Splashtop 合規性

了解 Splashtop 終端訪問和終端支持解決方案如何遵守或支持我們的客戶遵守行業和政府標準和法規。深入了解 Splashtop 和 SOC 2、ISO/IEC 27001、GDPR、CCPA、PCI、HIPAA 和 FERPA。

Splashtop 現已通過 ISO/IEC 27001：2022 認證，這是世界領先的資訊安全管理系統 (ISMS) 標準的最新版本。此認證取代了我們之前的 ISO/IEC 27001:2013 認證，證明了我們持續致力以最新的安全最佳實務保護客戶資料。

2022 年 ISO 27001 的更新增強了以下領域的要求：

• cloud服務安全

• 威脅情報

• 設計數據隱私

• 營運彈性

• 供應商和第三方風險管理

我們的 ISO 27001：2022 認證意味著 Splashtop：

• 維護涵蓋人員、流程和技術的綜合 ISMS。

• 進行年度獨立審核，以確保持續合規。

• 持續改善我們的控制措施，以應對新興的網絡威脅和不斷演變的業務風

認證範圍：SaaS服務（遠端桌面服務系統）的開發、維護和運營

Splashtop 已達到 SOC 2 Type 2 規範標準，並依據 AICPA《信任服務標準》，經過獨立稽核人員對安全性、可用性和機密性進行的驗證。就資料保護和服務可靠度方面而言，Foxpass 客戶亦可獲得同樣嚴格控管的環境所帶來的益處。

公開的 SOC 3 報告可供參考。
如需其他 SOC 2 文件，則須簽署 NDA 後提出申請方可取得。

Foxpass 如何支援您的 SOC 2 合規表現：
Foxpass 可協助客戶達到關鍵的《SOC 2 信任服務標準》，尤其是關係到存取控制 (CC6.x) 和系統運作 (CC7.x) 的那些準則。透過集中化驗證、詳細存取記錄和憑證式驗證，Foxpass 讓客戶能在其 SOC 2 稽核時展現有效的存取管理和監控。

身兼資料控制者和資料處理者的 Foxpass 和 Splashtop，均遵守歐盟 GDPR 的原則和義務。

我們採取將資料保護納入設計的做法，只在客戶服務的必要環節收集個人資料，並使用強大的加密技術來保護所有資料在傳輸過程和靜態存放時的安全。

我們與子處理者簽訂資料處理協議 (DPA)，並協助處理客戶對於存取、修正及刪除個人資料的相關要求。

我們已正式與第三方專業公司共同檢視我們的 GDPR 準備情形，並訂定了額外的程序和適當的溝通管道，來處理企業內外所有關於 GDPR 的詢問和任務。

詳情請參閱 Splashtop 隱私政策和企業資料處理協議。

Foxpass 如何支援您的 GDPR 合規性
Foxpass 透過實現資料存取、驗證和安全性相關的關鍵技術和組織控制，協助組織加強對歐盟《一般資料保護規則》(GDPR) 的合規表現。

具體而言，Foxpass 透過以下方式協助達成 GDPR 要求：

• 強制執行身分識別型和角色型存取控制 (第 5 條、第 32 條)：
  確保只有授權使用者和託管裝置可以存取儲存或處理個人資料的系統。

• 透過設計支援資料保護 (第 25 條)：
  與雲端身分識別供應商 (Entra ID、Okta、Google Workspace) 無縫整合，強制執行最低權限存取和安全網路分割，進而降低資料暴露風險。

