信任中心常见问题解答

Elastic 是我们所有解决方案（尤其是 Elastic Security）的热情零号客户。我们致力于为您提供在广泛分发之前已在真实生产环境中进行过测试的产品和服务。我们尽可能地使用我们的产品，而不仅仅是用于日志。Elastic 的信息安全团队每天都使用 Elasticsearch 平台功能来创建、监控、检测和响应安全事件。

访问Elastic on Elastic 和 Elastic Security 了解更多信息。

Elastic 正式采用了通过 ISO 27001 认证的信息安全管理体系 (ISMS)，包括 ISO 27017 和 ISO 27018。我们的信息安全治理政策是所有信息安全政策、标准和指南的支柱。我们的 ISMS 包括全面的适当技术和组织措施，旨在保护您的集群数据免遭未经授权的访问、修改或删除。

我们已经建立了访问控制，以验证访问处理我们客户集群数据的系统的个人的身份。我们设计这些控制措施是为了帮助确保未经授权的用户无法访问此类系统，并且授权个人只能访问与其角色相符的内容。此类控制措施包括但不限于多重身份验证、密码强度标准和用于管理访问的虚拟专用网络 (VPN)。我们还实施了集中式日志记录，包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志，以记录对客户集群数据及其所在系统的访问。

Elastic Cloud 搜索驱动的解决方案托管在由行业领先的基础架构即服务 (IaaS) 提供商（包括 Amazon Web Services (AWS)、Google Cloud 和 Microsoft Azure）管理的认证云平台上。Elastic 会审查我们子处理器的安全认证和实践，以确保在处理和存储 Elastic Cloud 数据的场所实施适当的物理安全措施。

Elastic 安全公告 (ESA) 是 Elastic 向其用户发出的通知，告知他们 Elastic 产品中的安全问题。Elastic 为每个公告分配一个 CVE 和一个 ESA 标识符，并提供摘要、修复和缓解措施的详细信息。我们在 安全公告 论坛上宣布所有新公告，您可以通过 RSS 源 跟踪它们。

Elastic 非常感谢我们与安全社区的合作关系，并致力于实现保护用户和互联网安全的共同目标。请通过我们的 HackerOne 漏洞赏金计划 报告影响任何 Elastic 产品、Elastic Cloud 服务或 elastic.co 网站的潜在安全漏洞。有关详细的范围和参与规则，请参阅我们的 HackerOne 计划 政策。

根据协同漏洞披露原则，Elastic 会分析潜在的安全漏洞，以确定任何建议的缓解措施或产品更新，并通过 Elastic 安全公告 (ESA) 和 CVE 计划协调披露。在我们研究并对问题做出回应之前，请勿在任何公共论坛上发布或分享有关潜在漏洞的任何信息。

用户和客户可以向 [email protected] 报告任何其他潜在的安全问题。您可以使用此地址进行与安全相关的产品咨询或请求有关此处未明确提及的其他安全主题的信息。（我们仅接受此地址的安全问题。）您应将错误报告发送到相应项目的错误数据库或 Elastic 支持部门。如果您想加密发送给我们的消息，请使用我们的 PGP 密钥。指纹是

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

密钥可通过密钥服务器获取。搜索“[email protected]”。OpenPGP 上的示例

在 Elastic，我们知道安全是每个人的责任。这就是我们将安全性融入产品开发和 Elastic Cloud 基础的原因。

您的 Elastic Cloud 数据的安全性和隐私性还取决于您是否对 Elasticsearch 集群进行了安全配置并维护了 Elastic Cloud 登录凭据的机密性。

以下是一个快速检查表，可帮助您

• 不要与他人共享您的凭据。
• 更新您的帐户资料，以确保信息正确且最新。
• 根据需要添加运营联系人。
• 确保您已设置安全密码。
• 在 Elastic Cloud 部署上启用自定义插件时要谨慎。
• 考虑设置在启动破坏性操作时需要索引名称的选项。

如果您需要进行 Elastic Cloud 控制台中不可用的更改，请创建 Elastic 支持案例。如果您认为帐户遭到入侵，请发送电子邮件至 [email protected]。如果您需要提出擦除请求，请联系 Elastic 的数据隐私团队，此处。

