檢視次數:
趨勢科技為全球網路資安領導廠商,協助世界安全地交換數位資訊。憑藉著數十年的資安專業、全球威脅研究以及持續不斷的創新,趨勢科技跨雲端、網路、裝置及端點的網路資安平台隨時守護著全球數十萬家企業機構及數百萬一般使用者。趨勢科技身為雲端及企業網路資安領導廠商,我們的平台提供了各種強大的進階安全威脅防禦技術,專為如 AWS、Microsoft 及 Google 的環境提供最佳化,集中掌握及更快更有效的偵測及回應威脅。
趨勢科技致力於保護我們客戶及其資料的安全和隱私。以下 Trend Vision One 資源代表我們對安全、隱私、透明度和遵守產業公認標準的承諾。如需詳細資訊,請參閱趨勢科技 Trust Center
有關 Trend Vision One 的最新安全、隱私和合規詳細資訊提供如下。
privacy=20220126141807.jpg
隱私權
 security=20220126141842.jpg
安全
 compliance=20220126141937.jpg
符合性
Data Privacy
GDPR
Trend Vision One Data Collection Notices
Data Security
Data Segregation
Data Encryption
Data Access
Security Logs
Data Retention
Disaster Recovery and Business Continuity
Data Deletion
Employee Training
Change Control
Vulnerability Management
Code Analysis
Penetration Testing
Incidence Response
ISO 27001
ISO 27014
ISO 27034-1
ISO 27017
SOC2
相關資訊

隱私資料

如需趨勢科技如何保護資料的一般資訊,請參閱趨勢科技全球隱私權聲明
根據受保護環境的性質,以及列為安全事件的目標對象(例如,文件、記憶體、網路流量),可能會在安全事件中收集個人資訊。我們會提供安全策略設定和模組選擇,以滿足目標環境的需求,並將這類風險降至最低。
如需進一步瞭解傳送給趨勢科技的資料,以及客戶對該資料的控制權,請閱讀Trend Vision One 資料蒐集注意事項
相關資訊

GDPR

趨勢科技遵守適用法律,包括 GDPR。如需詳細資訊,請參閱趨勢科技 GDPR 法規遵循網站。
  • 視情況適用,我們會實作技術和組織措施 (TOM),以支援我們根據 GDPR 處理資料。
  • 我們身為受 GDPR 規範的資料處理者,對個人資料的處理在許多情況下均受到限制。由 Trend Vision One 處理的資料的詳細資訊,以及您對該資料可用的控制權,均記錄於 Trend Vision One 資料蒐集注意事項

Trend Vision One 資料蒐集注意事項

Trend Vision One 中所提供的部分功能會蒐集與產品使用和偵測相關的資訊,並傳送回饋給趨勢科技。如需詳細資訊,請參閱Trend Vision One 資料蒐集注意事項

資料防護安全

趨勢科技遵循業界標準的資料安全性,並提供一般安全性實務的概述。此外,Trend Vision One 使用業界公認的最佳實務來保護您的資料。這包括分隔個別客戶資料以及加密靜態資料和傳輸中的資料。客戶資料的備份遵循業界定義的最佳實務,我們的各種認證(如 ISO 27001(存取控制和加密技術)和 ISO 27017(雲端服務監控和環境分隔))有助於定義我們的備份和資料復原流程。
客戶可選擇可用的 Trend Vision One 地區來佈建 Trend Vision One 主控台,以及儲存並處理所有資料湖服務和資料。客戶可將角色指派給使用者以限制 Trend Vision One 的存取權,包括但不限於授與支援存取權、啟動回應動作、從端點蒐集檔案,以及將使用者限制為擁有唯讀存取權。
靜態資料受其所在雲端的原生雲端技術保護。客戶資料會在擷取期間標記為「客戶 ID」,以做為資料架構的一部分。趨勢科技應用程式的內部資料存取層需要此「客戶 ID」參數來存取資料。此措施可保護客戶資料不被任何他方所存取,因為查詢一次只能存取一個「客戶 ID」。客戶與服務互動時不會直接提供「客戶 ID」,這會由應用程式自己處理。如此可確保惡意行為者無法透過錯誤的客戶 ID 存取另一個資料集。
Trend Vision One 盡可能使用 TLS 1.2 進行資料傳輸。
支援的加密:
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
相關資訊

