信任中心常见问题

Elastic 是我们所有解决方案（尤其是 Elastic Security）的积极“客户零”。我们致力于为您提供在实际生产环境中测试过的产品和服务，然后再广泛分发。我们尽可能地在各处使用我们的产品，而不仅仅是用于日志记录。Elastic 的信息安全团队每天使用 Elasticsearch 平台功能来创建、监控、检测和响应安全事件。

访问Elastic on Elastic和Elastic Security以了解更多信息。

Elastic 正式采用了通过 ISO 27001 认证的信息安全管理系统 (ISMS) — 包括 ISO 27017 和 ISO 27018。我们的信息安全治理策略是所有信息安全策略、标准和指南的基础。我们的 ISMS 包括全面的适当技术和组织措施，旨在保护您的集群数据免受未经授权的访问、修改或删除。

我们建立了访问控制措施，以验证访问处理客户集群数据的系统个人的身份。我们设计这些控制措施旨在帮助确保未经授权的用户无法访问此类系统，并且授权人员只能访问其角色所需的系统。此类控制措施包括但不限于多因素身份验证、密码强度标准以及用于管理访问的虚拟专用网络 (VPN)。我们还实施了集中日志记录，包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志，以记录对客户集群数据及其所在系统的访问。

Elastic Cloud 搜索驱动的解决方案托管在由行业领先的基础设施即服务 (IaaS) 提供商管理的认证云平台上，包括 Amazon Web Services (AWS)、Google Cloud 和 Microsoft Azure。Elastic 会审核我们子处理器的安全认证和实践，以确保在处理和存储 Elastic Cloud 数据的场所实施适当的物理安全措施。

Elastic 安全公告 (ESA) 是 Elastic 向其用户发出的通知，告知他们 Elastic 产品存在的安全问题。Elastic 会为每个公告分配一个 CVE 和一个 ESA 标识符，并提供摘要和补救以及缓解详细信息。我们在安全公告论坛中宣布所有新的公告，您可以通过RSS 源跟踪它们。

Elastic 感谢与安全社区的合作，并与社区拥有共同的目标，即确保我们的用户以及互联网的安全。请通过我们的 HackerOne 漏洞赏金计划报告影响 Elastic 任何产品、Elastic 云服务或 elastic.co 网站的潜在安全漏洞。有关详细范围和参与规则，请参阅我们的 HackerOne 计划政策。

在协调漏洞披露的原则下，Elastic 会分析潜在的安全漏洞，以确定任何建议的缓解措施或产品更新，并通过 Elastic 安全公告 (ESA) 和 CVE 计划协调披露。在我们研究并回应问题之前，请勿在任何公共论坛发布或分享有关潜在漏洞的任何信息。

用户和客户可以将任何其他潜在的安全问题报告至 security@elastic.co。 您可以使用此地址咨询与安全相关的产品问题或请求其他此处未明确提及的安全主题。（我们只能在此地址接受安全问题。）您应该将错误报告发送到相应项目的错误数据库或 Elastic 支持。如果您想加密发给我们的消息，请使用我们的 PGP 密钥。指纹是

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

该密钥可通过密钥服务器获得。搜索“security@elastic.co”。 OpenPGP 上的示例

在 Elastic，我们知道安全是每个人的责任。 这就是为什么我们将安全性融入产品开发和 Elastic Cloud 的基础中。

您的 Elastic Cloud 数据的安全性和隐私还取决于您是否安全配置 Elasticsearch 集群并维护 Elastic Cloud 登录凭据的机密性。

以下是一个快速检查清单，可帮助您

• 请勿与他人分享您的凭据。
• 更新您的帐户个人资料，确保信息正确且最新。
• 酌情添加运营联系人。
• 确保您已设置安全的密码。
• 在您的 Elastic Cloud 部署上启用自定义插件时请务必小心。
• 考虑设置在启动破坏性操作时需要索引名称的选项。

如果您需要进行在 Elastic Cloud 控制台中不可用的更改，请创建 Elastic 支持案例。如果您认为某个帐户被盗用，请发送电子邮件至 security@elastic.co。如果您需要提出删除请求，请在此处联系 Elastic 的数据隐私团队。