是的，数据在静态时通过 AES-256 加密，在传输中通过 TLS 1.2 加密。

我们仔细评估每家供应商，以确保他们符合 Elastic 的安全和合规性标准。Elastic 与主要的 IaaS 提供商合作提供 Elastic Cloud。每个提供商都会定期接受独立第三方的审计，包括至少 SOC 2 审计和 ISO 27001 认证，以证明其服务的安全性。然后，我们会将这些审计报告和认证作为第三方风险管理计划的一部分进行审查。

Elastic 还会审查第三方代码，并发布 Elastic 产品的第三方开源依赖项列表。

第三方每年至少对 Elastic Cloud 执行一次应用程序和网络渗透测试。请联系您的客户代表或 Elastic 安全团队以获取测试执行摘要副本。

我们维护一个基于 NIST 800-218 的安全软件开发生命周期 (SSDF)，并在设计和架构中遵循安全最佳实践，以生成“设计安全”和“默认安全”的软件。我们的 SSDF 指导安全设计、开发、部署、跟踪和维护所有 Elastic 软件的过程。它还包括保护我们构建系统和降低构建链妥协风险的要求。

您委托给我们的数据仍然是您的。我们仅将您的数据用于您协议中指定的目的，例如为您提供您付费的服务。我们实施严格的安全措施来保护您的数据，并为您提供工具和功能，以便您根据自己的条款控制数据。

我们处理您的 Elastic Cloud 数据是为了履行我们提供服务的合同义务。

• 客户数据是您的数据。我们仅根据您的协议处理您的数据。
• 我们绝不会将您的数据出售给第三方。
• 我们致力于透明度，遵守包括通用数据保护条例 (GDPR)、加州消费者隐私法案 (CCPA) 在内的法规以及隐私最佳实践。
• 优先考虑您的隐私意味着保护您委托给我们的数据。安全性和隐私性是我们所有产品的主要设计标准。

我们了解我们在提供领先搜索体验的同时保护您的数据的重大责任，并且我们努力工作以赢得您的信任。从组织高层的董事会监督和执行治理到我们如何 onboarding 并持续培训每位 Elastician，安全对我们所做的一切都至关重要。我们已经为 Elastic Cloud 服务和我们的信息安全管理体系 (ISMS) 获得了一套广泛的行业领先合规性审计和认证。这些审计和认证证明，有效的安全实践是我们所有活动的固有组成部分，包括产品开发和部署、漏洞管理、事件管理和威胁处理流程。

Elastic 无权访问您自行管理的部署中的数据。为了提供我们的 Elastic Cloud 产品，少数 Elastic 员工拥有我们生产环境的特权访问权限。我们维护此访问权限仅用于平台管理、维护和支持目的。

Elastic 在为内部用户配置访问权限时遵循最小特权原则。Elastic 员工仅被授予其工作角色所需的访问级别。如果工作发生变动或在其他情况下不再需要用户的访问权限，我们会定期审查访问权限并修改权限。

我们的信息安全威胁检测和响应团队还开发并实施了针对可疑内部帐户活动和未经授权访问的检测，包括文件完整性监控和帐户接管指标。这些检测是自动化工作流程的一部分，可以提醒威胁检测和响应团队注意可疑活动并触发分析师调查。

Elastic 产品还具有基于角色的访问控制，使我们的客户能够为其 Elastic 部署和 Elastic Cloud 管理平台内的用户实施细粒度的访问管理。

是的，我们使用某些基础架构和客户支持子处理器来为我们的客户提供服务。与您相关的子处理器最终将取决于您选择使用的数据中心位置、服务和功能。（查看我们的外部或内部子处理器列表。）

当我们在国境之间传输您的数据时，我们会遵守适用法律。每当我们的子处理器处理您的数据时，我们都会实施适当的保障措施来帮助保护您的数据，包括签订数据处理协议和批准的传输机制（例如 SCC），以及实施补充措施。我们拥有强大的流程来审查所有可以访问客户个人数据的子处理器的隐私和安全控制。

Elastic Cloud 的功能支持遵守 GDPR 和其他全球数据保护法

• 我们通过有效的默认技术和组织措施来优先考虑您个人数据的安全，这些措施会定期进行测试和验证。
• 我们提供符合 GDPR 的数据处理附录，帮助您履行 GDPR 合同义务。
• 您可以控制哪个云服务提供商将托管您存储在 Elastic Cloud 中的数据，并且可以选择您的 Elastic Cloud 部署区域。
• 我们提供全面的资源来帮助您遵守与您的处理活动相关的具体要求。有关如何确保您的 Elastic 部署符合 GDPR 的更多信息，请访问 https://elastic.ac.cn/gdpr。

