MicroStrategy 安全保障计划

要查看 PDF 版本（仅包含本页面内容），请单击此处。

MicroStrategy 拥有全面的安全计划，无论我们的产品是通过我们的云托管服务产品部署还是在本地部署，该计划都能专注于保护您的数据。从工程到漏洞修复，我们致力于确保我们的产品持续满足您的业务和安全需求。

认证

• MicroStrategy 云环境已通过 ISO 27001认证
• MicroStrategy 云环境已通过 SOC2 Type II 审计
• 符合《隐私护盾》协议的规定
• 符合 PCI DSS 规定的云平台
• 符合 HIPAA 的规定的 MicroStrategy 全托管云解决方案
• 公司财务系统符合 SOX 法案的规定
• 产品原产地：美国

个人安全

• 已对所有员工进行背景调查
• 已验证教育文凭
• 已核查财务/信用历史记录
• 已核查犯罪背景

员工的安全培训和认证

• 安全原则
• 威胁建模
• Web 安全和入侵测试
• 移动安全

安全设计流程

• 基于 STRIDE 和其他内部开发模型的威胁建模
• 安全原则的应用（例如“深度防御”）
• OWASP 10漏洞注意事项
• 由专门的安全工程团队进行设计审核

嵌入式安全功能

• 用户验证
  • 光电子数据交换中心
  • SAML
  • SSO
  • LDAP/AD
  • 标准（用户名/密码）
  • Kerberos
• 针对传输中数据提供 HTTPS/TLS 保护
• 针对静态数据进行 AES 256位加密
• 基于角色的访问控制
• 行级别安全性
• CSRF、单击劫持和 HTML 输出编码（用于 XSS 预防）

安全开发

• 用于所有使用语言的安全编码标准
• 多级代码审核
• 源代码静态分析
• 利用 Veracode 二进制扫描仪对已编译的代码进行二进制扫描
• 手动入侵测试

第三方组件控制

严格控制使用第三方组件。强制执行正式流程以便在产品中引入新组件。通过 Synopsys Black Duck 工具对产品中包含的第三方组件进行独立确认。主动安排对具有安全漏洞的组件进行升级或替换。

内部安全测试

在整个开发周期中，MicroStrategy 开展内部入侵测试以验证新功能或已修改功能的安全性，并重新验证现有产品套件的安全性以应对新的威胁。此测试包括了在 OWASP-10中发现的风险和其他已知弱点。在产品设计过程中开发的威胁模拟为该测试提供了额外的指导。

独立入侵测试

我们邀请多家安全公司进行每年一次的入侵测试。测试内容全面，既有黑盒测试技术，也有可以完全访问产品源代码的白盒测试。此测试过程中发现的问题将立即按照风险优先级在产品中安排解决方案。随后由安全公司进行重新测试，以确认问题是否已成功解决。

安全发布

为开发而维护的集中式代码资料库（GitHub 企业版）。资料库签入需通过区域特定的代码审核程序。构建流程由开发运营团队控制。开发该产品的所有计算机都使用了使用最新签名更新的企业级病毒扫描仪。

安全补丁和升级

安全性对于 MicroStrategy 至关重要。漏洞被视为首要问题，并将在下一版本中进行修复。因此，让您的软件保持最新版本是您可以采取的最简单但最重要的安全措施之一，这可以保证您的 MicroStrategy 产品的安全性。如果在常规更新周期之外出现严重安全问题，MicroStrategy 可能会发布临时补丁或解决方案，但仍需进行升级才能尽可能确保您的部署安全。

报告安全问题

当前的 MicroStrategy 客户可能会通过 MicroStrategy 技术支持报告潜在的安全问题和疑问。研究人员可通过我们的报告页面提交问题。

有关详细信息，请联系您的客户代表。