資料隔離

所有客戶資訊均被隔離,以確保客戶只能存取自己的資料。客戶資料在匯入時會標記客戶 ID,作為資料架構的一部分。趨勢科技應用程式的內部資料存取層需要此客戶 ID參數來存取資料。此措施保護客戶資料不被其他方存取,因為查詢只能存取客戶已驗證的特定客戶 ID。客戶在使用服務時不會直接提供客戶 ID,這由應用程式本身處理。這確保了惡意行為者無法傳遞錯誤的客戶 ID 來存取其他資料集。
客戶聯絡資料,例如他們的電子郵件地址,在靜止狀態下已加密以確保機密性。Trend Vision One 收集的資料列在 Trend Vision One 資料蒐集注意事項

資料防護加密

Trend Vision One 處理的資訊在傳輸和處於靜態時都會進行加密,再傳送到客戶在初始設定期間所選地區中的 Trend Vision One 節點。
At Rest:靜態資料由其所在雲端的原生雲端技術保護。對於 Azure SQL,資料庫由透明資料庫加密保護。趨勢科技在 AWS 中的專有架構使用原生 AES 256 加密來保護靜態資料湖內容。
In TransitTrend Vision One 盡可能使用 TLS 1.2 進行資料傳輸。趨勢科技使用雲端原生金鑰管理基礎設施為客戶管理管理控制台和客戶端-伺服器通信加密。

資料存取

所有進入趨勢科技辦公室和網路的訪問都嚴格控制,僅限於授權或陪同的人員。進入敏感區域需要通過門禁卡系統並獲得批准。Trend Vision One 平台和資料防護湖基礎設施位於 Microsoft Azure 和 AWS。
Trend Vision One 託管在高度受限的子網路中,無直接的網路存取。只有少數管理員可以存取 Trend Vision One 以進行維護工作。操作員的存取是通過安全的已加密連接進行,並且有多層網路和存取控制保護。
Trend Vision One 中資訊的存取僅限於趨勢科技網站可靠性工程師 (SRE)、安全威脅研究和分析團隊,以及在主控台中明確啟動時的快速客戶支援團隊。允許存取的目的是為了疑難排解、解決問題和提高安全防護的有效性。所有存取行為都會被記錄和審核。存取權限由產品領導團隊管理和批准。上述趨勢科技團隊可能會從客戶部署區域外的實體位置存取/查看 Trend Vision One 中的資訊。
存取僅限於某些允許的 IP 位址,並在 SIEM 中進行監控。任何可疑的存取都會產生警訊,並根據事件管理程序對警訊進行調查。
Trend Vision One的開發或運營中不使用分包商。

安全日誌

Trend Vision One 使用 趨勢雲端一號 代理來監控:惡意程式防護、防火牆、入侵防護、完整性監控和日誌檢查。所有對基礎設施的訪問都通過雲端服務提供商提供的原生安全服務進行監控和記錄。
Trend Vision One 啟用自動警報並僱用 24/7 隨時待命的工作人員。每天都會審查所有系統的安全警報。如果懷疑發生安全事件,會立即向趨勢科技安全運營中心 (SOC) 報告。潛在事件會根據懷疑事件的嚴重性進行優先排序,並指派來自 SOC 的團隊以及技術專家進行調查。
這些日誌保留在託管 Trend Vision One 帳戶的區域,客戶無法訪問這些日誌。欲了解 Trend Vision One 覆蓋的區域,請參閱 Trend Vision One 資料中心位置
審計日誌會為所有使用者訪問和操作在Trend Vision One系統中生成和存儲。Trend Vision One會保留審計日誌180天。客戶可以在其控制台中查看客戶訪問日誌,並在需要時導出它們。

