資訊安全措施 (檔案資料)

本譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

生效日期：2018 年 5 月 24 日

Slack 非常重視資料安全性。由於公開透明是本公司賴以建立的原則，因此我們在安全處理方面儘可能保持公開透明。

如果您對安全方面有其他疑問，我們很樂意回答。請寫信至 feedback@slack.com，我們將儘快回覆。

---

保密

本公司對於員工存取您或使用者透過 Slack 服務提供的資料 (以下稱「客戶資料」)，設有嚴格的控管措施，詳細規定記載於您與 Slack 就使用 Slack 服務訂立的合約。為使 Slack 服務順利運作，部分員工必須存取儲存與處理客戶資料的系統。舉例而言，為診斷您在使用 Slack 服務時出現的問題，我們可能需要存取您的客戶資料。若非必要，員工不得利用此權限檢視客戶資料。我們設有技術控管措施及稽核政策，確保所有客戶資料存取均留有記錄。

所有員工及委外人員均必須遵守本公司的客戶資料相關政策，我們認為這是 Slack 的首要任務。

人員措施

Slack 在僱用員工前進行背景調查，並要求所有員工接受關於隱私及安全的到職及在職訓練。員工必須詳閱並簽署 Slack 資訊安全政策，其中涵蓋 Slack 服務的安全性、可用性及保密相關事項。

合規

Slack 服務適用以下資安相關稽核及認證：

• ISO 27001 及 ISO 27018：Slack 符合 ISO 27001 與 ISO 27018 合規性要求。您可從這裡下載 ISO 27001 認證，從這裡下載 ISO 27018 認證。如需適用性聲明，請向帳戶管理員索取。
• 服務組織控制 (SOC) 報告：Slack 已完成 SOC 2 稽核，如需 Slack 的最新報告，請向帳戶管理員索取。Slack 的 SOC 3 報告可從這裡下載。
• PCI：Slack 屬於 PCI 第 4 級廠商，已提交支付卡產業資料安全標準 SAQ-A。Slack 委託第三方以安全的方式處理信用卡資訊，Slack 目前並非取得 PCI 認證的服務供應商。

管理 Slack 服務的環境具有多項資料中心認證，包括 ISO 27001 合規、FedRAMP 授權、PCI 認證及 SOC 報告。想要深入瞭解認證及合規相關資訊，請造訪 AWS 資訊安全網站、AWS 合規網站、Google 資訊安全網站及 Google 合規網站。

團隊成員及管理員的安全功能

除基礎架構措施外，我們另為 Slack 服務付費版本的團隊管理員提供附加工具，讓使用者有能力保護客戶資料。

存取記錄

詳細存取日誌可供付費團隊的使用者及管理員取得。我們在每次帳戶登入時，均加以記錄，包括使用裝置類型及連線的 IP 位址。

付費團隊的團隊管理員及擁有者，可檢視整個團隊的合併存取日誌。若經要求，我們可開放管理員隨時於遠端終止所有連線，並登出通過 Slack 服務認證的所有裝置。

全團隊雙因素驗證

團隊管理員可要求所有使用者為帳戶設定雙因素驗證。設定方法請見說明中心。

單一登入

付費管理員可將其 Slack 服務執行個體與各類單一登入提供者整合。「標準版」方案團隊可啟用 Google 網域應用程式做為認證提供者，「增強版」方案團隊可向 OneLogin、Okta、Centrify、Ping Identity 等提供者啟用 SAML SSO。

資料保留

付費 Slack 團隊擁有者可針對整個團隊及個別頻道設定自訂訊息保留政策。若自訂保留期間，系統將每日刪除超過自訂期間的訊息或檔案。

刪除客戶資料

Slack 提供工作空間主要擁有者選項，可於訂閱期間內，隨時刪除客戶資料。Slack 將在工作空間擁有者刪除後 24 小時內，自運作中生產系統永久刪除所有資訊（不含團隊及頻道名稱，以及網路伺服器存取日誌中，網址所嵌入的搜尋詞彙）。Slack 服務備份將在 14 天內銷毀。*

歸還客戶資料

Slack 服務的匯出資格相關資訊請見說明中心。

傳輸中資料與待用資料加密

Slack 服務支援最新建議安全密碼套件及協定，可將所有傳輸中資料加密。客戶資料則於待用時加密。

我們密切追蹤不斷變化的密碼狀況，立即針對密碼弱點進行服務升級，並採納最佳實務。在加密傳輸中資料時，我們亦注意平衡原有客戶的相容性需求。

可用性

我們瞭解您依靠 Slack 服務完成工作，因此致力打造 Slack 成為值得信賴的高可用性服務。我們的基礎架構屬於容錯系統，無論是個別伺服器或整個資料中心出現故障皆可應對。我們的運作團隊定期測試災難復原措施，並設有全年無休的待命團隊，可迅速解決各項意外事件。

災難復原

為確保可用性，我們將客戶資料重複儲存於代管供應商的多處資料中心。我們設有經過充分測試的備份及回復程序，可在重大災難發生後順利復原。我們每日自動備份客戶資料及來源碼，若此系統故障，運作團隊將會收到警示。備份將每 90 天接受一次完整測試，以確認我們的流程及工具運作符合預期。

網路保護

除複雜的系統監控及記錄外，我們更針對生產環境的所有伺服器存取進行雙因素驗證。我們的防火牆依照業界最佳實務配置，並使用 AWS 安全群組封鎖不需要的埠口。

主機管理

我們針對生產主機進行自動漏洞掃描，若發現 Slack 環境存在風險，將會進行修補。我們針對公司筆電執行螢幕鎖定及全磁碟加密。

記錄

Slack 在生產環境中，維持全面集中式記錄環境，其中涵蓋 Slack 服務的安全、監控、可用性、存取及其他指標相關資訊。相關日誌將由自動監控軟體進行資安事件分析，並由資安團隊負責管理。

事件管理與回應

若發生資安事件，且您的客戶資料遭到未經授權存取，Slack 將立即通知您。Slack 設有事件管理政策及程序，有能力處理此類情況。

外部資安稽核

本公司委託知名資安業者，定期針對 Slack 服務進行稽核，以確保資安措施健全無虞，並檢查 Slack 服務是否存在資安研究界發現的新漏洞。除針對 Slack 服務及功能的定期及特定稽核外，我們亦持續針對網路平台進行混合自動掃描。

產品安全措施

新功能推出及設計變更前，資安團隊將進行安全檢查。此外，程式碼用於生產環境前，必須經過自動靜態分析軟體檢查、測試與同儕審查。資安團隊與開發團隊密切合作，解決開發過程中產生的安全疑慮。

Slack 亦實施安全漏洞回報獎勵方案。全球各地的資安研究人員持續測試 Slack 服務，並透過本方案回報問題。有關本方案的詳細資訊請見回報獎勵網站。

*Slack 服務備份將在 14 天內銷毀，但若事件調查尚未完結，此期限可暫時延展。