Splashtop 合規性

了解 Splashtop 終端訪問和終端支持解決方案如何遵守或支持我們的客戶遵守行業和政府標準和法規。深入了解 Splashtop 和 SOC 2、ISO/IEC 27001、GDPR、CCPA、PCI、HIPAA 和 FERPA。

Splashtop 現已通過 ISO/IEC 27001：2022 認證，這是世界領先的資訊安全管理系統 (ISMS) 標準的最新版本。此認證取代了我們之前的 ISO/IEC 27001:2013 認證，證明了我們持續致力以最新的安全最佳實務保護客戶資料。

2022 年 ISO 27001 的更新增強了以下領域的要求：

• cloud服務安全

• 威脅情報

• 設計數據隱私

• 營運彈性

• 供應商和第三方風險管理

我們的 ISO 27001：2022 認證意味著 Splashtop：

• 維護涵蓋人員、流程和技術的綜合 ISMS。

• 進行年度獨立審核，以確保持續合規。

• 持續改善我們的控制措施，以應對新興的網絡威脅和不斷演變的業務風

認證範圍：SaaS服務（遠端桌面服務系統）的開發、維護和運營

Splashtop 已達到 SOC 2 Type 2 規範，並經獨立稽核人員依據 AICPA Trust Services Criteria 的安全性、可用性和機密性進行驗證。Foxpass 客戶受益於同樣嚴格控制的資料保護和服務可靠性環境。

公開的 SOC 3 報告可供參考。
如需其他 SOC 2 文件，則須簽署 NDA 後提出申請方可取得。

Foxpass 如何支援您的 SOC 2 合規性：
Foxpass 可協助客戶符合關鍵的 SOC 2 信任服務標準 - 尤其是針對存取控制 (CC6.x) 和系統作業 (CC7.x) 的標準。透過集中化驗證、詳細的存取記錄和基於證書的驗證，Foxpass 可讓客戶在他們自己的 SOC 2 稽核中展示有效的存取管理和監控。

身兼資料控制者和資料處理者的 Foxpass 和 Splashtop，均遵守歐盟 GDPR 的原則和義務。

我們採取將資料保護納入設計的做法，只在客戶服務的必要環節收集個人資料，並使用強大的加密技術來保護所有資料在傳輸過程和靜態存放時的安全。

我們與子處理者簽訂資料處理協議 (DPA)，並協助處理客戶對於存取、修正及刪除個人資料的相關要求。

我們已正式與第三方專業公司共同檢視我們的 GDPR 準備情形，並訂定了額外的程序和適當的溝通管道，來處理企業內外所有關於 GDPR 的詢問和任務。

詳情請參閱 Splashtop 隱私政策和企業資料處理協議。

Foxpass 如何支援您的 GDPR 合規性
Foxpass 透過實現與資料存取、驗證和安全性相關的關鍵技術和組織控制，協助組織強化對歐盟一般資料保護條例 (GDPR) 的合規性。

具體而言，Foxpass 透過以下方式協助達成 GDPR 要求：

• 強制執行以身分和角色為基礎的存取控制 (第 5 條& 32)：
  確保只有授權使用者和受管理的裝置才能存取儲存或處理個人資料的系統。

• 透過設計支援資料保護 (第 25 條)：
  與cloud 身份供應商 (Entra ID、Okta、Google Workspace) 無縫整合，以強制執行最少權限存取和安全網路分割 - 降低資料暴露風險。

