产品安全

研发流程
研发遵守完善的SDL产品安全体系,保障产品的安全功能设计和代码安全质量
权限管理
采用基于角色的权限控制体系,功能权限的粒度细化到功能按钮,不同角色具有不同的数据权限
云端措施
云端部署WAF防护系统阻断WEB攻击,部署业务风控系统,自动识别和响应撞库攻击
监控系统
设有用户行为监控系统,发生安全事件可应客户要求提供相关行为报告

数据安全

  • 数据全部加密存储,采用“沙盒加密”的方案,不同的企业处于不同的加密沙盒,企业自主设置不同的加密秘钥
  • 云端使用了 SSL(SSL证书由权威认证机构(CA)颁发)加密通道保护,防止第三方干预通过该通道传输的信息,保证数据传输过程安全
  • 加密使用高强度的组合加密算法,加密安全度高
  • 受理客户数据销毁请求,可以彻底清除用户所有数据

系统及网络安全

  • 访问控制
    访问控制
    外部和三方访问均需经过审批后才能访问
  • 灾难措施
    灾难措施
    异地灾备机房,双余设备和链路,阿里云盾提供DDOS防护
  • 防范黑客
    防范黑客
    自动进行攻击检测,防范黑客攻击
  • 操作留存
    操作留存
    所有技术人员权限严格控制,所有运维操作全程记录
  • 漏洞修补
    漏洞修补
    通过漏洞发现和SRC获取,及时发现和修补安全

账户安全

  • 客户资产以托管形式持有和保管,与券商的自有资金隔离,资产安全受到监管机构定期的严格审查,以及内外审计
  • 客户的美股托管在合作清算商,后者受到美国证监会SEC和美国金融管理局FINRA的监管
  • 客户的港股托管在合作清算商,后者受到香港证监会SFC的监管

安全认证

老虎ESOP已通过以下国内外权威机构的安全合规认证

  • 国家信息安全等级保护三级认证
    国家信息系统安全等级保护认证是目前中国最权威的信息产品安全等级资格认证,老虎Esop已获得国家等级保护三级备案证书,标志着老虎Esop用户信息安全管控能力获得权威认可。
  • ISAE 3402 内部控制保证
    ISAE 3402 内部控制保证是由国际审计与鉴证理事会制定的,主要针对各类服务机构向客户提供服务的内部控制、安全保障、执行效能等的审计标准,是目前国际公认权威的鉴证准则。ISAE 3402 认证体现了老虎Esop业务流程、内部控制、风险管理的高标准。
  • ISO 20000 信息技术服务管理体系标准
    ISO 20000 是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系的模型。老虎Esop通过此项认证说明已具备完善的IT管理水平,该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。
  • ISO 27001 信息安全管理体系标准
    ISO 27001 信息安全管理体系标准可有效保护信息资源,保护信息化进程健康、有序、可持续发展。老虎Esop通过了ISO 27001 的认证,表示信息安全管理已建立了一套科学有效的管理体系作为保障。
  • ISO 27701 个人隐私信息安全管理体系标准
    ISO 27701 个人隐私信息安全管理体系标准,是为企业保护个人隐私信息方面提供指导的一项国际管理体系标准。老虎Esop实施ISO 27701 体系认证,切实保障企业个人信息数据安全合规。
  • ISO 29151 个人身份信息保护管理体系标准
    ISO 29151 提供一系列信息安全和 PII 保护控制的指南,并指导组织根据风险分析的结果来选择与 PII 特定处理匹配的控制措施,以制定全面、一致的控制系统,减少隐私泄露风险并减少违规。获得此项认证,可证实老虎Esop在个人可识别信息保护管理方面的能力和符合性。
  • ISO 9001 质量认证体系证书
    ISO 9001 是由全球第一个质量管理体系标准BS 5750 转化而来的,ISO 9001 是迄今为止世界上最成熟的质量框架。老虎Esop可按照经过严格审核的国际标准化的品质体系进行品质管理,实行法治化、科学化的管理体系。
  • SOC 1 Type II 安全报告
    SOC 报告是由专业的第三方会计师事务所依据美国注册会计师协会的相关准则出具的服务机构内部控制相关的系列报告。SOC 报告作为独立的审计报告,证实老虎Esop的安全性,可用性与保密性。
  • 定期的第三方渗透测试
    老虎Esop与行业头部第三方安全团队合作,进行定期渗透测试,严格把控产品安全。