我们有一个已经在整个组织中传达的信息安全计划。我们的信息安全计划遵循了由SOC 2框架制定的标准。SOC 2是美国注册会计师协会创建的一个广泛知名的信息安全审计程序。

我们的组织接受独立的第三方评估，以测试我们的安全性和合规性控制。

我们每年至少进行一次独立的第三方渗透测试，以确保我们服务的安全姿势没有受到威胁。

与我们的信息安全计划和客户数据保护相关的角色和责任已明确定义和记录。我们的团队成员需要审查和接受所有安全政策。

我们的团队成员需要接受员工安全意识培训，涵盖行业标准实践和信息安全主题，如网络钓鱼和密码管理。

所有团队成员在入职前必须签署并遵守行业标准的保密协议。

我们根据当地法律对所有新团队成员进行背景调查。

我们所有的服务和数据存储都托管在Google Cloud Platform（GCP）和MUX上。它们都采用了严格的安全计划并获得了多个认证。有关我们提供商的安全流程的更多信息，请访问GCP Security和MUX

我们所有的数据都托管在GCP和MUX数据库中。这些数据库都位于美国境内。请参考上述供应商特定的文档链接以获取更多信息。

所有数据库都在静态状态下加密。

我们的应用仅使用TLS/SSL进行传输加密。

我们积极监控和记录各种云服务。

我们使用数据托管提供商的备份服务，以减少在硬件故障发生时的数据丢失风险。我们利用监控服务在影响用户的任何故障发生时提醒团队。

我们有处理信息安全事件的流程，其中包括升级程序、快速缓解和沟通。

我们使用需要分析数据的人工智能系统，但在数据方面禁用所有数据训练权限。我们配置所有隐私设置以保护客户数据。有关更多详细信息，请参阅以下供应商政策：OpenAI Enterprise、OpenAI Trust和VertexAI

我们为我们管理的所有服务和数据使用虚拟专用云（VPC），将它们与我们云服务提供商的其他用户和整个互联网隔离开来。

在我们的VPC中，我们以共享的多租户环境进行架构。多个客户的数据可能合并到单个数据库或云存储账户中，并在共享计算资源上进行处理。

对于通过我们的应用访问的客户，我们的服务的数据访问架构确保数据传递到我们的VPC外部的数据仅限于经过授权的经过身份验证的用户根据客户授予的RBAC角色有权访问的数据。

对云基础设施和其他敏感工具的访问仅限于需要其角色的授权员工。

在可用的情况下，我们使用两步验证（2FA）和强密码策略以确保对云服务的访问受到保护。

我们在身份和访问管理方面遵循最小权限原则。

我们对所有具有敏感系统访问权限的团队成员进行季度访问审查。

所有团队成员必须遵守一组最低密码要求和访问复杂性。

所有公司发放的笔记本电脑都使用密码管理器，供团队成员管理密码并保持密码复杂性。

我们至少每年进行一次风险评估，以识别任何潜在威胁，包括欺诈考虑。

确定供应商风险，并在授权新供应商之前执行适当的供应商审查。