Scoro 可作为软件即服务或 SaaS 解决方案提供给客户。这意味着为每个客户创建了一个软件(站点)实例,只要他们可以访问互联网,他们就可以随时随地访问它。该平台及其数据可通过多种媒介访问:网络、移动应用程序和 API。
该软件本身包含许多功能,但它也充当集成外部服务的中心,例如 Xero、QuickBooks 和其他财务系统、电子邮件、报告套件以及通过 Zapier 提供的数千种其他应用程序。客户端控制他们连接到哪些其他服务。
拥有如此多的数据和不同的访问点是一项重大责任。 Scoro 坚持数据安全,我们付出了很多努力来确保我们客户的数据免受不速之客的侵害。安全性在许多层面上受到控制。在每个站点中,可以向不同的用户组授予访问权限。可以为每项服务设置集成外部产品或通过 API 公开数据的权限,并由网站管理员管理。该软件每年根据 OWASP 应用程序安全验证标准进行渗透测试。 对于主要功能发布,会进行额外的渗透测试。
Scoro 软件托管在各种 AWS 数据中心。除了提高交付速度外,它还使pm足球客户能够解决他们可能需要遵守的政府法规和其他法规。每个数据中心的安全性和可用性由熟练的供应商管理,并经常由我们和外部合作伙伴验证。
Scoro 了解与数据安全相关的风险,并积极主动地管理和解决这些风险。以下是 Scoro 如何跨所有数据中心处理、存储和保护数据的详细概述。
升级和维护
Scoro 有更新和备份的定期维护窗口。每晚进行备份,不会影响用户体验。更新期间,用户无法使用 Scoro 服务。这通常需要 30 秒,但在极少数情况下,对于较大的站点, 可能需要更长 的时间。
Scoro 有一个定期的更新和改进周期。 2021 年有 11 个主要版本。仅出于安全或用户体验改进目的发布次要升级,并且不会影响站点可用性。
所有升级都是强制性的,即 Scoro 客户不能选择退出服务包升级。但是,可以根据特定请求将主要版本更新推迟到指定限制内的合适时间。
Scoro 确保升级不会破坏外部客户端集成,方法是对 API 进行版本控制,以帮助客户确保 API 与 Scoro API 文档保持向后兼容,以供客户设置集成。
日志记录和系统管理
用户和管理员所做的每项操作都记录在活动日志(如平台中定义)下并可见。记录的一般事件类型是平台所有模块中基于用户的活动(添加、修改、导出、删除、登录和注销、导入、修改状态)。
所有记录的事件都可以发送到仪表板或通过 webhooks 连接的系统。站点管理员可以创建自定义系统管理仪表板或使用来自 Scoro API 的指标填充现有仪表板。
Scoro 不限制日志的大小。三年后日志将从系统中删除。
托管基础设施、备份和灾难恢复
Scoro 使用 Amazon Web Services 来托管其基础设施。作为例外,pm足球一些早期客户托管在 Zone Media OÜ 提供的基础设施中,并且正在迁移到 AWS。
每个客户都可以指定托管其数据的区域。默认情况下,选择最接近注册国家/地区的国家。目前,可用的位置是加拿大(多伦多)、德国(法兰克福)、瑞典(斯德哥尔摩)、澳大利亚(悉尼)。
在发生本地或区域灾难时恢复 Scoro 的操作和网络连接的书面计划是在多个位置存储备份。数据恢复计划每年更新和测试。
相应地,整个站点的 Scoro 客户托管实例的恢复时间目标 (RTO) 和恢复点目标 (RPO) 最多为 12 小时。这意味着在 12 小时内所有站点都应恢复到工作模式。
Scoro 客户站点的数据库和文件每天都会备份。
集成、数据导入、导出和定位
Scoro 通过 API 公开 Web 服务——一个使用 HTTPS 和 JSON 访问客户 Scoro 帐户数据的接口。您可以 在此处 找到API 说明。 API 使创建与 Scoro 中的客户数据集成的 Web 和桌面应用程序变得容易。
Scoro API 允许从客户的 Scoro 帐户读取和写入结构化信息。我们建议将 API 用于来自外部服务和/或第三方提供商的入站数据。
