您發布了一個表單。有人填寫了它。他們的姓名、電子郵件,也許還有出生日期或醫療狀況,會被存儲在某個數據庫中。
接下來會發生什麼?誰能看到它?它是如何存儲的?如果您使用的平台遭到入侵,會發生什麼?
大多數建立表單的人在出問題之前從未問過這些問題。這篇文章是關於在問題發生之前提出這些問題——並知道答案應該是什麼樣的。
這裡有一個相關的風險值得區分:將敏感文件上傳到隨機的在線工具——PDF 壓縮器、轉換器、合併器——是一個單獨但相鄰的問題,我們在5 種您不應在線處理的文件類型中深入探討過。那篇文章是關於將文件交給您無法控制的工具的風險。而這篇文章是關於表單平台本身的風險——收集、存儲和管理您的受訪者提交內容的軟件。
為什麼表單數據是目標
表單是任何企業中數據收集密度最高的點之一。一個單一的接收表單可能會捕獲姓名、聯繫信息、保險信息和醫療問題的描述——所有這些都在一次提交中。
這種集中性正是使表單對攻擊者具有吸引力的原因,也是收集和存儲這些數據的平台需要認真對待安全性的原因。
風險並不是抽象的。一個配置錯誤的表單可以將提交內容暴露給任何擁有正確 URL 的人。沒有適當訪問控制的平台意味著一名不滿的員工——或一名入侵一個帳戶的外部攻擊者——可以訪問所有內容。未加密的靜態數據如果存儲系統遭到入侵是可恢復的。
好消息是,正確的安全架構可以處理所有這些問題。問題是您正在使用的平台是否擁有它。
真正重要的安全堆疊
安全文檔可能很密集。以下是關鍵部分對您的數據實際意義。
傳輸中和靜態加密
傳輸中意味著數據在從用戶的瀏覽器傳輸到服務器時被加密。這就是 TLS(HTTPS 背後的技術)提供的功能。TLS 1.2 和 TLS 1.3 是當前標準——舊版本已知存在漏洞,不應使用。
靜態意味著數據在存儲中被加密——數據庫、備份、文件系統。標準是 AES-256,一種對稱加密算法,被全球政府和金融機構使用。沒有靜態加密,存儲入侵就成為數據洩露。有了它,獲得原始存儲訪問權的攻擊者只能得到不可讀的密文。
兩者都很重要。一個只在傳輸中加密而不在靜態加密的平台留下了一個重大漏洞。
要尋找什麼: 傳輸中使用 TLS 1.2 或 1.3,靜態使用 AES-256。兩者都應明確說明,而不是暗示。
訪問控制和最小特權原則
團隊中的每個人都不應該能夠查看所有表單提交。每個系統過程都不應該能夠寫入每個數據庫。最小特權原則說:只給每個人和過程他們需要的訪問權,沒有更多。
實際上,這意味著:
- 基於角色的權限——分析師可以查看響應但不能編輯表單邏輯;管理員可以做兩者
- 多因素身份驗證——憑證盜竊不應足以入侵一個帳戶
- 審計日誌——誰在什麼時候訪問了什麼的記錄
審計日誌對於受監管行業特別重要。如果您正在處理醫療數據,有人問哪位員工訪問了患者的記錄,「我們不知道」不是一個可接受的答案。
要尋找什麼: 可配置的角色、MFA 強制執行和防篡改的訪問日誌。
基礎設施和網絡隔離
可信賴的表單平台運行在雲基礎設施上,生產環境與開發環境隔離。這很重要,因為在測試期間引入的錯誤不應能夠影響生產數據,開發系統的入侵不應蔓延到生產中。
網絡級控制——防火牆、虛擬私有雲(VPC)、Web 應用防火牆(WAF)——創造了額外的邊界。應用服務器應位於私有子網中,不直接暴露在互聯網上。
要尋找什麼: 生產/開發隔離、基於 VPC 的網絡分隔、公共端點前的 WAF。
備份和冗餘
數據丟失也是一個安全問題。一個平台應該維護冗餘備份,保留它們一段有意義的時間(15 天以上是一個合理的基準),並將它們存儲在與主數據不同的位置。對於高可用性要求,多可用區架構確保一個數據中心的故障不會導致整個服務停機。
要尋找什麼: 備份保留期、地理分隔和記錄的恢復時間目標。
合規認證:實際意義
認證不僅僅是標誌。它們代表由沒有利益關係的第三方對實際安全控制進行的獨立審核。
SOC 2 類型 II
SOC 2 是美國註冊會計師協會的框架,用於評估服務提供商如何處理客戶數據。類型 II 比類型 I 更嚴格:它不僅評估控制在某一時刻是否存在,還測試這些控制在一段持續時間內是否有效運行——通常是六到十二個月。