• 提供詳細的日誌和稽核性 (第 30 條)：
  維護全面的存取日誌，以支援問責性，並協助證明合法、安全的資料處理。

• 保護傳輸中的資料 (第 32 條)：
  使用以憑證為基礎的加密驗證方法 (EAP-TLS、LDAPS、HTTPS) 以防止個人資料被攔截。

• 簡化合規性證據：
  讓 IT 和安全團隊能夠在內部稽核或監管機構審查時，證明存取控制和安全措施。

根據 CCPA，加州居民可要求存取、刪除或取消授權其個人資訊的出售或分享。

如我們的隱私政策所述，Splashtop 及包含在內的 Foxpass 都維持透明的隱私實務做法，並提供行使這些權利的機制。

屬於美國醫療保健行業的每一家企業都必須遵守規管敏感和私人患者信息的聯邦標準。除了保護員工健康保險外，HIPAA 還設定了保護電子健康信息的完整性、機密性和可用性的標準。Splashtop 不會處理、儲存或存取任何使用者的電腦數據，例如病患資料或醫療記錄。因此，Splashtop 不應被視為您的業務夥伴。雖然沒有任何單一產品或解決方案可以使組織符合 HIPAA 標準，但 Splashtop Remote Access、Splashtop Remote Support、SRS Premium、Splashtop Enterprise 和 Splashtop On-Prem 產品如果使用得當，可以幫助組織滿足 HIPAA 關於遠端存取醫療保健資訊的隱私和安全的準則，並且可以在下面的白皮書中使用支援性皮書（請參閱）以符合性皮書的隱私和安全性準則，並且可以在下方的白皮書中使用支援性皮書。需要注意的一些關鍵點是：

• Splashtop 只傳輸但不存儲程式碼，而該螢幕擷取使用 AES-256 位加密的 TLS 端到端加密。

• 用戶名/密碼傳輸使用 HTTPS / TLS 加密。

• 用戶密碼已加密並儲存在我們的資料庫中，該資料庫受加密的硬碟和 VPN 保護。

• 所有連線都有時間戳和用戶/裝置/會話訊息的紀錄。

• 預設情況下，設備身份驗證處於啟用狀態，並且可以選擇啟用雙重身份驗證。

• 我們的雲端安全模組同步監控和標註可疑活動，並阻止攻擊者進一步存取我們的雲端服務。

所有這些措施應有助於確保 Splashtop 可以安全地部署在您的組織中而不影響 HIPAA 的規範。

白皮書：Splashtop HIPAA 合規性和安全性

Splashtop 也提供其遠端存取和遠端支援解決方案的內部部署機制，藉此將所有伺服器模組/服務都託管在客戶的私人雲端。欲了解更多資訊，請前往 https://www.splashtop.com/products/on-prem 和 https://www.splashtop.com/solutions/iot (電腦、行動/嵌入式/IoT 裝置遠端支援)。

請聯絡 sales@splashtop.com 開始試用或取得更多資訊。

支付卡產業資料安全標準 (PCI DSS) 訂有嚴格的要求，規範如何保護持卡人資料，以及處理或傳輸付款資訊的網路。

雖然 Foxpass 不會儲存或處理持卡人資料，但它提供保護持卡人資料環境 (CDE) 所需的身分和存取控制、稽核記錄和網路分割功能，以支援 PCI DSS 合規性。

組織單位會使用 Foxpass 來：

• 強制對於處理付款資料的系統，依據身分識別提供最低權限存取

• 使用 SSH 金鑰和特殊權限存取管理，限制和監控管理員存取權

• 針對 PCI DSS 控制驗證，記錄和稽核驗證事件

• 使用 RADIUS 型 VLAN 原則分割網路，將 CDE 與一般使用者流量隔離

Splashtop 與符合 PCI DSS 的付款供應商建立專屬合作夥伴關係，以進行安全交易處理，確保所有卡片資料均依照 PCI 要求處理。

FERPA 保護學生教育記錄中的個人身分識別資訊 (PII)，避免遭未經授權洩露。

Foxpass 透過以身分和憑證為基礎的驗證，確保網路和系統存取的安全性，協助教育機構支援 FERPA 規範。Foxpass 可確保只有經過驗證的使用者和管理的裝置才能存取校園 Wi-Fi、伺服器和系統，從而加強對敏感學生和機構資料的保護。

Foxpass 不會存取或儲存學生記錄，並遵循業界最佳的加密和隱私保護做法。

深入了解 Splashtop 和 FERPA：Splashtop FERPA 資訊表

Foxpass 由 Splashtop 安全的雲端基礎架構提供支援，集結了：

• 端對端加密技術和強制執行 TLS 1.2+ 的功能

• 持續監控與獨立弱點評估

• > 99.9% 時間正常運作，且提供全球備援

• 全面的稽核記錄功能，可供證明合規性

詳情請查看 Splashtop 安全總覽和技術與組織措施 (TOM)。

如需合規文件、問卷或安全性的相關諮詢，請透過電子郵件聯絡我們：sales@splashtop.com，或直接來電洽詢：銷售 - +1.408.886.7177 。