可通过 API 访问的可用对象类型在一般 Scoro API 描述 中列出。
Scoro 支持用于外部文件存储的文件传输协议 (FTP/SFTP)、Dropbox 和 Google Drive。
Scoro 客户可以通过提取 CSV 和 XLS 格式的导出文件将数据从 Scoro 导出到他们自己的解决方案。相同的文件格式也支持将数据导入 Scoro。
性能和基准测试
Scoro 的系统运行在高可用性和可扩展的设置上。这意味着根据站点的负载创建更多的工作实例来促进负载。此外,工作人员分布在不同可用区的多个节点上,即使在一个节点或整个可用区出现技术问题的情况下也能保证正常运行。
Scoro 一直致力于使产品更快。这包括改进代码库、底层基础设施以及测试新的解决方案。
架构和支持的平台
Scoro 可以与任何现代网络浏览器一起使用。
该系统适用于所有台式机/笔记本电脑操作系统(Windows、Macintosh 等)。
Scoro 支持主要的现代智能手机和平板电脑操作系统(iOS、Android 等),仅限于浏览器。
安全
Scoro 对数据存储和传输的敏感度进行排名。在处理更敏感的数据时,我们会采取特殊措施。
Scoro 拥有涵盖软件开发、员工访问管理、基础设施管理等的内部流程和政策。Scoro Software OÜ 已通过 ISO 27001 认证。我们不断改进pm足球安全政策和程序,为此,我们成立了一个信息安全工作组,负责不断改进政策、流程和安全实践。
客户可以在他们的网站上启用两步验证以提高安全性。
Scoro 支持单点登录 (SSO)。这允许公司实施他们自己的身份验证服务,并在保证安全性的同时使其用户更容易登录。
对于 Scoro 的客户端实现(包括浏览器版本、离线访问版本(应用程序)、平板电脑和智能手机版本),部分数据缓存在客户端。数据在客户端会话终止时被删除。
Scoro 对每笔交易都使用 HTTPS 加密协议。所有密码都使用 salt 使用 aes-256-cbc 密码进行哈希处理。
信息被错误地泄露给未经授权的人的威胁通过意识和培训、删除不必要的数据(电子和纸质)、使用屏幕保护程序和锁定、验证请求访问的个人身份以及其他相关保障措施来解决“需要知道”的原则。
Scoro 的员工和承包商故意滥用信息的威胁通过政策和实践、背景调查、基于角色的信息访问、主管对数据授权的监督、终止离职员工的数据访问和更换工作职能的员工来解决,禁止共享密码,以及其他相关保障措施。
物理盗窃或数据丢失的威胁正在通过在笔记本电脑、USB 驱动器和其他便携式设备上存储机密数据、便携式设备上的数据加密、删除不必要的信息、台式机和服务器的物理保护、及其他相关保障措施。
用于解决社区对隐私惯例的担忧的控制措施包含在 使用条款 中。
对于通过 Scoro 执行的基于信用卡的交易和其他电子商务交易,交易安全由 Scoro 值得信赖的合作伙伴 Adyen 保证。除了过期日期和信用卡的最后四位数字之外,Scoro 不会存储任何有关客户信用卡的信息,以向客户显示正在使用的是哪张卡。
Scoro 支持使用 128 位或更强加密的安全套接字层来连接到应用程序。
Scoro 托管环境为防火墙、入侵防御和其他关键安全元素提供冗余和负载平衡。
所有 Scoro 客户端都有独立的数据库和应用程序目录。对于更大的客户,还有一个专用的数据库实例。
对具有服务器、应用程序和客户端数据管理权限的人员进行内部背景调查。 Scoro 的三名成员致力于应用程序和基础设施安全。
Scoro 的帮助台通过电子邮件进行管理,不向客户提供外部访问权限。
结论
感谢您表达对 Scoro 安全实践的兴趣。
Scoro 不断改进其安全措施、政策、流程、实践、技术,因此本文档中的信息可能会发生变化。
如果出现本文档中未解决的任何问题或特定主题,请随时联系pm足球 客户支持 。
如果发现漏洞,我们恳请您联系pm足球安全团队。