Skip to main content
Halaman ini menerangkan langkah-langkah keselamatan VoicePing untuk kakitangan jabatan sistem maklumat dan juruaudit keselamatan.

Senarai Semak Keselamatan

VoicePing menerbitkan senarai semak keselamatan maklumat yang terperinci. Lembaran Keselamatan VoicePing.pdf
KategoriItem PenilaianPeneranganStatus
KeselamatanStatus Pensijilan AwamPerolehan ISMS, P-Mark, dll.Pensijilan ISMS dirancang (dalam persediaan)
KeselamatanPenilaian Pihak KetigaPenilaian langkah-langkah terhadap pencerobohan, operasi, pemerolehan data yang tidak dibenarkan-
KeselamatanPersekitaran Pengendalian MaklumatSekatan akses kepada data penggunaDihadkan kepada alamat IP tertentu melalui AWS Security Groups
KeselamatanTahap Penyulitan KomunikasiKekuatan penyulitan komunikasiHanya menggunakan TLS 1.3
KeselamatanPerlindungan VirusPengimbasan virusPengesanan berterusan aktiviti tidak dibenarkan melalui AWS GuardDuty
Perlindungan DataData SandaranPenyulitan, lokasi penyimpananAWS Tokyo Region
Perlindungan DataPengasingan Data Antara SyarikatPengasingan maklumat antara syarikatPengasingan logik melalui pangkalan data

Perlindungan Data

Penyulitan Komunikasi

  • Aplikasi dan data audio/video hanya menggunakan TLS 1.3
  • Komunikasi HTTPS diwajibkan (dikonfigurasi melalui AWS ELB)

Sandaran

  • Kitaran Sandaran: Sandaran bulanan melalui AWS Database
  • Tempoh Penyimpanan: Log akses pelayan disimpan secara kekal di S3
  • Langkah BCP: Penyimpanan jarak jauh berbilang wilayah di AWS Database

Sekatan Akses Data

  • Akses pangkalan data dan pelayan dihadkan kepada alamat IP tertentu melalui AWS Security Groups
  • Data antara syarikat diasingkan secara logik melalui pangkalan data

Ketersediaan

Masa Operasi

  • Waktu Perkhidmatan: 24 jam, 365 hari secara prinsip
  • SLA: 99.9% atau lebih tinggi
  • Rekod Prestasi: 99.99% atau lebih tinggi (tiada masa henti pelayan melebihi puluhan minit sejak pelancaran perkhidmatan)

Respons Insiden

  • Sandaran perbezaan kod sumber dan sandaran DB tersedia, membolehkan rollback (pemulihan) segera pada bila-bila masa 24/7
  • Semua proses pelayan dan status sistem divisualisasikan melalui AWS CloudWatch atau sistem amaran proprietari kami
  • Pemberitahuan amaran sekiranya berlaku sebarang masa henti

Penyelenggaraan Berjadual

  • Kemas kini dijadualkan sekitar 21:00 setiap hari Jumaat, dengan kemungkinan gangguan sambungan beberapa saat
  • Pemberitahuan masa nyata melalui E-mel atau sokongan sembang teks (Intercom) jika kemas kini diperlukan semasa waktu perniagaan

Sistem Sokongan

Pemberitahuan Insiden

  • Kaedah Hubungan: Pemberitahuan melalui E-mel dan perkhidmatan sembang teks dalam aplikasi (Intercom)

Hubungan Kecemasan

  • Sokongan tersedia melalui perkhidmatan sembang teks (Intercom) atau Borang Hubungan
  • Respons dalam masa 5 minit semasa waktu perniagaan (9:00-18:00)

Pengurusan Pengguna

Pengurusan Akaun

  • Satu akaun setiap pengguna
  • Pengguna boleh memadam akaun secara fizikal semasa peletakan jawatan atau pertukaran

Pengurusan Kata Laluan

  • Pengguna boleh menukar kata laluan
  • Pengesahan dua faktor melalui token E-mel tersedia

Keselamatan Aplikasi Web

VoicePing melaksanakan langkah-langkah keselamatan berikut.

Pencegahan SQL Injection

  • Backend menggunakan ORM middleware untuk operasi pangkalan data
  • Semua pembinaan pernyataan SQL menggunakan placeholder
  • Kebenaran yang sesuai diberikan kepada akaun pangkalan data (akaun dengan hanya kebenaran READ, WRITE yang diperlukan)

Pencegahan OS Command Injection

  • Pelaksanaan shell pada asasnya tidak dilakukan
  • Apabila logik tahap shell diperlukan, pelaksanaan hanya melalui perpustakaan yang disahkan selamat

Pencegahan Path Parameter/Directory Traversal

  • Data disimpan di hosting luaran atau pangkalan data
  • Tiada fungsi akses fail langsung di pelayan web
  • Nama fail menggunakan nama rawak, tidak dapat diramal

Pengurusan Sesi

  • ID sesi menggunakan rentetan rawak yang tidak dapat diramal dan cukup panjang
  • ID sesi disimpan dalam Cookie (bukan dalam parameter URL)
  • Cookie untuk komunikasi HTTPS menggunakan atribut Secure
  • Halaman yang memerlukan log masuk diasingkan daripada halaman yang boleh diakses awam

Pencegahan Cross-Site Scripting (XSS)

  • Menggunakan perpustakaan frontend yang serasi
  • HTTPS diwajibkan melalui AWS ELB
  • Pengekodan aksara (charset) dinyatakan dalam medan Content-Type pengepala respons HTTP
  • Atribut HttpOnly ditambah pada Cookie

Pencegahan CSRF

  • Kawalan akses sisi backend melalui kaedah POST
  • Pengesahan Referer
  • Pemberitahuan e-mel automatik ke alamat e-mel berdaftar untuk operasi penting

Pencegahan HTTP Header Injection

  • Menggunakan API output pengepala dalam middleware backend

Pencegahan Clickjacking

  • Output medan pengepala X-Frame-Options
  • Tidak dapat dilaksanakan tanpa sesi yang sah
  • Operasi penting direka supaya tidak dapat dilaksanakan hanya dengan tetikus

Pencegahan Buffer Overflow

  • Menggunakan Node.js, yang tidak membenarkan akses memori langsung
  • Pemeriksaan perpustakaan berkala melalui GitHub, dengan PR dicipta untuk perpustakaan yang terdedah dan kemas kini tepat pada masanya

Kawalan Akses dan Kebenaran

  • Pengesahan dua faktor dengan token E-mel tersedia untuk keistimewaan pengurus
  • Kawalan kebenaran dilaksanakan selain pengesahan, menghalang pengguna yang log masuk menyamar sebagai orang lain
Jika anda mempunyai sebarang pertanyaan, sila hubungi kami melalui borang ini.
## Pautan Rasmi

Laman Web Rasmi

Lawati laman web rasmi kami

X (Twitter)

Ikuti kami di X

Facebook

Suka kami di Facebook

LinkedIn

Berhubung di LinkedIn