Splashtop合规性

了解 Splashtop 远程访问和远程支持解决方案如何符合或支持客户遵守的各项行业和政府标准与法规。了解有关 Splashtop 和 SOC 2、ISO/IEC 27001、GDPR、CCPA、PCI、HIPAA 和 FERPA 的更多信息。

Splashtop 已通过 ISO/IEC 27001:2022认证，这是世界领先的信息安全管理系统（ISMS）标准的最新版本。该认证取代了我们之前的 ISO/IEC 27001:2013认证，表明我们始终致力于采用最新安全实践以保护客户数据。

ISO 27001的2022年更新从以下几个方面强化了相关要求：

• 云服务安全

• 威胁情报

• 设计数据隐私

• 运营韧性

• 供应商和第三方风险管理

获得 ISO 27001:2022认证表明 Splashtop：

• 建立了涵盖人员、流程和技术的全面信息安全管理系统

• 每年接受独立审计以确保持续合规

• 不断改进控制措施以应对新出现的网络威胁和不断演变的商业风险

认证范围：SaaS 服务（远程桌面服务系统）的开发、维护和运营

Splashtop 已实现 SOC 2 Type 2合规，经由独立审计师根据美国注册会计师协会（AICPA）信托服务安全、可用性和保密性标准验证。
Foxpass 用户可享受同样严格控制的数据保护和服务可靠性环境。

公开披露的 SOC 3报告可供参考。其他 SOC 2 文件可根据 NDA 协议要求提供。

Foxpass 如何支持 SOC 2合规：
Foxpass 帮助客户满足关键的 SOC 2信托服务标准——特别是涉及访问控制（CC6.x）和系统操作（CC7.x）的标准。
通过集中身份验证、详细访问日志记录和基于证书的验证，Foxpass 使客户能够在 SOC 2审计中证明访问管理和监控的有效性。

Splashtop 已获得 CSA STAR 1级合规认证，证明了我们具备云安全能力。我们基于 CSA 云控制矩阵（CCM）和 CAIQ 完成了全面自评估，始终秉持最高的透明度标准，全过程保护您的数据安全。您可以点击此处查看我们在 CSA STAR 注册表上公布的评估结果。

Foxpass 和 Splashtop 作为数据控制者和数据处理者，均遵守欧盟 GDPR 的原则和义务。

我们通过强制实施数据保护，将个人数据收集范围限定在为客户提供必需的服务，并采用强大的加密技术确保所有动态和静态数据的安全。

我们与分包商签订数据处理协议（DPA），并支持与访问、更正和删除个人数据有关的客户请求。

我们已与第三方专业公司正式审查了 GDPR 的准备情况，制定了附加流程，并建立了适当的沟通渠道来处理所有与 GDPR 相关的内部和外部查询和任务。

详情请参阅 Splashtop 隐私政策和企业数据处理协议。

Foxpass 如何有助于遵守 GDPR
Foxpass 通过实施数据访问、身份验证和安全相关的关键技术和组织控制，帮助组织加强欧盟通用数据保护条例（GDPR）合规性。

Foxpass 通过以下方式支持 GDPR 要求：

• 执行基于身份和角色的访问控制（第5条和第32条）：
  确保只有授权用户和托管设备才能访问存储或处理个人数据的系统。

• 支持数据保护（第25条）：
  与云身份提供商（Entra ID、Okta、Google Workspace）无缝集成，以强制执行最小权限访问和安全网络分段，从而降低数据泄露风险。

