密的浏览器上提供强力保护。智能密码致力于不断改进传输层安全性,以更好地保护用户数据。
支付卡的详细传输原理
当从 intuitivepassword.com 网上交易时,你的所有支付信息都是通过最新的256位 SSL 技术加密。我们使用安全的 PayPal(www.paypal.com)、支付宝(global.alipay.com)以及 Stripe 支付平台(www.stripe.com)作为网上交易。256位的 SSL 加密技术可以确保你的网上交易安全。当你在网上提供信用卡号码订单时,SSL 会把所有的数据进行加密,包括你的信用卡号,姓名和地址等所有个人信息。有了这种加密方式,只有我们官方才能解码数据。
数据销毁
智能密码会保留你的账户内容,除非你明确进行删除数据的操作。停用智能密码个人账户或退出企业账户并不会自动删除账户中的内容。您可以轻松的通过智能密码操作平台删除您的密码数据和机密信息。当删除某个数据后,对该数据的所有引用和连接都会从我们的数据库中删除。
安全审核、扫描和测试
智能密码系统每日严格通过诺顿赛门铁克、SiteLock 和 GeoTrust 扫描,以确保智能密码整个网络系统的安全,防止已知的远程破解,漏洞以及攻击拒绝服务。所有的安全报告都可以在官方网站 IntuitivePassword.com 找到,并查看每日的测试状况。
智能密码的网站以及网络应用程序都运行在亚马逊网络服务(AWS)的云服务器上。运行此系统的AWS云服务器已成功通过了以下权威认证和报告: CDSA, CJIS, CSACCM, FedRAMP, FERPA, FIPS 140-2, HIPAA / HITECH, IRAP, ISO/IEC 27001/27002:2013, ISO/IEC 27018, MLPS, MTCS SS, NZ GCIO, PCI DSS Level 1, SOC 1 Type 2 and SOC 2 Type 2, TCS CCCPPF and UK G-Cloud
高度可用性
我们每天会对所有用户数据进行至少两次备份,并将这些备份数据通过安全的专有网络链路复制到备用数据中心,确保即使在面对灾难性的数据中心损失时,我们仍可恢复所有的用户数据。我们不会使用可移动媒体备份数据。为保证在你在需要时能随时随地使用智能密码,我们采用了具备容错机制的系统和网络架构,其中包括:
多样且冗余的网络连接。冗余网络架构,包括:网关、路由器、负载均衡设备及防火墙。
由智能密码服务器构成的可扩展系统架构。数据服务器相互独立运行,每个数据服务器只针对固定的一小部分用户提供服务。
数据服务器运行在互为冗余的成对服务器上,提供在单一服务器发生故障时的热备能力。
服务器配备了冗余电源,冗余网络设备,以及 RAID 冗余存储。
我们的托管方提供的容错设施服务包括电力供应,暖通空调及防火设备。
信息安全与合规
关于智能密码的详细合规认证,请点击该页面下方的【Trustwave 信任商标】。intuitivepassword.com 的服务器是使用行业标准防火墙保护,其目的是保护用户的信息安全,并确保不会被其他互联网用户随意访问。所以我们可以保证,同时使用 SSL 技术,行业标准防火墙以及 Trustwave 认证可以有效的保护你的个人隐私和重要数据的安全。
请查看我们的隐私声明,了解更多的隐私合规信息。