是的，数据通过 AES-256 在静态时加密，并通过 TLS 1.2 在传输过程中加密。

我们会仔细评估每个供应商，以确保他们符合 Elastic 的安全和合规标准。 Elastic 与主要的 IaaS 提供商合作来交付 Elastic Cloud。每个提供商都会定期进行独立的第三方审核，包括至少 SOC 2 审核和 ISO 27001 认证，以证明其服务的安全性。然后，我们会审查这些审核报告和认证，作为我们第三方风险管理计划的一部分。

Elastic 还会审查第三方代码并发布 Elastic 产品 第三方开源依赖项的列表。

第三方至少每年对 Elastic Cloud 执行应用程序和网络渗透测试。 请与您的客户代表合作或联系 Elastic 安全团队以获取测试执行摘要的副本。

我们维护一个基于 NIST 800-218 的安全软件开发框架 (SSDF)，并在设计和架构中遵循安全最佳实践，以生产“设计安全”和“默认安全”的软件。 我们的 SSDF 指导安全地设计、开发、部署、跟踪和维护所有 Elastic 软件的过程。 它还包括保护我们的构建系统并降低构建链泄露风险的要求。

您委托给我们的数据仍然属于您。我们仅将您的数据用于您协议中指定的目的，例如为您提供您付费的服务。 我们实施严格的安全措施来保护您的数据，并为您提供工具和功能来按照您的条款控制您的数据。

我们会处理您的 Elastic Cloud 数据，以履行我们提供服务的合同义务。

• 客户数据是您的数据。我们仅根据您的协议处理您的数据。
• 我们绝不会将您的数据出售给第三方。
• 我们致力于透明、遵守包括《通用数据保护条例》(GDPR)、《加州消费者隐私法案》(CCPA) 在内的法规以及隐私最佳实践。
• 优先考虑您的隐私意味着保护您委托给我们的数据。 安全性和隐私是我们所有产品的主要设计标准。

我们了解我们在提供领先搜索体验的同时保护您的数据的重大责任，并且我们努力工作以赢得您的信任。 从组织高层的董事会监督和执行管理，到我们如何入职和持续培训每位 Elastician，安全是我们一切工作的关键。 我们已为 Elastic Cloud 服务和我们的信息安全管理系统 (ISMS) 获得了广泛的行业领先合规性审核和认证。 这些审核和认证证明，有效的安全实践是我们所有活动（包括产品开发和部署、漏洞管理、事件管理和威胁处理流程）的固有组成部分。

Elastic 无权访问您自行管理的部署中的数据。 为了提供我们的 Elastic Cloud 产品，少数 Elastic 员工拥有我们生产环境的特权访问权限。 我们仅出于平台管理、维护和支持目的而保留此访问权限。

在为内部用户提供访问权限时，Elastic 坚持最小权限原则。 仅向 Elastic 员工授予其工作角色所需的访问级别。 如果工作发生变动或在其他情况下用户不再需要访问权限，我们会定期审查访问权限并修改权限。

我们的信息安全威胁检测和响应团队还开发并实施了针对可疑内部帐户活动和未经授权的访问的检测，包括文件完整性监视和帐户接管指标。 这些检测是自动化工作流程的一部分，该工作流程会就可疑活动向威胁检测和响应团队发出警报并触发分析师调查。

Elastic 产品还具有基于角色的访问控制，使我们的客户能够对其 Elastic 部署和 Elastic Cloud 管理平台中的用户实施精细的访问管理。

是的，我们使用某些基础设施和客户支持子处理方为我们的客户提供服务。 与您相关的子处理方最终取决于您选择使用的哪个数据中心位置、服务和功能。（查看我们的外部或内部子处理方列表。）

当我们在国界之间传输您的数据时，我们会按照适用法律进行。 我们已实施适当的保护措施，以帮助保护您的数据在我们的子处理方处理时的安全，包括签订数据处理协议和经批准的传输机制（例如，SCC）以及实施补充措施。 我们拥有强大的流程来审查所有可以访问客户个人数据的子处理方的隐私和安全控制。

Elastic Cloud 的功能支持遵守 GDPR 和其他全球数据保护法律

• 我们通过有效的默认技术和组织措施来优先保护您的个人数据，这些措施会定期进行测试和验证。
• 我们提供符合 GDPR 的 数据处理附录，可帮助您履行您的 GDPR 合同义务。
• 您可以控制哪个云服务提供商将托管存储在 Elastic Cloud 中的数据，并且可以选择您的 Elastic Cloud 部署区域。
• 我们提供全面的资源来帮助您遵守与您的处理活动相关的特定要求。 有关如何确保您的 Elastic 部署符合 GDPR 的更多信息，请访问 https://elastic.ac.cn/gdpr。

