上上签安全白皮书V15.PDF

上上签安全白皮书 V1.5 杭州尚尚签网络科技有限公司 2018 年 2 月 26 日 目录 前言 1 术语定义 1 组织安全 1 信息安全委员会 1 信息安全团队 1 安全审计团队 2 合规安全 2 安全体系 2 政策合规 3 人员安全 3 尽职调查 3 安全培训 3 运维安全 4 数据安全 4 数据传输 4 数据存储 4 密钥管理中心（KMC） 5 数据使用 5 数据销毁 5 应用安全 5 上上签 SDL 5 账户安全 6 运营安全 6 安全配置标准 6 登录授权与访问控制 6 安全检测 7 网络安全 7 物理和环境安全 7 灾难恢复与业务连续性 7 前言 上上签电子签约平台是一个供具有法律效力电子签名，可随时随地在线签 署的 SaaS 服务平台。 上上签以构建智能时代的诚信规则为使命，致力于打造以电子签名为纽带的 生态服务体系。 安全保障体系是上上签电子签约平台的重要组成部分, 上上签高度关注用 户数据的隐私性与安全性。本白皮书主要介绍上上签在安全性与合规性保障方面 的策略、方法和措施。 术语定义 SDL：Security Development Lifecycle 的简称，即安全开发生命周期； PII：个人可识别信息（Personal Identifiable Information），包括任何 可用于确定特定用户身份的信息，比如姓名、手机号、身份证号等； DDoS：分布式拒绝服务攻击(Distrbuted Denial of Service)，指借助于 C/S 技术，将多个计算机联合起来作为攻击平台，对目标发动流量攻击，造成目标的 业务系统无法供服务。 组织安全 上上签安全团队由信息安全委员会、信息安全、安全审计团队组成，通过高 效、协同的工作为上上签广大用户供安全保障。 信息安全委员会 信息安全委员会成员由公司 CTO、安全团队负责人、产品负责人和技术负责 人组成，监督并决策信息安全体系的建设，对上上签整体安全负责。 信息安全团队 信息安全团队由 Web 应用安全、系统和网络安全、安全开发专家组成。信息 第 1 页 共 8 页 安全团队负责产品安全架构及安全运营工作，是上上签信息安全体系的建设者， 在安全策略、安全开发流程设计、落实及执行中扮演重要的角色。 1)