資料保留

關於日誌保留,Trend Vision One 會應用保留政策,在資料不再需要用於收集目的時清除資料。Trend Vision One 預設保留收集的原始資訊30天,除非客戶購買了延長儲存選項(最多可延長至365天)。Trend Vision One 也會生成並保留警報工作台180天,以便客戶有時間進行調查/報告。如果客戶許可證到期,所有資料會在30天寬限期後被刪除。

資料防護備份

Trend Vision One 備份每天進行。每週進行自動化測試以驗證備份的一致性,並將備份存儲以減少單一區域內問題的風險。備份會保留 35 天後銷毀。

災難復原與業務連續性 (DR)

Trend Vision One 擁有災難復原 (DR) 和業務持續性計劃 (BCP)。每年至少執行一次災難復原 (DR) 模擬,以驗證備份資料和 ISO 27001 下的 RTO/RPO 聲明。
備份被儲存以減輕單一區域內問題的風險。災難恢復模擬會定期執行,以驗證資料防護和 RTO/RPO 聲明。
Trend Vision One 平台和資料湖位於 Microsoft Azure 和 AWS 內。Trend Vision One 平台利用服務對服務的連接來促進先進的偵測和回應系統的運作。欲了解詳細資訊,請參閱 趨勢科技 Vision One 安全和隱私安全防護總覽

資料刪除

若要提交資料刪除要求,請造訪:
https://www.trendmicro.com/en_us/about/trust-center/privacy/gdpr/individual-rights.html
ISO 27001 包含資料銷毀相關規定。Trend Vision One、Microsoft Azure 及 AWS 均符合 ISO 27001 標準。
客戶可以傳送電子郵件給趨勢科技 (gdpr@trendmicro.com) 來提出資料刪除要求。

員工培訓

Trend Vision One 軟體開發人員均接受安全編碼實務做法訓練,這些訓練使用以 SANS 25/OWASP Top 10 為基礎的產業標準課程。教育訓練活動每年實施,有員工加入公司時也會實施。所有員工都必須遵守趨勢科技 Internet、電腦、遠端存取和行動裝置合宜使用政策。未遵守這些政策的員工將受到紀律處分,包括解僱。Trend Vision One 開發團隊聘用專門人員來處理產品安全問題。安全測試、安全程式碼審查和威脅建模皆為開發生命週期的一部分。如需我們安全編碼最佳實務做法的詳細資訊,請參閱 趨勢科技 Trust Center 的「法規遵循」部分
趨勢科技遵守以下密碼策略和標準:
  • 所有密碼必須至少每季變更一次。
  • 密碼不得插入電子郵件或其他形式的電子通訊中。
  • 密碼不得共用或透露給任何人。
  • 如果懷疑有洩密情事發生,須立即變更密碼。
  • 密碼在傳輸過程中必須加密,並使用 salt 進行雜湊儲存。
  • 密碼長度必須至少為八個英數字元。
  • 密碼必須同時包含大寫和小寫字元(例如,a-z、A-Z)。
  • 強制執行禁止重複使用舊密碼。
  • 不得使用個人資訊、家庭姓名等做為密碼。

變更控制

確保我們的客戶可以持續以安全、可靠的方式獲得最新的安全功能,是我們團隊的首要任務。我們除了導入以程式碼審查、功能測試和規模測試為核心的開發實務做法,還有我們的弱點掃瞄和滲透測試之外,還採取了許多步驟來確保以安全且可控制的方式推出任何服務更新。所有服務更新都會以小型增量更新的形式推出,這些更新會先推行到預備環境,然後再推行到生產環境。所有變更都受到密切監控,我們也制定了多道程序(包括自動和手動),以處理可能出現的情況。服務的所有更新都會清楚透明地介紹給客戶,並且能在發生任何無法預料的問題時,以一目了然的方式復原。
Trend Vision One 環境中的應用程式升級會在我們達成品質目標後完成。趨勢科技使用最佳實務做法進行任何變更,包括完整備份和核准流程。Trend Vision One 具有多個專用開發和測試環境。要求的任何變更都會先由技術相關人員審查,並判定變更的急迫性和潛在影響。所有變更一律需有文件形式的退場計畫。這些變更會在變更控制系統中進行追蹤和記錄。