除了这些功能外，Elastic 还维护专门的隐私和安全团队。 这些团队在代表我们的客户处理个人数据时，负责监督我们对 GDPR 和其他适用隐私法律的遵守情况。

Elastic 是一家全球性公司，我们可能会将源自欧洲经济区 (EEA)、瑞士或英国的数据传输到 Elastic 的非欧洲关联公司，以及为提供我们的服务所必需的第三方组织。（您可以在上面关于子处理器的部分找到这些位置。）在这种情况下，除了强有力的补充措施外，我们还依赖于与客户签订的 SCC（包括控制者-处理者或处理者-处理者模块，如适用）以及与子处理器签订的处理者-处理者模块。

我们致力于帮助您确保遵守全球法律法规。鉴于欧洲数据保护委员会 (EDPB) 在 Schrems II 裁决后发布的指导意见，我们已彻底审查了我们的实践，以确保国际数据传输符合数据保护要求。

• Elastic 的数据传输不属于美国监控法的典型关注范围，并且迄今为止，我们从未收到公共机构要求提供客户数据的请求，包括根据《外国情报监视法案》(FISA)、EO12333 或《云法案》(CLOUD Act) 等法律提出的请求。
• 如果我们收到公共机构要求提供客户数据的请求，我们有管理这些请求的政策和流程，其中包括质疑请求、通知相关方以及寻求豁免通知禁令的协议。
• 我们提供强有力的补充措施来保护您的数据，包括在传输过程中和静态时进行数据加密，以确保您的数据在整个传输过程中的机密性和完整性。
• Elastic Cloud 客户可以选择欧盟服务器进行托管，以最大限度地满足其数据主权需求。备份也在您为部署选择的同一区域中配置。
• 标准合同条款 (SCC) 可用于保护数据传输。这包括客户选择美国托管或与我们的美国实体合作的情况，以及从 Elastic 到我们的子处理器的数据传输。
• 我们不断评估和开发我们的合同、技术和组织保障措施，以保护数据传输。

我们提供多种补充措施，以确保您的数据在 Elastic Cloud 中得到保护。我们致力于在提供服务的过程中尽可能地限制客户数据的处理。我们在整个公司建立了流程、组织结构和技术措施，以确保我们达到或超过全球隐私原则。

Elastic 在我们的 数据处理附录 中，以合同形式承诺采取适当的数据保护和隐私措施，其中包括 SCC，以及我们的 信息安全附录。我们会定期审查和更新我们的数据处理附录，以反映适用的数据隐私要求，包括以下规定：

• 个人数据的处理仅在您的指示下进行。
• 我们仅在您选择的区域托管您的数据。
• 所有被授权处理个人数据的人员均须遵守严格的保密政策、程序和协议。
• 您可以随时检索、更正或删除您上传到 Elastic Cloud 的任何个人数据。
• 如果收到披露您数据的请求，我们会通知您，除非法律禁止。
• 我们的子处理器也须遵守同样的严格标准和组织要求。我们对子处理器的行为和不作为承担责任，如同我们自己执行服务一样。

我们设计我们的产品是为了帮助您保护您组织的数据，遵守全球法规，并培养信任。我们实施行业领先的安全标准。

• 传输中和静态时的加密：Elastic 实施加密密钥管理程序，并使用至少 AES-128 位密码在传输中和静态时加密客户数据。
• 定期系统更新和补丁：为了帮助减少与漏洞相关的事件发生的可能性，Elasticsearch 实例是基于最新的操作系统内核部署的，并且每当在任何组件软件中发现常见漏洞和暴露时，都会进行适当的修补。
• 使用行业领先的服务提供商：Elastic 的服务托管在行业领先的服务提供商维护的数据中心中，这些数据中心提供最先进的技术和组织安全措施，旨在保护其托管的数据。
• 访问控制：Elastic 维护旨在将数据访问权限限制在授权用户范围内的技术、逻辑和管理控制，包括多因素身份验证流程。此外，Elastic 还实施集中日志记录，包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志，以记录对客户数据及其所在的系统的访问。

