安全性实践（已归档）

此翻译文本仅供参考。如果本版本与英文版本存在任何歧义，则以英文版本为准。

生效日期：2018 年 5 月 24 日

Slack 非常重视你的数据安全。由于透明度是我们公司赖以建立的原则之一，因此我们致力于在处理安全性的方式上尽可能保持清晰和开放

如果对安全性存在其他疑问，我们乐于解答。请致信 [email protected]，我们会尽快回复。

---

机密性

我们对员工访问你和你的用户通过 Slack 服务提供的数据进行严格控制，这在你与 Slack 的协议中对 Slack 服务的使用（简称“客户数据”）的部分进行了更明确的定义。Slack 服务的运营要求某些员工可以访问存储和处理客户数据的系统。例如，为了诊断你对 Slack 服务的问题，我们可能需要访问你的客户数据。除非必要情况下，否则这些员工禁止使用这些查看客户数据的权限。我们通过实施技术控制和审查政策确保将任何对客户数据的访问记入日志。

我们的所有员工和合同人员均遵守我们关于客户数据的政策，我们将这些问题视为公司内部最重要的事项。

人员实践

Slack 在雇用之前会对所有员工进行背景调查，并且在入职期间以及此后会对员工进行隐私和安全性培训。所有员工均必须阅读并签署我们的全面信息安全政策，其中应涵盖 Slack 服务的安全性、可用性和机密性。

合规性

以下与安全性相关的审核和认证适用于 Slack 服务：

• ISO 27001 和 ISO 27018：Slack 已达到 ISO 27001 和 ISO 27018 的合规性标准。你可以从此处下载 ISO 27001 证书，以及从此处下载 ISO 27018 证书。根据客户经理的要求，可提供《适用性陈述》的副本。
• 服务组织控制 (SOC) 报告：Slack 已通过 SOC 2 审核，并且应客户经理的要求提供 Slack 最新报告的副本。此外，我们的 SOC 3 报告可从此处下载。
• PCI：Slack 是 PCI 4 级商户，已完成支付卡行业数据安全标准的 SAQ-A。我们使用第三方安全处理信用卡信息。Slack 现并非 PCI 认证的服务提供商。

托管 Slack 服务的环境为其数据中心维护多项认证，包括 ISO 27001 合规性、FedRAMP 授权、PCI 认证和 SOC 报告。如需更多有关其认证和合规性的信息，请访问 AWS Security 网站、AWS Compliance 网站、Google Security 网站和 Google Compliance 网站。

面向团队成员和管理员的安全性功能

除了我们在基础设施级别上所做的工作之外，我们还为付费版的 Slack 服务的团队管理员提供其他工具，令其用户能够保护自己的数据。

访问日志记录

付费客户的用户和管理员均可使用详细的访问日志。每次有账户登录时，我们都会记录日志，包括所用设备的类型和连接的 IP 地址。

团队管理员和付费客户的拥有者可以查看整个团队的合并访问日志。我们还令管理员可以轻松地随时按需远程终止所有连接并注销 Slack 服务认证的所有设备。

团队范围内的双重认证

团队管理员可要求所有用户在其账户上设置双重认证。请访问我们的帮助中心，获取说明。

单点登录

付费客户的管理员可以将其 Slack 服务实例与多种单点登录提供方进行集成。使用“标准”方案的团队可以启用 Google Apps for Domains，作为其身份验证提供程序，而使用“升级”方案的团队可以使用 OneLogin、Okta、Centify 和 Ping Identity 等程序启用 SAML SSO。

数据留存

付费 Slack 团队的拥有者可以在团队范围内并为所有渠道配置自定义消息数据留存政策。设置数据留存的自定义持续时间意味着早于所设置的持续时间的邮件或文件将每晚被删除。

客户数据删除

Slack 为工作区主要拥有者提供在订阅期内随时删除客户数据的选项。在工作区“主要拥有者”发起删除的 24 小时内，Slack 将硬删除当前正在运行的生产系统中的所有信息（不包括团队和频道名称以及嵌入在网页服务器访问日志的网址中的搜索词）。Slack 服务备份将在 14 天内销毁。*

客户数据返还

请访问我们的帮助中心，获取有关 Slack 服务导出功能的信息。

对传输和静态数据加密

Slack 服务支持最新推荐的安全密码套件和协议，以对传输中的所有流量加密。客户数据在静止时被加密。

我们密切监视不断变化的加密格局，并立即进行升级服务，以应对新的加密弱点并在其发展过程中实施最佳实践。关于传输中的加密，我们在这样做的同时亦平衡旧客户端的兼容性需求。

可用时间

我们理解，你依赖 Slack 进行工作。我们致力于将 Slack 打造成高度可用的可靠服务。我们的基础设施在容错系统上运行，防止单个服务器甚至整个数据中心发生故障。我们的运营团队会定期测试灾难恢复措施，同时配备全天候电话团队快速解决突发事件。

灾难恢复

客户数据以冗余的方式存储在我们主管提供商的数据中心的多个位置，以确保可用性。我们具有经过充分测试的备份和还原过程，可从重大灾难中进行恢复。客户数据和我们的源代码每晚自动备份。如果此系统发生故障，则运营团队会收到警报。我们至少每 90 天对备份进行全面测试，确认我们的流程和工具是否按预期工作。

网络保护

除了复杂的系统监视和日志记录，我们还对整个生产环境中的所有服务器访问实施双重认证。防火墙的配置符合行业最佳实践，并通过 AWS Security Groups 进行配置以阻止不必要的端口。

主机管理

我们在生产主机上执行自动漏洞扫描，并补救对环境造成威胁的任何发现。我们对公司笔记本电脑实施屏幕锁定和全盘加密使用。

日志记录

Slack 在其生产环境中维护广泛的集中式日志记录环境，其中包含与安全性、监视、可用性、访问以及有关 Slack 服务的其他度量有关的信息。这些日志在安全团队的监督下被通过自动监视软件进行安全事件分析。

事件管理和响应

如果发生安全漏洞事件，Slack 将立即通知你任何未经授权访问你的客户数据的情况。Slack 拥有处理此类事件的事件管理政策和程序。

外部安全性审查

我们与值得信赖的外部安全公司签约，这些公司定期对 Slack 的服务进行审查，验证我们的安全性实践是否合理，并监视 Slack 服务，发现安全研究界发现的新漏洞。除了对 Slack 服务和功能进行定期且有针对性的审查外，我们还对我们的网页平台实施连续混合自动扫描。

产品安全性实践

新功能、功能性和设计更改会经过安全团队促进的安全审查过程。此外，在生产部署前，我们的代码已通过自动静态分析软件进行审查、经过测试并经过手动同行审查。安全团队与开发团队紧密合作解决开发过程中可能出现的任何其他安全性问题。

Slack 同样运行一项安全漏洞赏金计划。世界各地的安全研究人员不断测试 Slack 服务的安全性，并通过该程序报告问题。请前往赏金网站，获取该计划的更多详细信息。

*Slack 服务备份将在 14 天内销毁，除非在对事件进行的持续调查期间，此期限可能会暂时延长。