Foxpass 合规

Foxpass 是 Splashtop 旗下公司，遵循最高的信息安全和隐私标准。

我们的解决方案在 Splashtop 经过认证的信息安全管理体系（ISMS）和经审计的控制框架内开发和运营，帮助客户满足其在各行各业中的合规要求。

已通过认证：ISO/IEC 27001:2022 | SOC 2 Type 2
符合：GDPR | CCPA
支持客户满足以下合规要求：ISO/IEC 27001 | SOC 2 | GDPR | AU Privacy Act (APPs) | CCPA | HIPAA | PCI DSS | FERPA

Foxpass 解决方案帮助客户实施身份和访问控制、网络分段、SSH 密钥和特权访问管理、详细日志记录以及加密防护措施，以符合这些监管框架和零信任安全原则。

Splashtop 已通过 ISO/IEC 27001:2022 认证，这是全球领先的信息安全管理体系（ISMS）标准。该认证确认，Splashtop 及其在 ISMS 下运营的所有 Foxpass 服务均保持一套全面且经过独立审计的安全计划，涵盖人员、流程和技术。

认证范围：包括 Foxpass Cloud RADIUS、PKI、Cloud LDAP 和 SSH Key Management 在内的 SaaS 服务的开发、维护和运营。

ISO 27001 在 2022 年的更新进一步强调了云服务安全、威胁情报、设计即隐私、运营韧性和第三方风险管理。

Foxpass 如何支持您的 ISO 27001 合规：
Foxpass 可帮助组织实施和维护符合 ISO/IEC 27001 附录 A 要求的控制措施——尤其是与身份和访问管理（A.9）、特权访问控制、网络安全和事件日志记录相关的控制措施。通过自动化用户身份验证、执行最小特权原则，并维护集中式审计追踪，Foxpass 简化了持续性的 ISMS 合规工作和审计准备。

Splashtop 已实现 SOC 2 Type 2合规，经由独立审计师根据美国注册会计师协会（AICPA）信托服务安全、可用性和保密性标准验证。
Foxpass 用户可享受同样严格控制的数据保护和服务可靠性环境。

公开披露的 SOC 3报告可供参考。其他 SOC 2 文件可根据 NDA 协议要求提供。

Foxpass 如何支持 SOC 2合规：
Foxpass 帮助客户满足关键的 SOC 2信托服务标准——特别是涉及访问控制（CC6.x）和系统操作（CC7.x）的标准。
通过集中身份验证、详细访问日志记录和基于证书的验证，Foxpass 使客户能够在 SOC 2审计中证明访问管理和监控的有效性。

Splashtop 已获得 CSA STAR 1级合规认证，证明了我们具备云安全能力。我们基于 CSA 云控制矩阵（CCM）和 CAIQ 完成了全面自评估，始终秉持最高的透明度标准，全过程保护您的数据安全。您可以点击此处查看我们在 CSA STAR 注册表上公布的评估结果。

Foxpass 和 Splashtop 作为数据控制者和数据处理者，均遵守欧盟 GDPR 的原则和义务。

我们通过强制实施数据保护，将个人数据收集范围限定在为客户提供必需的服务，并采用强大的加密技术确保所有动态和静态数据的安全。

我们与分包商签订数据处理协议（DPA），并支持与访问、更正和删除个人数据有关的客户请求。

我们已与第三方专业公司正式审查了 GDPR 的准备情况，制定了附加流程，并建立了适当的沟通渠道来处理所有与 GDPR 相关的内部和外部查询和任务。

详情请参阅 Splashtop 隐私政策和企业数据处理协议。

Foxpass 如何有助于遵守 GDPR
Foxpass 通过实施数据访问、身份验证和安全相关的关键技术和组织控制，帮助组织加强欧盟通用数据保护条例（GDPR）合规性。

Foxpass 通过以下方式支持 GDPR 要求：

• 执行基于身份和角色的访问控制（第5条和第32条）：
  确保只有授权用户和托管设备才能访问存储或处理个人数据的系统。

• 支持数据保护（第25条）：
  与云身份提供商（Entra ID、Okta、Google Workspace）无缝集成，以强制执行最小权限访问和安全网络分段，从而降低数据泄露风险。

