安全合规

安全与数据隐私说明

PingCAP作为数据库提供商,一直都把安全及数据隐私作为最高优先级工作。PingCAP建立了完善的安全暨数据隐私合规管理体系,并为数据库设计一系列的安全功能,从而为用户提供安全可靠的数据库产品。

安全与数据隐私合规

PingCAP设置专职的安全部,法务部,遵守中华人民共和国及海外主要国家数据隐私法规,积极对标国内和国际的安全合规标准。TiDB已获得SOC 2, ISO / IEC 27001、ISO / IEC 27701和PCI DSS安全认证,并经权威第三方验证获得ePrivacyseal欧盟隐私证书,确保符合欧盟GDPR要求。

• 系统和组织(SOC)审计报告是美国注册会计师协会(AICPA)出具的第三方独立报告,用于审计服务提供商的内部控制。它是全球公认的数据安全审计标准。PingCAP、PingCAP、PingCAP、PingCAP、PingCAP、PingCAP可以满足大客户特别是上市公司的数据隐私和安全需求，可以为这些企业提供世界一流的安全可信的数据库服务。
• ISO / IEC 27001是一套获得业界广泛认可的安全管理体系标准,PingCAP通过此项认证意味着在信息安全领域已经达到国际标准,具有充分的信息安全风险识别和控制能力。
• ISO / IEC 27701是对ISO / IEC 27001信息安全管理和ISO / IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。
• 支付卡行业数据安全标准(PCI DSS)旨在促进并增强持卡人的数据安全,便于统一的数据安全措施在全球范围内的广泛应用。
• GDPR(通用数据保护监管)通用数据保护条例是欧盟议会和欧盟理事会在2016年4月通过,在2018年5月开始强制实施的通用数据保护条例,其意义在于推动强制执行隐私条例,规定企业对于用户数据的收集,存储,保护和使用的新标准,并赋予用户对自有数据更大的处理权。
• ePrivacyseal欧盟由欧洲隐私认证权威机构ePrivacy颁发,该机构提供透明的认证流程和可靠的认证标准,在欧盟以至全球都具备权威性和广泛的影响力。该认证涵盖了数字产品的通用数据保护法规(GDPR)的要求,从法律和技术两个维度对认证对象进行评估,证明产品符合ePrivacyseal标准清单,确保覆盖GDPR法律要求。
• Hipaa，全英文，全英文，全英文，全英文，全英文，全英文。HIPAA作为一项得到广泛认可的医疗保健行业法规,已成为涉及医疗保健数据的公司遵守HIPAA要求的重要途径。对于医疗保健和相关领域的组织,根据1996年健康保险流通与责任法案(HIPAA)的要求,在与PingCAP正确执行业务合作协议(BAA)后,PingCAP可以支持与HIPAA相关的客户数据。

TiDB

• 账号权限:TiDB的基于角色的访问控制(RBAC)系统的实现类似于MySQL 8.0的RBAC系统。用户可以创建角色、删除角色、将权限赋予角色；实现细粒度的账号权限控制。
• 【中文译文】:另外也支持基于证书鉴权的登录方式。采用这种方式,TiDB对不同用户签发证书,使用加密连接来传输数据,并在用户登录时验证证书。这种与MySQL相兼容的证书鉴权方式更安全,因此越来越多的用户使用证书鉴权来代替用户名密码验证。
• IP白名单:TiDB提供了IP白名单功能来实现网络安全访问控制,支持为用户单独设置IP白名单。
• 安全审计:TiDB提供SQL审计插件,满足合规审计的要求,也便于安全,运维人员查看SQL操作日志,及时发现问题。