新增功能:智慧動畫 — 讓您的原型動起來。 瞭解詳情

新增功能:智慧動畫 — 讓您的原型動起來。 瞭解詳情
跳過導航
法律聲明

Sketch 安全措施

2023 年 4 月 13 日版本

在 Sketch,我們關心您的隱私。因此,我們採取了多項安全措施來保護您的資料。

控制環境

  • Sketch 有一套行為準則和違規懲戒程序,所有員工和/或承包商在受僱/開始合作時都必須閱讀並確認。
  • Sketch 與第三方或分包商之間的協議包含明確定義的條款、條件和責任,包括資訊安全責任。
  • Sketch 持續進行風險評估和管理流程,包括定期審查其組織架構,以協助滿足不斷變化的承諾和系統需求。
  • 管理階層會定期對員工、承包商和分包商進行績效考核。

溝通與資訊

  • Sketch 會記錄核心資訊,包括但不限於開發、財務交易、薪資和費用。
  • Sketch 已針對重要流程制定政策和程序,並提供給所有員工和/或承包商。
  • Sketch 和使用者的責任在 Sketch 的服務條款中有詳細說明。
  • 計畫性或緊急系統變更會透過內部管道傳達給所有相關利害關係人。這一點涵蓋在事件和變更管理程序中。
  • Sketch 使用 status.sketch.com 向其客戶和利害關係人發布事件、供應情況和重大維護作業的資訊。使用者可以訂閱此狀態儀表板的電子郵件更新。

風險評估

  • Sketch 有一個專門的資訊安全團隊,會定期與法務團隊和高階主管會面,審查風險評估和安全政策。
  • Sketch 管理階層的適當層級會參與風險管理流程,風險識別會同時考量內部和外部因素及其對目標達成的影響。
  • 作為風險管理流程的一部分,風險評估包含管理層對於內部和外部風險的管理決策(決定接受、避免、降低或分攤風險),並考量潛在的詐欺活動。
  • Sketch 根據國際標準,例如 ISO27005,執行年度、定期和臨時資訊安全評估。

控制活動

  • Sketch 平台和產品的建構和部署,皆源自儲存於原始碼管理系統(例如 Github)的原始碼。
  • 在部署到正式環境之前,任何部署都會在非正式環境中進行測試,並由工程師和專責的品保團隊進行測試。測試過程中不使用任何正式環境資料。
  • 部署過程完全自動化,並由專責的基礎架構團隊控管。我們採用基礎架構即程式碼 (Infrastructure-as-Code) 的實務做法。
  • 所有軟體的變更都會被記錄。

監控活動

  • Sketch 會識別安全風險並評估現有控制措施的有效性,並做出適當的調整以因應任何已識別的風險。我們會指派具備相關領域專業知識的人員進行調查並制定風險緩解措施。針對重大安全風險和事件,我們會遵循事件處理程序,包括透過事後檢討進行追蹤。
  • Sketch 的政策和流程變更會在公司內部廣泛傳達。重大變更會透過內部人資工具公告,以確保公司所有成員都能閱讀並核准這些變更。
  • 政策儲存在公司全體適用的知識庫系統中,該系統會追蹤變更,並確保所有成員隨時都能取得最新版本。管理層會審查並核准政策。

邏輯存取控制

  • Sketch 透過 AWS 身分驗證和存取管理機制,控管對客戶建立的文件、資料和使用記錄的存取。
  • 具有正式環境或客戶資料存取權限的帳戶,都必須強制執行雙因素驗證。
  • Sketch 員工僅能在獲得使用者書面指示後才能存取使用者資料。客戶資料的存取權限會根據角色和「須知」原則進行限制。
  • Sketch 員工透過填寫存取申請才能取得上述資訊的存取權限,並且必須使用自己的帳號密碼。正式環境系統禁止使用共用帳號或密碼。
  • 當員工/約聘人員的合約終止時,其存取權限會立即被移除。Sketch 設有離職程序,由 Sketch 的人資部門啟動。
  • 所有對 Sketch 服務的存取(包括臨時存取)都會受到監控,並根據「須知」原則定期審查和更新(如有需要)。
  • 不需要的儲存空間的安全清除由 AWS 處理。
  • 我們使用私有 VPC 網路來儲存和存取內部資料。存取這些資料需要 VPN(並搭配雙因素驗證)。
  • Sketch 服務與使用者之間的通訊,一律使用 TLS 1.2 或更高版本進行加密。
  • 部署資訊會透過 Slack 通知所有工程師和員工。
  • 組態變更會透過原始碼管理系統追蹤,並通知基礎架構團隊成員。

系統操作與變更管理

  • 所有程式碼變更和組態變更都至少需經由一位 Sketch 工程團隊成員(以及必要時的基础架構團隊成員)審查。在這些變更合併並部署到非正式環境之前,品保團隊會參與其中並審查變更,以確保它們符合目標。
  • 變更會自動進行測試和已知漏洞掃描。使用的相依性也會自動檢查已知漏洞和可用的更新。我們已設置自動警報系統。
  • 在任何變更合併之前,我們會使用持續整合 (CI) 測試來測試和驗證應用程式邏輯。
  • Sketch 使用多個環境來開發和測試變更。正式環境與所有其他環境完全隔離。
  • 正式環境和非正式環境的部署由基礎架構團隊主導。
  • Sketch 執行多項滲透測試程式,管理層會審閱測試結果以判斷威脅等級。針對重大發現,會啟動事件處理程序,以確保盡快處理,包括採取緩解措施和後續追蹤。
  • 遙測和匿名使用數據(例如:例外狀況、日誌)用於優化 Sketch 服務。
  • 我們會監控遙測和使用情況報告,以便快速偵測技術問題並加以修復。安全問題和事件的緩解及解決是我們的首要任務。
  • 所有數據皆透過多個系統進行備份,以防止數據遺失,並確保系統在需要時可以快速恢復。
  • Sketch 致力於確保處理系統和服務的持續機密性、完整性和可用性。
  • 數據傳輸全程加密(使用 TLS 1.2 或更高版本)。
  • 數據在 Sketch 的環境中以加密方式儲存。
  • 所有備份數據皆已加密。
  • Sketch 使用金鑰管理系統。

風險緩解

  • Sketch 已制定業務持續性計畫,其中包含應對可能業務中斷的指示。