• 提供详细的日志记录和可审计性（第30条）：
  保存完整的访问日志，以促进问责制并有助于证明数据处理的合法性和安全性。

• 保护传输中的数据安全（第32条）：
  使用基于证书和加密身份验证方法（EAP-TLS、LDAPS、HTTPS）防止个人数据被拦截。

• 简化合规证据：
  使 IT 和安全团队能够在内部审计或监管机构审查期间证明已采取的访问控制和安全措施。

根据 CCPA 的规定，加州居民可以要求访问、删除或选择出售或共享其个人信息。

Splashtop（及其衍生产品 Foxpass）都采用透明的隐私保护措施，并提供我们在《隐私政策》中概述的权利行使机制。

美国医疗保健行业的所有企业都必须遵守联邦标准，以规范敏感的患者个人信息。HIPAA 法案不仅可以保护患者的健康保险范围，还制定了保护患者电子健康信息完整性，机密性和可用性的标准。Splashtop 不会处理、存储或访问任何用户的计算机数据，例如患者数据、病历等。因此，Splashtop 不应被视为您的业务伙伴。尽管没有任何一种产品或解决方案可以帮助组织符合 HIPAA 的要求，但如果可以正确使用 Splashtop Remote Access、Splashtop Remote Support、SRS Premium、Splashtop Enterprise 和 Splashtop On-Prem 产品，则可能帮助组织实现 HIPAA 的各项准则，以保护远程访问医疗保健信息的隐私和安全性，并能在更大的系统中使用以支持 HIPAA 规范（详见下面的白皮书）。请注意以下几个关键点：

• Splashtop传输但不存储编码的屏幕捕获流，该屏幕捕获流使用AES-256位加密的TLS端到端加密。

• 用户名/密码传输使用HTTPS / TLS加密。

• 用户密码已加密并存储在我们的数据库中，该数据库受加密的磁盘和VPN保护。

• 所有连接都记录有时间戳和用户/设备/会话信息。

• 默认情况下，设备身份验证处于启用状态，并且可以选择启用两因素身份验证。

• 我们的云安全模块实时监视和标记可疑活动，并阻止攻击者进一步访问我们的云服务。

所有这些措施应有助于确保Splashtop可以安全地部署在您的组织中而不会影响HIPAA的合规性。

白皮书：Splashtop HIPAA合规性和安全性

Splashtop 还提供远程访问和远程支持的本地部署解决方案。通过此方案，所有服务器模块/服务都托管在客户的私有云中。更多信息请访问 https://www.splashtop.com/products/on-prem 和 https://www.splashtop.com/solutions/iot（用于计算机、移动/嵌入式/物联网设备的远程支持）。

请发邮件至 sales@splashtop.com 以开始试用或获得更多信息。

《支付卡行业数据安全标准》（PCI DSS）对保护持卡人数据和确保处理或传输支付信息的网络安全提出了严格要求。

Foxpass 不存储或处理持卡人数据，通过提供身份和访问控制、审计日志记录和网络分段功能来支持 PCI DSS 合规性，从而保护持卡人数据环境（CDE）安全。

通过 Foxpass，企业可以：

• 对处理支付数据的系统实施最小权限、基于身份的访问方法

• 使用 SSH 密钥和特权访问管理限制和监控管理员的访问权限

• 记录并审计用于 PCI DSS 控制验证的身份验证事件

• 使用基于 RADIUS 的 VLAN 策略进行网络，将 CDE 与一般用户流量隔离

Splashtop 仅与符合 PCI DSS 标准的支付提供商合作，以确保交易处理的安全性，并保证所有卡片数据均按照 PCI 要求进行处理。

FERPA 旨在保护学生教育档案中的个人身份信息（PII）不被泄露。

Foxpass 通过基于身份和证书的身份验证来保护网络和系统访问，从而帮助教育机构支持 FERPA 合规性。Foxpass 通过确保仅经过验证的用户和托管设备能访问校园 Wi-Fi、服务器和系统，加强了对学生和机构的敏感数据的保护。

Foxpass 不会访问或存储学生档案，并遵循加密和隐私方面的行业最佳实践。

详细了解 Splashtop 和 FERPA：Splashtop FERPA 信息表

Foxpass 由 Splashtop 的安全云基础设施提供支持，包含：

• 采用端到端加密和 TLS 1.2+

• 持续监测和独立漏洞评估

• > 99.9%正常运行时间与全球冗余

• 全面的审计记录，提供合规证据

如需详细信息，请访问 Splashtop 安全概述和技术与组织措施（TOM）。

有关合规文件、问卷调查或安全问题的咨询，可发送邮件至 sales@splashtop.com 或通过+86 (0) 571 8711 9188与我们联系。