Coding Enterprise 安全策略

Coding Enterprise 是深圳市扣钉网络科技有限公司(以下简称“扣钉”)自主研发的一站式企业级软件研发管理系统。Coding Enterprise功能包括需求管理、文件和 Wiki、代码管理、持续集成、部署环境管理、测试管理、bug 管理、数据与 AI 等等。 用户数据的安全性和隐私性是我们的核心责任,为此我们采取了响应的措施保障用户数据的安全性和隐私性。

  1. 管理制度

    扣钉通过严格的管理制度规范产品的研发、运维和运营。安全管理制度如下:

    • (1)扣钉所有能接触到用户数据的相关人员均签订了符合业界标准的《保密协议》;
    • (2)扣钉所有人员的招聘均通过背景调查;
    • (3)扣钉平台拥有严格的权限管理, 项目内容仅限项目成员,平台不存在超级用户;
    • (4)扣钉所有能接触到用户数据的相关人员均接受过安全培训和考核;
    • (5)扣钉严格区分产品、研发、运维与运营,并拥有标准的业务流程,不存在一人身兼数职;
    • (6)扣钉数据库访问权限仅限于极少数核心人员,并且每次数据库以及数据文件操作均需要备案;
    • (7)扣钉所有服务器相关的密码至少每月更换一次,并且使用 16 位以上超复杂密码;
    • (8)扣钉内部有独立的安全小组,负责全面检查扣钉系统的安全性问题,包括系统功能、服务器部署、客户端消息处理等等,每次生产系统的更新都需要经过安全小组的审查,并且记录更新内容;
    • (9)扣钉定期聘请外部安全专家,对扣钉整个系统进行检查,保证系统整体的安全性;
    • (10)扣钉会对每次业务中断或者安全性事故出具详细的问题分析报告并提出整改措施;
  2. 加密与备份

    扣钉通过如下一系列加密与备份技术保障用户数据的安全性:

    • (1)整站 SSL 加密,扣钉的所有内容都必须通过 SSL 加密的方式才能访问,包括与 CDN、云存储等等供用商之间的通信;
    • (2)数据实时备份,在同一机房,扣钉的数据库和文件都有实时热备机制,同步时间不超过 1 分钟;
    • (3)异地数据备份,为了防止机房故障导致的数据丢失,扣钉采取了定时异地备份 ,同步时间不超过 1 小时;
    • (4)对于用户要求删除的数据我们会保留 7 天后清除,扣钉不会私自保存用户的数据;
  3. 监控与响应

    扣钉拥有完备的监控和报警体系,及时发现并解决问题:

    • (1)扣钉运维团队对扣钉的所有 IT 设施进行 24x7 的监控,并且人工轮班响应;
    • (2)扣钉的全自动监控工具监控的内容包括:
      • 服务器 CPU、内存、硬盘以及网络等硬件资源,报警阈值 90%;
      • 系统服务响应时间,包括页面访问、代码拉取和推送,报警阈值 5 秒;
      • 邮件、短信、推送,报警阈值 10 分钟;
      • 分布全国 100 个节点的连通性,报警阈值 20 分钟;
    • (3)扣钉的服务均拥有多个实例,包括 HTTP 服务、Git 服务、邮件、短信、APP 推送、消息队列,当一个实例不可用,系统会自动启用备用实例;
    • (4)扣钉监控系统会通过 APP 推送、短信、邮件、电话四种方式逐级通知运维人员;
    • (5)扣钉监控系统的的警报不能得到及时处理时会自动对问题升级并通知更高级别的运维人员;
  4. 供应商审查

    扣钉选用的云服务商均满足以下标准:

    • (1)云基础架构,数据中经过 TIA-942 标准认证;
    • (2)数据中心 24x7 物理隔离,并且有物理安全管控;
    • (3)拥有灾难恢复计划并且经过灾难恢复演示;
    • (4)拥有完备的防火墙和防病毒设置;
    • (5)拥有完备的故障报警机制,并且提供业务专员处理故障;
    • (6)签订正规的服务合同;
  5. 可用性承诺

    扣钉拥有完整的 SLA 服务承诺,详情请参见 https://coding.net/gitsla

  6. 违约与赔偿

    针对由于扣钉原因造成的服务不可用或者其他违约情况,扣钉会按照以下标准赔偿:

    • (1)对于 SLA 相关的赔偿请参见 https://coding.net/gitsla
    • (2)对于法律法规明确包含惩罚标准的违约,扣钉会按照法律法规规定的最高标准向用户赔偿;
    • (3)其余违约按照双方认可的实际损失数额予以赔偿;