我们在整个公司范围内实施了强大的组织结构，体现了我们坚定不移地致力于达到和超越全球隐私原则。

• 安全和隐私计划：我们维护全面的信息安全和数据隐私计划，其中包括旨在保护您数据的适当措施。
• 公共机构访问请求政策：我们制定了管理公共机构提出的任何访问个人数据请求的政策和流程，其中包括质疑此类请求、通知相关方以及寻求豁免通知禁令的协议。
• 其他内部政策：我们维护管理个人数据使用和访问的内部政策，这些政策确保对数据泄露、数据主体访问请求、数据保留和访问控制政策的适当管理。
• 行业标准：Elastic 正式采用了符合 ISO 27001（包括 ISO 27017 和 ISO 27018）的信息安全计划。我们的 Elastic 信息安全治理政策是所有信息安全政策、标准和指南的支柱。并且，独立的第三方已根据 SOC 2 Type 2 对 Elastic Cloud 服务进行了审计和认证。
• 定期测试：我们会进行定期的网络和应用程序漏洞测试，并实施程序来记录和解决在漏洞和渗透测试中发现的漏洞。
• 员工培训：我们要求所有员工在入职时完成信息安全和数据保护培训，并且至少每年一次。

我们制定了响应公共机构访问客户数据请求的政策和流程。它们符合适用的数据保护法和您的客户协议。Elastic 仅在法律严格要求的情况下才会披露或提供对您数据的访问权限，并且我们绝不会以大规模、不成比例或不加区分的方式披露您的数据，而超出民主社会中必要的范围。

尽管如此，Elastic 从未收到任何公共机构要求访问客户数据的请求，包括根据《外国情报监视法案》第 702 条和《云法案》。我们也不知道根据 EO 12333 对客户数据进行的任何直接访问。我们从未为任何产品或服务创建过任何后门或主密钥，也从未允许任何政府机构不受限制或直接访问我们的服务器。

如上所述，Elastic 从未收到公共机构要求披露客户数据的请求。如果我们收到此类请求，我们将开始发布透明度报告。

有关 Elastic 如何收集和使用个人数据的更多信息，请参阅以下隐私声明：

一般隐私声明

产品隐私声明

申请人隐私声明

加利福尼亚州隐私权声明

Elastic Cookie 隐私声明

我们致力于遵守全球隐私法规，包括 GDPR 和 CCPA。要提交数据主体请求，请在此处联系 Elastic 的数据隐私团队：此处。

Elastic Cloud 符合 ISO 27001、ISO 27017、ISO 27018、SOC 2 Type II、CSA CCM 4.0、PCI-DSS、HIPAA 和其他行业框架，例如 TISAX。要了解更多信息，请导航到我们的 合规性页面。

Elastic Cloud 在 AWS GovCloud (US) 上获得了 授权，达到 FedRAMP 中等 影响级别。联邦、州和地方政府用户，以及高等教育机构和拥有政府数据的用户，可以立即注册。

我们致力于最高的道德标准，并致力于遵守所有适用法律，并保护所有委托给我们的数据。请访问我们的 道德和公司合规页面，了解更多详细信息，包括我们的商业行为和道德准则、供应商行为准则和举报政策。

Elastic 是一家技术公司，我们致力于诚实正直地开展业务，并完全遵守美国限制出口和管理国际商业活动的法律法规，包括贸易制裁、出口管制和抵制法律法规。我们的客户和潜在客户经常要求我们提供分配给我们产品的 ECCN。一般来说，我们所有付费产品都归类在 ECCN 5D002.c.1 下，并且根据《出口管理条例》第 740.17 (b)(1) 条，有资格在许可证例外 ENC 下出口。

最新的产品 ECCN 详细列表请点击此处查看。随着我们开发新产品或添加新功能，此信息可能会发生变化，因此请始终参考 Elastic 发布的最新 ECCN 图表。我们也建议您咨询您的出口律师，以确定此信息如何影响您的出口交易或 Elastic 产品的使用。

Elastic Cloud 在全球主要云服务提供商中均可使用。在 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 上我们支持的任何区域启动 Elastic Cloud 部署。查看我们最新的可用区域列表，请点击此处。

请访问 Elastic Cloud 状态页面查看正常运行时间信息。