我们尊重和保护个人的权利,尤其是在信息处理和使用过程中的数据保护和隐私。 我们致力于保护客户数据的隐私并防止未经授权的访问。 我们的隐私政策和数据处理协议帮助我们在所有产出(包括技术产品和营销内容)中体现我们的价值观,并遵守全球所有相关法律。国内不是
安全与合规
我们在软件和操作的每一层都建立了安全性,以提供完全合规的解决方案
数据安全
InCountry 的数据保险库从头开始构建,以安全地存储和处理受监管的数据。我们的数据防火墙确保数据保持在地理边界内,并且只有加密数据或聚合数据可以跨越国界。
数据防火墙
- 确保数据不会离开一个国家
- 安全地将数据直接传送到一个国家/地区的浏览器和应用程序
- 强制执行和记录的声明性控制
- 防止数据丢失确保数据不会离开国家/地区
资料库
- 完全加固的服务器
- 隔离的无服务器功能
- 不显示底层数据的商业智能聚合函数
认证与授权
- 源应用程序和身份提供商继续对用户进行身份验证并授权 InCountry Vault 内的所有操作和数据访问
- 源应用程序继续提供基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)和基于策略的访问控制(PBAC)
- 数据授权细粒度到行级和字段级
加密和标记化
- 每个字段都可以有完全加密、可搜索加密、散列、确定性散列
- 跨国家/地区完全支持自带密钥
操作和应用安全
安全是我们组织和产品工程的重点关注领域。InCountry 是一个具有最高安全和隐私标准的安全意识组织。
具有出处的可审计日志记录
- 记录所有用户活动
- 数据治理元数据,例如与数据一起存储的出处
- 验证数据不离开国家/地区
软件开发生命周期
- 通过在整个软件开发生命周期中集成的设计原则实现稳健的安全性和隐私保护。
- 威胁建模和综合渗透测试。
- 架构和代码审查,包括手动和自动审查。
基础设施安全
- 持续基础设施监控 (24×7)
- 持续的威胁检测、监控和响应
- 随叫随到的安全事件响应团队 (SIRT) (24×7)
- 定期进行内部和外部渗透测试
- 定期扫描、修补和更新
遵守
合规性在我们的 DNA 中。 我们一直致力于确保我们的解决方案符合全球最新的合规性和监管标准。 我们接受外部审计和审查,以确保我们的服务能够应对可能扰乱您业务的市场变化。
SOC 1 Type II
我们的内部控制报告是根据行业标准(SSAE 第 16 号和 ISAE 第 3402 号)编制的,证明了我们对财务报告的控制的有效性。 它为我们的客户及其审计师提供保证,确保我们服务的安全性和可靠性。
SOC 2 Type II
InCountry 已获得基于 AICPA 信任服务原则 (TSP) 和标准的 SOC 2 Type II(服务组织控制)报告,涵盖与云服务提供商 (CSP) 相关的安全性、可用性和机密性 TSP。请求报告
SOC 3
SOC 3(服务组织控制)报告是 SOC 2 报告的缩写版本,适用于希望了解云服务提供商 (CSP) 控制但不需要完整 SOC 2 报告的用户。 仅当 CSP 进行了不合格的审核时,才可以出具 SOC 3 报告。
GxP
InCountry 平台上的良好临床实践、良好实验室实践和良好制造实践 (“GxP”) 合规性可实现安全且高度可用的数据分发和本地化,符合生命科学组织对经过验证和受控工作负载的要求。 客户将受益于改进的用户体验、降低的成本和改进的安全性。
PCI DSS
支付卡行业数据安全标准 (PCI-DSS) 是关于信用卡信息安全处理的行业级信息安全标准。
HIPPA
健康保险流通与责任法案 (HIPAA) 为涵盖实体 (CE) 和业务伙伴 (BA) 持有的患者健康信息提供美国联邦保护。
152-FZ
InCountry 符合俄罗斯第 152 号联邦法律,符合行业标准,并满足“个人数据”法律的要求。
CSA
安全信任保证和风险 (STAR) 2 级认证是对云服务提供商安全性的严格第三方独立评估。 该认证利用了 ISO/IEC 27001:2013 管理体系标准的要求以及 CSA 云控制矩阵标准。
ISO 27001
