Splashtop 技术组织措施

技术组织措施（TOM）描述了 Splashtop 实施和维护的安全和控制措施，以保护我们存储和处理的个人数据安全。

• 访问控制：Splashtop 已实施访问控制来管理对数据和系统的电子访问。我们的访问控制基于权限级别、按需知悉以及系统访问人员职责分离原则。

• 安全事件响应：Splashtop 已建立安全事件响应程序，旨在帮助 Splashtop 调查、响应、缓解和通知与 Splashtop 服务和信息资产相关的事件。

• 帐户和密码策略：Splashtop 用户有自己指定的登录名。整个组织强制执行强密码和双因素或多因素身份验证。

• 数据安全控制：Splashtop 的数据安全控制包括基于角色的最小权限访问原则、访问监控和日志记录。这表明所有用户在开始使用 Splashtop 系统时都具有最低级别的数据访问权限。

• 变更管理：Splashtop 会对管理政策和流程变更进行维护，以确保重大变更的记录、测试和批准，通过书面恢复计划确保变更得到授权并取得成功。

• 审计与风险管理：Splashtop 持续评估与 Splashtop 组织相关的风险，监控和维护 Splashtop 政策和程序的合规性。

• 安全政策：Splashtop 维护并遵循 IT 安全政策与实践。IT 安全政策会在 Splashtop 认为合理的情况下定期审查和修订。Splashtop 员工须每年完成信息安全培训，并遵守 Splashtop 行为准则中规定的 Splashtop 企业道德行为、保密和安全政策。

• 加密：Splashtop 将所有传输中和静态的用户数据加密。使用 TLS 确保会话建立的安全性，会话内容使用256位 AES 加密。

• 业务弹性：Splashtop 实施和维护“灾难恢复与业务连续性计划和程序”，旨在从可预见的紧急情况或灾难中恢复和维持服务。

• 可用性：Splashtop 服务具有自动修复和自动扩展功能，以确保为 Splashtop 客户提供服务的可用性。

• 系统审计和日志记录：记录、存储和分析系统及应用程序的访问和活动，以发现行为异常。

• 安全威胁和漏洞管理：Splashtop 采用补丁管理、端点安全、入侵检测和防御、漏洞披露计划等工具和实践，以及渗透测试和漏洞扫描，从上到下保护我们的整个组织。

本政策最后更新时间：2021年7月7日