• 提供详细的日志记录和可审计性（第30条）：
  保存完整的访问日志，以促进问责制并有助于证明数据处理的合法性和安全性。

• 保护传输中的数据安全（第32条）：
  使用基于证书和加密身份验证方法（EAP-TLS、LDAPS、HTTPS）防止个人数据被拦截。

• 简化合规证据：
  使 IT 和安全团队能够在内部审计或监管机构审查期间证明已采取的访问控制和安全措施。

《1988年澳大利亚隐私法案》（Australian Privacy Act 1988 (Cth)）和澳大利亚隐私原则（APPs）规定了组织如何收集、使用和保护个人信息。Foxpass 通过提供强有力的技术和组织保障措施，帮助客户加强对这些义务的合规性。

Foxpass 通过以下方式助力实现与 APP 对齐的合规性：

• APP 1 – 个人信息管理

  • 通过详细的身份验证和访问日志，实现透明的访问治理

  • 支持要求对个人信息进行受控访问的组织政策

• 附录 6 – 个人信息的使用或披露

  • 对处理个人信息的系统实施最小特权原则和基于身份的访问控制

  • 通过确保只有经过验证的用户和设备才能连接，限制未经授权的信息泄露

• APP 11 – 个人信息安全
  Foxpass 支持符合 APP 11 的安全措施，包括：

  • 基于证书的身份验证（EAP-TLS）

  • 加密目录访问（LDAPS）

  • 特权访问和 SSH 密钥管理

  • 基于动态 VLAN 的网络分段

  • 全面且不可篡改的审计日志记录

• APP 12 – 访问个人信息

  • 确保访问个人信息的员工完成安全的身份验证

  • 支持安全的管理访问工作流程

根据 CCPA 的规定，加州居民可以要求访问、删除或选择出售或共享其个人信息。

Splashtop（及其衍生产品 Foxpass）都采用透明的隐私保护措施，并提供我们在《隐私政策》中概述的权利行使机制。

虽然 Splashtop 和 Foxpass 并非 HIPAA 下的商业伙伴，且不处理患者记录，但 Foxpass 通过以下方式支持客户遵循 HIPAA 安全规则的合规举措：

• 为网络和服务器访问强制实施基于身份和证书的身份验证

• 支持 MFA 和传输中加密，保护 ePHI

• 管理 SSH 密钥和特权访问，确保只有获得授权的管理员才能访问关键系统

• 集中管理访问控制并保留详细的审计日志

• 通过动态 VLAN 分配简化网络分段，确保只有获得授权的用户和值得信任的设备才能访问敏感系统

这些控制措施构成 HIPAA 所要求技术保障措施的一部分，有助于满足访问管理、身份验证和审计要求方面的合规性。

《支付卡行业数据安全标准》（PCI DSS）对保护持卡人数据和确保处理或传输支付信息的网络安全提出了严格要求。

Foxpass 不存储或处理持卡人数据，通过提供身份和访问控制、审计日志记录和网络分段功能来支持 PCI DSS 合规性，从而保护持卡人数据环境（CDE）安全。

通过 Foxpass，企业可以：

• 对处理支付数据的系统实施最小权限、基于身份的访问方法

• 使用 SSH 密钥和特权访问管理限制和监控管理员的访问权限

• 记录并审计用于 PCI DSS 控制验证的身份验证事件

• 使用基于 RADIUS 的 VLAN 策略进行网络，将 CDE 与一般用户流量隔离

Splashtop 仅与符合 PCI DSS 标准的支付提供商合作，以确保交易处理的安全性，并保证所有卡片数据均按照 PCI 要求进行处理。

FERPA 旨在保护学生教育档案中的个人身份信息（PII）不被泄露。

Foxpass 通过基于身份和证书的身份验证来保护网络和系统访问，从而帮助教育机构支持 FERPA 合规性。Foxpass 通过确保仅经过验证的用户和托管设备能访问校园 Wi-Fi、服务器和系统，加强了对学生和机构的敏感数据的保护。

Foxpass 不会访问或存储学生档案，并遵循加密和隐私方面的行业最佳实践。

详细了解 Splashtop 和 FERPA：Splashtop FERPA 信息表

Foxpass 由 Splashtop 的安全云基础设施提供支持，包含：

• 采用端到端加密和 TLS 1.2+

• 持续监测和独立漏洞评估

• > 99.9%正常运行时间与全球冗余

• 全面的审计记录，提供合规证据

如需详细信息，请访问 Splashtop 安全概述和技术与组织措施（TOM）。

有关合规文件、问卷调查或安全问题的咨询，可发送邮件至 sales@splashtop.com 或通过+86 (0) 571 8711 9188与我们联系。