• 提供詳細記錄檔且可供稽核 (第 30 條)：
  維護全面的存取記錄，支持著問責機制並有利於證明合法、安全的資料處理。

• 保護傳輸中的資料 (第 32 條)：
  使用憑證式與加密驗證方法 (EAP-TLS、LDAPS、HTTPS)，防止個人資料遭攔截。

• 簡化證明合規的方法：
  讓 IT 和安全團隊能夠在內部稽核或監管機構審查時，證明存取控制和安全措施。

根據 CCPA，加州居民可要求存取、刪除或取消授權其個人資訊的出售或分享。

如我們的隱私政策所述，Splashtop 及包含在內的 Foxpass 都維持透明的隱私實務做法，並提供行使這些權利的機制。

屬於美國醫療保健行業的每一家企業都必須遵守規管敏感和私人患者信息的聯邦標準。除了保護員工健康保險外，HIPAA 還設定了保護電子健康信息的完整性、機密性和可用性的標準。Splashtop 不會處理、儲存或存取任何使用者的電腦數據，例如病患資料或醫療記錄。因此，Splashtop 不應被視為您的業務夥伴。雖然沒有任何單一產品或解決方案可以使組織符合 HIPAA 標準，但 Splashtop Remote Access、Splashtop Remote Support、SRS Premium、Splashtop Enterprise 和 Splashtop On-Prem 產品如果使用得當，可以幫助組織滿足 HIPAA 關於遠端存取醫療保健資訊的隱私和安全的準則，並且可以在下面的白皮書中使用支援性皮書（請參閱）以符合性皮書的隱私和安全性準則，並且可以在下方的白皮書中使用支援性皮書。需要注意的一些關鍵點是：

• Splashtop 只傳輸但不存儲程式碼，而該螢幕擷取使用 AES-256 位加密的 TLS 端到端加密。

• 用戶名/密碼傳輸使用 HTTPS / TLS 加密。

• 用戶密碼已加密並儲存在我們的資料庫中，該資料庫受加密的硬碟和 VPN 保護。

• 所有連線都有時間戳和用戶/裝置/會話訊息的紀錄。

• 預設情況下，設備身份驗證處於啟用狀態，並且可以選擇啟用雙重身份驗證。

• 我們的雲端安全模組同步監控和標註可疑活動，並阻止攻擊者進一步存取我們的雲端服務。

所有這些措施應有助於確保 Splashtop 可以安全地部署在您的組織中而不影響 HIPAA 的規範。

白皮書：Splashtop HIPAA 合規性和安全性

Splashtop 也提供其遠端存取和遠端支援解決方案的內部部署機制，藉此將所有伺服器模組/服務都託管在客戶的私人雲端。欲了解更多資訊，請前往 https://www.splashtop.com/products/on-prem 和 https://www.splashtop.com/solutions/iot (電腦、行動/嵌入式/IoT 裝置遠端支援)。

請聯絡 sales@splashtop.com 開始試用或取得更多資訊。

支付卡產業資料安全標準 (PCI DSS) 訂有嚴格的要求，規範如何保護持卡人資料，以及處理或傳輸付款資訊的網路。

Foxpass 不會儲存或處理持卡人資料，但是會提供保護持卡人資料環境 (CDE) 所需的身分識別和存取控制、稽核記錄和網路分割功能，藉此協助符合 PCI DSS 規範。

組織單位會使用 Foxpass 來：

• 強制對於處理付款資料的系統，依據身分識別提供最低權限存取

• 使用 SSH 金鑰和特殊權限存取管理，限制和監控管理員存取權

• 針對 PCI DSS 控制驗證，記錄和稽核驗證事件

• 使用 RADIUS 型 VLAN 原則分割網路，將 CDE 與一般使用者流量隔離

Splashtop 僅與符合 PCI DSS 的付款供應商合作，為的就是能安全處理交易，確保所有卡片資料均依 PCI 要求處理。

FERPA 保護學生教育記錄中的個人身分識別資訊 (PII)，避免遭未經授權洩露。

Foxpass 透過身分識別式和憑證式驗證，確保網路和系統存取的安全，進而協助教育機構遵循 FERPA 規範。Foxpass 會確保只有經過驗證的使用者和託管裝置才能存取校園 Wi-Fi、伺服器和系統，加強對敏感學生和機構資料的保護機制。

Foxpass 不會存取或儲存學生記錄，並遵循業界最佳的加密和隱私保護做法。

深入了解 Splashtop 和 FERPA：Splashtop FERPA 資訊表

Foxpass 由 Splashtop 安全的雲端基礎架構提供支援，集結了：

• 端對端加密技術和強制執行 TLS 1.2+ 的功能

• 持續監控與獨立弱點評估

• > 99.9% 時間正常運作，且提供全球備援

• 全面的稽核記錄功能，可供證明合規性

詳情請查看 Splashtop 安全總覽和技術與組織措施 (TOM)。

如需合規文件、問卷或安全性的相關諮詢，請透過電子郵件聯絡我們：sales@splashtop.com，或直接來電洽詢：銷售 - +1.408.886.7177 。