<sub id="vpvn1"></sub>

    <sub id="vpvn1"></sub>

    <address id="vpvn1"></address>

    <address id="vpvn1"></address>
    <sub id="vpvn1"></sub><sub id="vpvn1"></sub>

    <sub id="vpvn1"></sub>

      安全概述

      說明

      Evernote深受廣大用戶的信任,將他們的筆記、項目和想法存儲在這里。用戶的信任源于我們對數據隱私和安全的保護。此概述之目的在于向用戶闡述我們如何保護數據。我們會在提高安全能力及升級產品安全性能的同時,持續更新此概述之內容。

      安全措施

      Evernote任用了最專業的安全團隊,確保你存儲在Evernote中的所有數據的安全性。我們的安全程序主要覆蓋以下幾個方面:產品安全、基礎設施控制(物理和邏輯層面)、政策、員工意識、入侵偵測以及審核機制。

      安全團隊通過在公司內部推行安全事件響應(“IR”)機制,指導Evernote員工報告可疑活動。我們的安全事件響應團隊擁有可以隨時應對安全問題的程序和工具,并不斷革新技術,提高針對基礎設施、服務和員工的入侵行為的偵測能力。

      我們會定期對基礎設施和可能會對用戶數據安全造成影響的易受攻擊或有待修正的應用進行審核。我們的安全團隊會反復評估新工具,提高審核的覆蓋率和深度。

      網絡安全

      Evernote通過使用包括負載均衡設備、防火墻以及虛擬專用網絡的方式搭建網絡架構。我們以此來控制需要接入網絡的服務,并將我們的產品網絡與我們的其它操作設備分隔開。對于有業務需求的訪問者,我們會設置產品基礎設施訪問權限,并強化訪問認證。

      帳戶安全

      Evernote從未以明文存儲過用戶的密碼。用于驗證帳戶登錄的密碼被存儲到Evernote服務器上時,都配有唯一的鹽值,并通過 PBKDF2 算法進行安全加密。為了兼顧良好的用戶體驗和密碼破解的復雜度,我們慎重選擇了 PBKDF2 算法中的加密迭代次數。

      雖然我們不會強制用戶設置復雜的密碼,但我們的密碼強度指示器會鼓勵用戶選擇一個不宜破解的高強度密碼。我們會針對同一帳戶或來自同一地址的登錄嘗試次數設限,降低他人破解密碼進行登錄的風險。

      Evernote為所有帳戶提供兩步驗證(“2SV”), 兩步驗證也稱作雙重身份驗證或 多重身份驗證。我們的兩步驗證機制是有時間限制的一次性密碼算法 (TOTP)。所有用戶都可以通過手機上的應用來生成本地密碼,或者選擇將密碼以短信的形式發送至手機。

      郵件安全

      用戶可以通過 向Evernote私有郵箱發送郵件的方式創建筆記。為避免用戶接收惡意內容,我們會使用商業殺毒掃描引擎對接收的郵件進行掃描。

      在用戶收到來自Evernote的郵件時,我們希望用戶能確信所有郵件均來自Evernote。我們使用了強制性 DMARC 策略,便于用戶檢驗收到的郵件是否確實來自Evernote。所有從下列域名發出的郵件都會使用 DKIM 簽名進行加密,并且通過我們在 SPF 記錄中公布的 IP 地址發出。

      Evernote:

      • @www.appce.cn
      • @emails.www.appce.cn
      • @comms.www.appce.cn
      • @discussion-notification.www.appce.cn
      • @mail-svc.www.appce.cn
      • @account.www.appce.cn
      • @notifications.www.appce.cn
      • @messages.www.appce.cn

      產品安全

      對于保護用戶數據而言,確保我們接入互聯網的網絡服務的安全性是至關重要的一環。我們的安全團隊使用應用安全程序來提高代碼的安全性,并針對以下常見的應用安全性問題定期評估我們的服務:跨站請求偽造、注入攻擊(XSS,SQLi)、會話管理、URL重定向及點擊劫持。

      我們的網絡服務使用 OAuth 協議為第三方應用程序提供用戶認證。用戶無需向第三方應用提供Evernote登錄信息,即可將第三方應用無縫接入Evernote帳戶。用戶登錄Evernote并授權后,Evernote會將授權令牌發送給第三方應用,此后該應用可以憑此授權令牌訪問用戶的Evernote帳戶,而無需在設備上保存用戶的Evernote用戶名及密碼信息。

      所有與我們的服務對接的客戶端應用程序都通過一組規范定義的thrift應用程序編程接口進行操作。由于所有與服務器的通信都經由該接口進行,我們得以將授權檢查機制深入建立在應用架構的底層結構中??蛻舳藷o法直接訪問服務內部的對象,且每次訪問服務接口時都要檢驗其授權令牌,這樣就可以保證客戶端在訪問特定筆記或者筆記本時,確實已通過驗證并取得了用戶的授權。詳情請參閱dev.yinxiang.com。

      用戶區分

      Evernote所采用的服務為多租戶模式,不會將你的數據與其他用戶的數據相區分。你的數據同其他用戶的數據存儲在相同的服務器中。我們認為你的數據是私有的,其他用戶無權獲取,除非你明確進行共享操作。

      數據保留和刪除

      Evernote會保留你的內容,除非你采取了明確的刪除筆記或者筆記本的操作。如何刪除筆記,請查看幫助中心相關文章。想要了解我們的保留政策,請參閱我們的 our?部分隱私條款中的“信息刪除”。?