除了这些功能之外，Elastic 还拥有专门的隐私和安全团队。这些团队负责监督我们代表客户处理个人数据时遵守 GDPR 和其他适用隐私法的行为。

Elastic 是一家全球性公司，我们可能会将源自 EEA、瑞士或英国的数据传输到 Elastic 的非欧洲关联公司，以及为提供我们的服务所必需的第三方组织。（您可以在上面有关子处理器的部分中找到这些位置。）在这种情况下，除了强大的补充措施外，我们还依赖于与我们的客户签订的 SCC（包括控制者-处理器或处理器-处理器模块（如适用））以及与我们的子处理器签订的处理器-处理器模块。

我们致力于帮助您确保遵守全球法律法规。根据欧洲数据保护委员会 (EDPB) 在 Schrems II 裁决后发布的指南，我们已经彻底审查了我们的实践，以确保国际数据传输符合数据保护要求

• Elastic 的数据传输不属于美国监控法的典型重点，并且迄今为止，我们从未收到公共机构提出的客户数据请求，包括根据 FISA、EO12333 或 CLOUD 法案提出的请求。
• 如果我们收到公共机构提出的客户数据请求，我们有管理这些请求的政策和流程，其中包括质疑请求、通知相关方以及寻求禁止通知的豁免的协议。
• 我们提供强大的补充措施来保护您的数据，包括在传输过程中和静态时对数据进行加密，以确保您的数据在其整个旅程中的机密性和完整性。
• Elastic Cloud 客户可以选择欧盟服务器进行托管，以最好地满足其数据主权需求。备份也会配置在您为部署选择的同一区域。
• 标准合同条款可用于保护数据传输。这包括客户选择美国主机或与我们的美国实体合作，以及从 Elastic 到我们子处理器的数据传输。
• 我们不断评估和开发我们的合同、技术和组织保障措施，以保护数据传输。

我们提供多种补充措施，以确保您的数据在 Elastic Cloud 中得到保护。我们致力于在提供服务时尽可能限制对客户数据的处理。我们在整个公司建立了流程、组织结构和技术措施，以确保我们达到或超过全球隐私原则。

Elastic 在我们的数据处理附录中以合同方式承诺采取适当的数据保护和隐私措施，其中包括标准合同条款 (SCC)，以及我们的信息安全附录。我们会定期审查和更新我们的数据处理附录，以反映适用的数据隐私要求，包括以下规定

• 个人数据的处理仅根据您的指示进行。
• 我们只将您的数据托管在您选择的地区。
• 所有被授权处理个人数据的人员均须遵守严格的保密政策、程序和协议。
• 您可以随时检索、更正或删除您上传到 Elastic Cloud 的任何个人数据。
• 如果我们收到披露您数据的请求，除非法律禁止，否则我们会通知您。
• 我们的子处理器须遵守相同的严格标准和组织要求。我们对子处理器的作为和不作为承担与我们自己提供服务时相同的责任。

我们设计产品是为了帮助您保护组织数据、遵守全球法规并建立信任。我们实施行业领先的安全标准

• 传输中和静态加密：Elastic 实施加密密钥管理程序，并使用至少 AES-128 位密码对传输中和静态的客户数据进行加密。
• 定期系统更新和补丁：为了帮助降低与漏洞相关的事件的可能性，Elasticsearch 实例的部署基于最新的操作系统内核，并在任何组件软件中发现常见漏洞和风险时进行适当的修补。
• 使用行业领先的服务提供商：Elastic 的服务托管在由行业领先的服务提供商维护的数据中心，这些提供商提供最先进的技术和组织安全措施，旨在保护他们托管的数据。
• 访问控制：Elastic 维护旨在限制授权用户访问数据的技术、逻辑和管理控制，包括多因素身份验证流程。此外，Elastic 还实施集中日志记录，包括代理日志、访问日志、Elasticsearch 日志和 Auditbeat 日志，以记录对客户数据及其所在系统的访问。

