您发布了一份表单。有人填写了它。他们的姓名、电子邮件,可能还有出生日期或医疗状况,存储在某个数据库中。
接下来会发生什么?谁能看到它?它是如何存储的?如果您使用的平台遭到破坏,会发生什么?
大多数创建表单的人在出现问题之前从未问过这些问题。这篇文章就是关于在问题发生之前提出这些问题,并了解答案应该是什么样子。
这里有一个相关的风险值得区分:将敏感文件上传到随机在线工具——PDF 压缩器、转换器、合并器——是一个单独但相邻的问题,我们在5 种您不应在线处理的文件类型中详细讨论过。那篇文章是关于将文件交给您无法控制的工具的风险。这篇文章是关于表单平台本身的风险——收集、存储和管理您的受访者提交内容的软件。
为什么表单数据是目标
表单是任何企业中数据收集密度最高的点之一。单个信息采集表可能会在一次提交中捕获姓名、联系方式、保险信息和医疗问题描述。
这种集中性正是使表单对攻击者具有吸引力的原因,也是收集和存储这些数据的平台需要认真对待安全性的原因。
风险并不是抽象的。配置错误的表单可能会将提交内容暴露给拥有正确 URL 的任何人。没有适当访问控制的平台意味着不满的员工——或破坏一个账户的外部攻击者——可以访问所有内容。未加密的静态数据在存储系统遭到破坏时是可恢复的。
好消息是,正确的安全架构可以处理所有这些问题。问题在于您使用的平台是否具备这些功能。
真正重要的安全堆栈
安全文档可能很复杂。以下是关键部分对您的数据实际意味着什么。
传输和静态加密
传输中意味着数据在从用户浏览器传输到服务器时被加密。这就是 TLS(HTTPS 背后的技术)提供的功能。TLS 1.2 和 TLS 1.3 是当前标准——旧版本存在已知漏洞,不应使用。
静态意味着数据在存储时被加密——数据库、备份、文件系统。标准是 AES-256,这是一种对称加密算法,被全球政府和金融机构使用。没有静态加密,存储泄露就会变成数据泄露。有了它,攻击者即使获得原始存储,也只能得到不可读的密文。
两者都很重要。仅在传输中加密而不在静态加密的平台会留下显著的漏洞。
需要注意的事项: 传输中使用 TLS 1.2 或 1.3,静态使用 AES-256。两者都应明确说明,而不是暗示。
访问控制和最小权限原则
团队中的每个人都不应该能够查看所有表单提交。每个系统进程都不应该能够写入每个数据库。最小权限原则是:只给予每个人和每个进程所需的访问权限,不多不少。
在实践中,这意味着:
- 基于角色的权限,分析师可以查看响应,但不能编辑表单逻辑;管理员可以同时执行两者
- 多因素认证,凭证被盗不应足以破坏账户
- 审计日志,记录谁在何时访问了什么
对于受监管行业,审计日志尤为重要。如果您正在处理医疗数据,有人询问哪些员工访问了患者记录,“我们不知道”不是一个可接受的答案。
需要注意的事项: 可配置角色、MFA 强制执行和防篡改访问日志。
基础设施和网络隔离
信誉良好的表单平台运行在云基础设施上,生产环境与开发环境隔离。这很重要,因为测试期间引入的错误不应影响生产数据,开发系统的破坏不应扩散到生产中。
网络级控制——防火墙、虚拟私有云(VPC)、Web 应用防火墙(WAF)——创建额外的边界。应用服务器应位于私有子网中,而不是直接暴露在互联网上。
需要注意的事项: 生产/开发隔离、基于 VPC 的网络分离、公共端点前的 WAF。
备份和冗余
数据丢失也是一个安全问题。平台应维护冗余备份,将其保留一段有意义的时间(15 天以上是合理的基线),并将其存储在与主数据不同的位置。对于高可用性要求,多可用区架构确保一个数据中心的故障不会导致整个服务中断。
需要注意的事项: 备份保留期、地理分离和记录的恢复时间目标。
合规认证:它们在实践中的意义
认证不仅仅是徽标。它们代表第三方对实际安全控制的独立审核,第三方对结果没有利益关系。
SOC 2 Type II
SOC 2 是美国注册会计师协会(AICPA)用于评估服务提供商如何处理客户数据的框架。Type II 比 Type I 更严格:它不仅评估控制措施在某一时刻是否存在,还测试这些控制措施在一段持续时间内是否有效运行——通常为六到十二个月。