弱點管理

弱點會被持續監控和追蹤。每個弱點都會被分配一個CVSS分數。根據CVSS基於嚴重程度的修補要求,會在安全開發合規策略中指定處理弱點的時間框架。Trend Vision One環境中的Trend Vision One軟體每兩週更新一次,以使用最新的可用代碼庫,包括弱點修復。Trend Vision One團隊負責修補Trend Vision One軟體並支持AWS和Microsoft Azure服務。
相關資訊

程式碼分析

趨勢科技的原始碼使用 Fortify、BlackDuck 等行業標準工具進行靜態代碼分析掃描,這些工具在每個開發階段或階段都會部署。此外,第三方弱點每月由行業領先的軟體進行掃描。安全測試、安全代碼審查和安全威脅建模也是所有趨勢科技產品開發生命週期的一部分。
Trend Vision One 從開發階段到 GM 發佈都經過嚴格的質量檢查。發佈後,團隊每週會自動執行弱點掃描。弱點的嚴重性使用 CVSS 分數進行評估。第三方滲透測試每年在 SaaS 環境中進行,涵蓋應用程式、外部和內部網路以及分段測試。關鍵弱點必須在一個月內修復,或通過緩解措施或變通方法解決。

滲透測試

Trend Vision One 平台定期進行安全評估,包括自動和手動評估,以及外部第三方評估。
Trend Vision One 平台每年都會由第三方安全專家進行滲透測試,以檢測和修正常見的安全問題。第三方滲透測試的範圍包括應用程式安全測試、內部和外部網路掃描以及網路分段測試。趨勢科技 可應要求提供滲透測試憑證。趨勢科技 資訊安全部門會在每次重大版本發布時以及至少每年使用領先的動態分析安全工具對 Trend Vision One 進行網頁應用程式評估。
如需我們的弱點回應計畫詳細資訊,請參閱趨勢科技弱點回應網站。

事件回應

趨勢科技擁有專門的資安 (InfoSec) 團隊,負責確保遵守趨勢科技安全策略。發現安全事件後,Trend Vision One 工程師會立即聯絡資安 (InfoSec) 團隊。此外,資安團隊也會獨立監控 Trend Vision One 環境記錄。如果發現安全事件,就會根據嚴重性決定事件的優先順序。我們會指派專門的技術專家團隊進行調查、就防堵程序提出建議、進行鑑識和管理溝通。團隊會在事件發生後檢查根本原因,並隨之修改回應計畫。如果發生涉及客戶資料的違規行為,趨勢科技將遵守 GDPR 規定的義務。如需詳細資訊,請參閱趨勢科技 GDPR 法規遵循網站。
如果您懷疑發生安全事件,請聯絡我們的 趨勢科技技術支援 網站。

認證

ISO 27001、ISO 27014、ISO 27034-1、ISO 27017 和 SOC2/3

趨勢科技和趨勢科技雲端服務每年都會接受受信任的外部審計員的審計,以確保我們遵守業界最佳實踐。ISO 27001 是一個全球標準,用於定義趨勢科技的整體資訊安全管理系統。ISO 27001 涵蓋人力資源安全、存取控制、操作安全和資訊安全事件管理等項目。SOC Type II 認證用於驗證我們 IT 系統的安全控制,包括趨勢科技內部系統以及其 SaaS 產品。SOC Type II 控制包括安全(防火牆、入侵防護系統等)、可用性(災難恢復和事件處理)、機密性(加密和存取控制)、隱私安全和處理完整性(品質保證)等項目。
Trend Vision One 已通過 ISO 27001、27014、27034-1 和 27017 認證。您可以在 趨勢科技合規信任中心 找到合規證書。
Trend Vision One 已完成 SOC 2 TYPE 2 評估,您可以在 趨勢科技合規信任中心 找到 SOC 3 報告和 SOC 2 報告的申請表。