      存儲媒體處理及銷毀

      如果存儲媒體曾被用來存儲用戶數據,我們會安全地清除或銷毀所有存儲介質。我們遵循NIST的特別出版物800-88的指導,以保證上述行為的實施。有關如何安全地破壞已損壞的硬盤驅動器的示例,請查看博客文章。

      我們利用 Google 云端平臺(“GCP”)中的各種存儲選項,包括本地磁盤,持久性磁盤和 Google 云端存儲桶。我們利用 Google 的加密擦除流程來確保重用存儲不會導致私人客戶數據的暴露。

      活動日志

      Evernote通過服務器記錄用戶活動。其中包括 web 服務器的訪問日志,以及通過我們的 API 進行的活動日志。我們同樣從產品客戶端收集了活動數據。鑒于我們的用戶/服務器結構性質,我們無法確知同步的筆記是否被瀏覽過。我們不會自動收集產品客戶端的活動日志。用戶可以在帳戶設置中的訪問歷史部分查看最近所有與你的帳戶相連接的應用的訪問時間及 IP 地址。

      傳輸加密

      Evernote使用行業標準的加密方式來保護傳輸中的用戶數據,通常指傳輸層安全性 (TLS) 或安全套接層 (SSL) 技術。此外,Evernote服務(www.www.appce.cn)支持 HTTP 嚴格安全傳輸(“HSTS”)協議。我們同時支持多種加密算法及 TLS 協議版本,一方面能在支持高強度加密的瀏覽器上提供強力保護,另一方面能為較早版本的客戶端提供向后兼容,并在兩者間取得平衡。Evernote致力于不斷改進傳輸層安全性,以更好地保護用戶數據。

      所有輸入或輸出的郵件均支持 STARTTLS 加密協議。如果你的郵件服務提供商支持 TLS,通過Evernote服務發出或接收的郵件在發送過程中會被加密。

      我們使用 IPSEC(通過 GCM-AES-128 加密)或 TLS 來保護數據中心與 Google 云端平臺之間的所有用戶數據通信。

      靜態加密

      自 2016 年底,我們開始將Evernote服務遷移到 Google 云端平臺(“GCP”)。我們在 GCP 中存儲的客戶數據將使用 Google 內置的加密功能進行保護。從技術上講,我們使用 Google 管理加密密鑰的 Google 服務器端加密功能,可透明和自動地使用 AES-256 對所有靜態數據進行加密。您可以在這里找到關于靜態加密如何保護您的數據的信息。

      靈活性/可用性

      為保證在你需要時能隨時隨地使用Evernote,我們采用了具備容錯機制的結構。

      在我們的實體數據中心和云端結構,其中包括:

      • 多樣且冗余的網絡連接
      • 冗余網絡架構,包括:網關、路由器及防火墻。
      • 冗余的應用負載均衡設備
      • 冗余服務器和虛擬實例
      • 冗余底層存儲

      谷歌和我們的托管方提供的容錯設施服務包括:電力供應,暖通空調及防火設備。

      關于服務可用性的實時及歷史狀態更新,請前往:https://twitter.com/evernotestatus以及http://status.www.appce.cn.查看。

      我們每天會對所有用戶數據進行至少一次備份。我們不會使用便攜或可移動媒體備份數據。

      實體安全

      我們使用云服務和物理數據中心的組合來操作Evernote服務。?

      對于數據中心來說,我們要確保我們的基礎設備處于一個私密、安全的架構中,其中包括 24x7x365 檢測器。訪問這些數據中心至少需要兩步身份驗證,但也許會包括生物識別作為第三個要素。我們的所有數據中心均采用 SOC-1 Type 2 認證來進行身份驗證,以此對我們的基礎設備進行物理保護。只有Evernote運維人員及數據中心工作人員擁有對這一區域的準入權限,每當有人進入Evernote專屬區域時,運維部門就會收到報警信息,及相關的視頻監控資料。

      關于我們的云服務,我們所使用的是 Google 云端平臺。 Google已經經歷了多項認證,證明其能夠保護Evernote的數據。您可以點擊這里閱讀更多關于 Google 云端平臺的安全性內容。

      所有Evernote數據都存儲在中國。

      隱私及合規

      更多內容請參閱 隱私中心。我們暫時沒有發布服務組織控制(“SOC”)協議。

      中国人配人在线观看