信任中心
CarsXE 致力于通过行业领先的安全实践保护您的数据。我们的 SOC 2 Type II 认证验证了我们对安全性、可用性和保密性的承诺。
SOC 2 Type II 已认证
由 GreenHat Assurance 审计
我们的 SOC 2 Type II 报告涵盖了安全性、可用性和保密性信任服务标准,确认 CarsXE 在较长的观察期内保持严格的控制。
ISO 27001
进行中我们正在积极争取 ISO 27001 认证,以进一步加强我们的信息安全管理体系。
每层安全防护
我们的安全计划建立在多层防护之上,并通过独立的第三方审计和持续监控进行验证。
SOC 2 Type II
由 GreenHat Assurance 进行的独立审计,确认我们对安全性、可用性和保密性信任服务标准的控制。
99.9% 正常运行时间 SLA
企业级可用性,由包含服务积分的合同 SLA 支持,适用于任何低于我们承诺的停机时间。
静态 AES-256 加密
所有存储的数据均采用 AES-256 加密,与金融机构和政府机构使用的标准相同。
传输中 TLS 1.3
所有 API 通信均采用 TLS 1.3 加密,确保数据在传输过程中的完整性和保密性。
持续监控
24/7 自动化监控,具备实时警报、异常检测和事件响应程序。
访问控制
基于角色的访问控制、多因素认证和最小权限原则在所有系统中强制执行。
安全控制
我们的全面安全计划涵盖 75 项控制措施,跨越五个领域,并通过我们的 SOC 2 审计进行了独立验证。
SOC 2 Type II 认证
我们的 SOC 2 Type II 报告由 GreenHat Assurance 发布,提供独立验证,证明 CarsXE 的信息安全实践、政策、程序和操作符合 SOC 2 关于安全性、可用性和保密性的标准。
什么是 SOC 2?
SOC 2(服务机构控制2)是由美国注册会计师协会(AICPA)开发的一个框架,它基于五项信任服务原则(安全性、可用性、处理完整性、保密性和隐私性)定义了管理客户数据的标准。
为何选择 II 类报告?
与 I 类报告评估特定时间点的控制措施不同,II 类报告评估这些控制措施在较长观察期(通常为 6 到 12 个月)内的运营有效性,从而提供更高水平的保证。
独立审计机构
我们的独立审计机构 GreenHat Assurance 已出具无保留意见,确认我们的控制措施在整个审计期间设计合理且运行有效。
正常运行时间与可靠性
我们深知您的业务依赖于对车辆数据的可靠访问。因此,我们承诺提供 99.9% 的正常运行时间服务水平协议 (SLA),并由我们强大的基础设施和主动监控提供支持。
99.9% 正常运行时间保证
我们合同级 SLA 保证 99.9% 的可用性,如果未能达到此承诺,我们将提供服务抵扣金。
冗余基础设施
多区域部署与自动故障转移功能确保即使在基础设施事件期间,您的 API 请求也能得到处理。
数据加密标准
我们采用纵深防御加密策略,在每个阶段保护您的数据 — 无论是静态存储在我们的数据库中还是在网络传输过程中。
静态数据加密
- 所有存储数据采用 AES-256 加密
- 加密密钥通过云原生密钥管理系统 (KMS) 管理
- 自动密钥轮换策略
- 加密的数据库备份
传输中数据加密
- 所有 API 端点强制执行 TLS 1.3
- 具有长效 max-age 的 HSTS 头部
- 证书透明度监控
- 启用前向保密
基础设施与运维
我们的平台运行在企业级云基础设施上,并具有多层安全控制。
云原生架构
基于谷歌云平台构建,具有多区域冗余、自动扩缩容和托管服务。
网络安全
Web应用防火墙、DDoS防护和网络分段,用于隔离和保护关键服务。
漏洞管理
定期渗透测试、自动化漏洞扫描和负责任的漏洞披露计划。
应急响应
记录在案的应急响应程序,具有明确的升级路径、通信计划和事后审查。
下载我们的 SOC 2 Type II 报告
索取一份我们的完整 SOC 2 Type II 报告,以详细审查我们的安全控制和审计结果。仅向符合条件的企业提供。
SOC 2 报告将在保密协议 (NDA) 下共享。我们的团队将审核您的请求并直接与您联系。
常见问题
- SOC 2 Type II 对我的数据意味着什么?
- SOC 2 Type II 认证意味着一家独立审计机构 (GreenHat Assurance) 已验证 CarsXE 在一段较长的时间内保持着有效的安全控制。这提供了保证,即您的数据将按照最高的安全性、可用性和保密性标准进行处理。
- SOC 2 审计多久进行一次?
- 我们每年进行 SOC 2 Type II 审计,以确保我们的控制措施保持有效,并与不断发展的安全标准保持同步。
- 我能查看完整的 SOC 2 报告吗?
- 是的。请使用本页面的表格申请我们的 SOC 2 Type II 报告副本。由于报告的敏感性,我们仅与符合资质的企业签订保密协议后共享。
- 您的正常运行时间 SLA 是多少?
- 我们提供 99.9% 的正常运行时间 SLA。您可以在我们的公共状态页面上监控实时和历史可用性。如果我们的服务低于 SLA 承诺,符合条件的客户将获得服务抵扣金。
- 我的 API 密钥是如何受到保护的?
- API 密钥采用行业标准加密存储,仅通过 TLS 加密连接传输,并且可以随时从您的控制面板进行轮换。我们还支持 IP 白名单以提供额外的访问控制。
- CarsXE 数据托管在哪里?
- CarsXE 的基础设施运行在 Google Cloud Platform 上,数据主要托管在美国。我们采用多区域冗余以确保高可用性和灾难恢复能力。
- CarsXE 如何保护我的数据并确保隐私?
- 我们采用强大的安全措施,包括 API 密钥认证、传输中数据的 SSL/TLS 加密以及严格的访问控制,以确保只有授权人员才能管理数据。所有个人可识别信息 (PII) 都受到限制,并根据明确的数据治理策略进行管理。
- 谁可以访问我在 CarsXE 平台上的 API 或车辆数据?
- 对您数据的访问受到严格控制。数据通过 API 密钥认证进行保护,并且访问仅限于您的应用程序、其授权用户以及必要的后端系统。未经您的明确同意,我们不会与第三方共享您的数据。
- CarsXE 是否符合主要数据保护法规?
- 是的,CarsXE 致力于遵守相关的全球和区域数据保护法规,以确保为我们的用户提供最高标准的安全性与隐私保护。您可以在我们的隐私政策中找到更多详细信息。 隐私政策