如果一个平台拥有 SOC 2 Type II,独立审计员会审查他们的访问控制、加密实践、事件响应程序和可用性承诺,并得出结论认为它们按声明的方式工作。报告的副本通常可以根据请求或通过供应商的信任中心获得。
ISO 27001
ISO 27001 是信息安全管理系统的国际标准。它涵盖了一个组织如何建立、实施、维护和持续改进其安全态势——不仅仅是一个快照,而是一个持续的计划。
ISO 27001:2022 是当前版本。获得认证的组织已通过独立审核其安全管理系统,并发现符合标准。
ISO 27017 和 ISO 27018
这些是 ISO 27001 的云特定扩展。ISO 27017 处理云服务的安全控制——既适用于云提供商,也适用于其客户。ISO 27018 专注于保护云环境中的个人身份信息(PII)。
对于在基于云的平台中存储个人数据的企业,这些认证提供了超出基本 ISO 27001 标准的有意义的保证。
HIPAA
HIPAA 适用于医疗组织及其业务伙伴——代表他们处理受保护健康信息(PHI)的任何第三方。为了使表单平台符合 HIPAA,要为 PHI 实施特定的管理、技术和物理保护措施。
关键是:HIPAA 合规需要您组织与平台之间签署的业务伙伴协议(BAA)。没有 BAA,使用平台收集 PHI 会使您的组织面临 HIPAA 违规的风险,无论平台具有什么安全控制。BAA 在双方之间创建了正式的、具有法律约束力的承诺。
有关谁需要 HIPAA 合规性以及处罚的详细信息,请参阅我们的 HIPAA 合规指南。
GDPR
GDPR 管理组织如何收集、处理和存储来自欧盟居民的个人数据。对于表单平台,这意味着需要有记录的合法处理依据,提供数据主体权利(访问、删除、可移植性),并为收集的数据维护适当的安全性。
向您的表单平台提出的问题
在信任一个平台处理敏感表单数据之前,请使用此作为起始检查清单。“正确答案”栏告诉您可信的回答是什么样的。
| 问题 | 正确答案 |
|---|---|
| 您在传输和静态中使用什么加密? | TLS 1.2/1.3 + AES-256。两者都明确说明。 |
| 您是否完成了 SOC 2 Type II 审核? | 是的,报告可根据请求或通过信任中心获得。 |
| 我的数据存储在哪里?是否与其他客户隔离? | 指定区域(例如 AWS us-east-1),租户级逻辑隔离。 |
| 您是否为 HIPAA 合规签署 BAA? | 是的——如果您处理任何 PHI,这是必需的。 |
| 您的数据保留政策是什么?我可以按需删除提交吗? | 可配置的保留窗口,支持立即删除。 |
| 您如何处理安全事件? | 定义的通知 SLA(GDPR 要求 72 小时),指定的联系人。 |
| 您的员工是否可以访问我的提交数据? | 访问受到限制、记录并进行审计。 |
如果供应商无法清楚回答这些问题,那就是答案。
关于 PlatoForms 的说明: 上表反映了可信答案的样子,不一定是 PlatoForms 当前的认证状态。SOC 2 Type II 认证正在进行中。有关当前认证状态和可用合规文件,请参阅 信任中心。
PlatoForms 如何处理安全性
PlatoForms 专为处理敏感数据的组织而设计——医疗服务提供者、法律实践、金融服务和受监管行业的企业。
基础设施
- 托管在 AWS 上,数据在传输中使用 TLS 1.2/1.3 加密,静态使用 AES-256 加密,包括备份
- 生产和开发环境完全隔离
- 所有员工对客户数据的访问都被记录、审计,并受最小权限政策的管理
合规性
- 为 HIPAA 监管的组织签署业务伙伴协议——有关设置详细信息,请参阅 HIPAA 合规文档
- 设计以满足 HIPAA 安全规则的管理、技术和物理保护要求
账户安全
欲了解完整信息——认证、可下载的合规文件和安全架构概述,请访问 PlatoForms 信任中心。
如果您在医疗行业并需要带有签署 BAA 的 HIPAA 合规表单,请参阅 PlatoForms 的 HIPAA 合规表单。
如果您对您的用例的安全性有具体问题,请联系我们。安全要求因行业和所收集数据的敏感性而异,我们很乐意与您讨论 PlatoForms 是否适合。