ISO/IEC 27001:2022 是一组基于风险的信息安全要求,要求组织拥有结构良好的信息安全管理系统 (ISMS)。 系统的维护需要外部审计师的年度审计、持续的风险评估和系统的持续改进。
ISO 27017
ISO/IEC 27017:2015 提供了有关云计算信息安全方面的指南,建议实施特定于云的信息安全控制措施,以补充 ISO/IEC 27002 和 ISO/IEC 27001 标准的指南。 本行为准则提供了特定于云服务提供商的附加信息安全控制实施指南。
ISO 27018
ISO/IEC 27018:2019 是一个实践准则,专注于保护云中的个人数据。 它基于 ISO/IEC 信息安全标准 27002,并提供适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制的实施指南。
ISO 27701
ISO 27701 的设计目标是通过附加要求增强现有的信息安全管理系统 (ISMS),以便建立、实施、维护和持续改进隐私信息管理系统 (PIMS)。 该标准概述了个人身份信息 (PII) 控制者和 PII 处理者的框架,用于管理隐私控制以降低个人隐私权的风险。
与阿里云合作
SCC
个人信息跨境转移标准合同条款 (China SCCs) 是中国个人信息保护法规定的将个人信息转移到中国境外 (PIPL) 的三种机制之一。
PIPL
中国个人信息保护法(PIPL)是中国新的数据隐私法,旨在保护个人信息,解决个人数据泄露问题。
DSL
《中华人民共和国数据安全法》(DSL)建立了框架,根据数据对中国国家安全的潜在影响对在中国收集和存储的数据进行分类,并根据数据的分类级别规范其存储和传输。
CSL
《中国网络安全法》(CSL)规定了保护中国网络空间的网络安全要求。该法保障中国境内组织和个人的合法权益。
MLPS 2.0
MLPS 2.0系列标准包括《GB/T 22239-2019信息安全技术-网络安全等级保护基线》、《GB/T 25070-2019信息安全技术-网络安全等级保护安全设计技术要求》和《GB /T 28448-2019《信息安全技术-网络安全等级保护评价要求》适用于对我国网络建设、运行、维护和使用的监管。
即将推出
隐私
国内不是
国内信息系统
社交媒体帖子
短信
即时消息
个人照片
电话记录
个人资料
财务数据
支付数据
健康数据
员工数据
设计隐私
InCountry 不会访问或出售客户数据。 你的数据是你的。
我们的道德立场
我们的使命是通过解决数据驻留和保护挑战,帮助公司将业务扩展到新的国家。 我们通过提供所需的工具和安全存储服务来帮助公司满足受监管数据的数据保护要求,例如受监管的支付卡信息 (PCI)、受保护的健康信息 (PHI)、个人身份信息 (PII) 他们经营的国家。 InCountry 不会收集或存储任何超出运营服务所需的信息。 我们不处理或存储社交媒体帖子、短信、即时消息、个人照片或电话记录。 InCountry 致力于以最高程度的道德价值观开展业务,并拥有专门的资源来保持对法规和法律要求的遵守。
欧盟 (EU) 通过了 GDPR,赋予个人对其个人数据的更多控制权。 GDPR 对处理 PII 施加了更多规则,并具有强大的执行力。 我们投入了大量战略资源来维持 GDPR 的合规性,我们还旨在帮助我们的客户遵守概述的流程和政策。
InCountry员工定期接受培训和测试,以提高其数据隐私意识。 内部团队会定期测试隐私和安全控制措施的有效性,以确认我们继续保持适当级别的数据保护。
InCountry 员工定期接受培训和测试,以增强数据隐私意识。 内部团队定期测试隐私和安全控制的有效性,以确认我们继续保持适当的数据保护级别。
执法指南
为保护客户的权利和数据隐私,我们仅在客户得到通知并按照法律规定遵循所有法律程序和程序后才向执法机构或政府实体提供客户信息,除非我们明确禁止这样做 法律。
为了及时处理执法部门对客户信息的请求,应通过电子邮件发送至:
如果您的机构或实体必须通过邮件或亲自提交请求,我们的地址是:
2443 Fillmore Street, Suite #380-16895
San Francisco, CA 94123