我们在全公司范围内实施了强大的组织结构，这表明我们坚定地致力于达到和超过全球隐私原则

• 安全和隐私计划：我们维护全面的信息安全和数据隐私计划，其中包括旨在保护您数据的适当措施。
• 公共机构访问请求政策：我们制定了管理公共机构提出的访问个人数据请求的政策和流程，其中包括质疑此类请求、通知相关方以及寻求豁免禁止通知的协议。
• 其他内部政策：我们维护管理个人数据的使用和访问的内部政策，以确保正确管理数据泄露、数据主体访问请求、数据保留和访问控制政策。
• 行业标准：Elastic 已正式采用符合 ISO 27001 的信息安全计划，包括 ISO 27017 和 ISO 27018。我们的 Elastic 信息安全治理政策是所有信息安全政策、标准和指南的支柱。并且，独立第三方已根据 SOC 2 类型 2 标准对 Elastic Cloud 服务进行了审核和认证。
• 定期测试：我们定期进行网络和应用程序漏洞测试，并实施程序来记录和解决在漏洞和渗透测试期间发现的漏洞。
• 员工培训：我们要求所有员工在入职时完成信息安全和数据保护培训，然后每年至少完成一次。

我们已制定了响应公共机构访问客户数据请求的政策和流程。它们遵守适用的数据保护法和您的客户协议。Elastic 仅会在法律严格要求的情况下披露或提供对您数据的访问权限，并且我们绝不会以超出民主社会必要范围的大规模、不成比例或不加区分的方式披露您的数据。

尽管有上述规定，但 Elastic 从未收到公共机构提出的访问客户数据的请求，包括根据《外国情报监视法》第 702 条和《云法案》提出的请求。我们也没有意识到根据 EO 12333 直接访问客户数据的情况。我们从未为我们的任何产品或服务创建过后门或万能密钥，也从未允许任何政府机构不受限制地或直接访问我们的服务器。

如上所述，Elastic 从未收到公共机构披露客户数据的请求。如果我们收到此类请求，我们将开始发布透明度报告。

有关 Elastic 如何收集和使用个人数据的更多信息，请参阅以下隐私声明

一般隐私声明

产品隐私声明

申请人隐私声明

加州隐私权声明

Elastic Cookie 隐私声明

我们致力于遵守全球隐私法规，包括 GDPR 和 CCPA。要提交数据主体请求，请在此处联系 Elastic 的数据隐私团队。

Elastic Cloud 符合 ISO 27001、ISO 27017、ISO 27018、SOC 2 类型 II、CSA CCM 4.0、PCI-DSS、HIPAA 以及其他行业框架（如 TISAX）。要了解更多信息，请导航至我们的合规性页面。

Elastic Cloud 已获得授权，达到FedRAMP 中等影响级别，可部署在 AWS GovCloud（美国）上。联邦、州和地方政府用户，以及高等教育机构和拥有政府数据的用户，现在即可注册。

我们致力于遵守最高的道德标准，并致力于遵守所有适用法律和保护委托给我们的所有数据。请访问我们的道德与企业合规页面，以获取更多详细信息，包括我们的《商业行为和道德准则》、《供应商行为准则》和举报政策。

Elastic 是一家科技公司，我们致力于以诚实和正直的态度开展业务，并完全遵守美国限制出口和管理国际商业活动的法律法规，包括贸易制裁、出口管制以及抵制法和法规。我们的客户和潜在客户经常询问分配给我们产品的 ECCN。一般来说，我们所有的付费产品都属于 ECCN 5D002.c.1，并且根据《出口管理条例》第 740.17 (b)(1) 条的规定，有资格根据许可证例外 ENC 进行出口。

当前详细的产品 ECCN 列表可在此处获取。随着我们开发新产品或添加新功能，此信息可能会发生变化，因此请始终参考 Elastic 发布的最新 ECCN 图表。我们还鼓励您咨询您的出口法律顾问，以确定此信息如何影响您的出口交易或 Elastic 产品的使用。

Elastic Cloud 可在全球主要云服务提供商处使用。在 Amazon Web Services (AWS)、Microsoft Azure 和 Google Cloud Platform (GCP) 中我们支持的任何地区，在 Elastic Cloud 上启动部署。在此处查看我们最新的列表此处。

请访问Elastic Cloud 状态页面以查看正常运行时间信息。