如果一個平台擁有 SOC 2 類型 II,獨立審核員已經審查了他們的訪問控制、加密實踐、事件響應程序和可用性承諾,並得出結論它們如聲稱的那樣運行。報告的副本通常可以根據要求提供或通過供應商的信任中心獲得。
ISO 27001
ISO 27001 是信息安全管理系統的國際標準。它涵蓋了一個組織如何建立、實施、維護和持續改進其安全狀態——不僅是一個快照,而是一個持續的計劃。
ISO 27001:2022 是當前版本。獲得認證的組織已經獨立審核其安全管理系統,並發現符合標準。
ISO 27017 和 ISO 27018
這些是 ISO 27001 的雲端特定擴展。ISO 27017 涉及雲服務的安全控制——適用於雲提供商及其客戶。ISO 27018 專注於保護雲環境中的個人識別信息(PII)。
對於在基於雲的平台中存儲個人數據的企業,這些認證提供了超越基本 ISO 27001 標準的有意義的保證。
HIPAA
HIPAA 適用於醫療機構及其業務夥伴——任何代表其處理受保護健康信息(PHI)的第三方。要使表單平台符合 HIPAA,必須為 PHI 實施特定的管理、技術和物理保護措施。
關鍵:HIPAA 合規要求您的組織與平台之間簽署業務夥伴協議(BAA)。沒有 BAA,使用平台收集 PHI 會使您的組織面臨 HIPAA 違規風險,無論平台具有什麼安全控制。BAA 在雙方之間創造了一個正式的、具有法律約束力的承諾。
有關誰需要 HIPAA 合規以及處罰情況的詳細說明,請參閱我們的 HIPAA 合規指南。
GDPR
GDPR 管理組織如何收集、處理和存儲來自歐盟居民的個人數據。對於表單平台,這意味著擁有記錄的合法處理基礎,提供數據主體權利(訪問、刪除、可攜性),並為收集的數據維護適當的安全性。
向您的表單平台提出的問題
在信任一個平台處理敏感表單數據之前,請使用這作為起始清單。「正確答案」欄告訴您可信的回應應該是什麼樣的。
| 問題 | 正確答案 |
|---|---|
| 您在傳輸中和靜態使用什麼加密? | TLS 1.2/1.3 + AES-256。兩者都應明確說明。 |
| 您是否完成了 SOC 2 類型 II 審核? | 是的,報告可根據要求提供或通過信任中心獲得。 |
| 我的數據存儲在哪裡?是否與其他客戶隔離? | 指定的區域(例如 AWS us-east-1),租戶級邏輯隔離。 |
| 您是否簽署 HIPAA 合規的 BAA? | 是的——如果您處理任何 PHI,這是必需的。 |
| 您的數據保留政策是什麼?我可以按需刪除提交嗎? | 可配置的保留窗口,立即刪除可用。 |
| 您如何處理安全事件? | 定義的通知 SLA(GDPR 要求 72 小時),指定的聯絡人。 |
| 您的員工是否可以訪問我的提交數據? | 訪問受到限制,記錄並審核。 |
如果供應商無法清楚回答這些問題,那就是答案。
關於 PlatoForms 的說明: 上表反映了可信答案的樣子,不一定是 PlatoForms 當前的認證狀態。SOC 2 類型 II 認證正在進行中。欲了解當前認證狀態和可用的合規文件,請參閱 信任中心。
PlatoForms 如何處理安全性
PlatoForms 專為處理敏感數據的組織而設計——醫療服務提供者、法律實踐、金融服務和受監管行業的企業。
基礎設施
- 託管在 AWS 上,數據在傳輸中使用 TLS 1.2/1.3 加密,靜態使用 AES-256 加密,包括備份
- 生產和開發環境完全隔離
- 所有員工訪問客戶數據均被記錄、審核,並受最小特權政策管理
合規
- 為 HIPAA 受監管的組織簽署業務夥伴協議——有關設置詳情,請參閱 HIPAA 合規文檔
- 設計以滿足 HIPAA 安全規則的管理、技術和物理保護要求
帳戶安全
欲了解完整信息——認證、可下載的合規文件和安全架構概述——請訪問 PlatoForms 信任中心。
如果您在醫療行業並需要符合 HIPAA 的表單以及簽署的 BAA,請參閱 PlatoForms 的 HIPAA 合規表單。
如果您對您的使用案例的安全性有具體問題,請聯繫我們。安全要求因行業和收集數據的敏感性而異,我們很樂意討論 PlatoForms 是否適合。
