Semrush安全信息

Semrush将其服务数据存储在美国的物理安全数据中心。我们使用亚马逊网络服务,谷歌云平台,赤道

所有数据中心都有所有相关的最佳实践符合性证书。
了解有关AWS合规性的更多信息
了解有关GCP合规性的更多信息
在Equinix了解更多合规信息

通过一系列措施确保数据中心的物理安全，包括严格控制人员对数据中心场所的访问，以及对第三方的访问控制。对数据中心的访问进行定期审查，对活动和事件进行全天候监控，提供服务器机房物理访问点的闭路电视录像，并安装电子入侵检测系统。

数据中心管理气候和温度以防止过热。他们配备了自动火灾探测和灭火系统以及漏水探测系统。此外，还对电气和机械设备进行监控。所有数据中心都是冗余的，可全天候维护。当Semrush在数据中心外以电子方式复制用户数据时，将保持适当的物理安全性，并始终对数据进行加密。

基础设施提供商尽商业上合理的努力确保至少99.8%的正常运行时间。供应商对电源、网络和HVAC服务保持至少N+1冗余。

备份和复制策略旨在确保在重大处理故障期间的冗余和故障转移保护。Semrush数据被备份到多个持久数据存储，并跨多个可用区域进行复制。Semrush使用商业上合理的努力来创建频繁的、加密的用户数据备份副本，这些备份副本存储在不同的地理位置。

在可行的情况下，生产数据库设计用于在不少于一个主数据库和一个辅助数据库之间复制数据。至少使用行业标准方法备份和维护所有数据库。

由于Semrush在世界各地开展业务，我们在世界各地设有多个办事处。我们的办事处位于两大洲的五个国家（美国、俄罗斯、捷克共和国、塞浦路斯共和国和波兰共和国）。由于办公室的分布，我们非常重视安全问题。

我们所有的办公室都配备了视频监控和入侵检测系统。所有办公场所的出入由出入控制系统管理，只有已登记或持有临时出入卡的员工和访客才有权进入。公司政策要求所有访客必须由负责的员工陪同。

每间办公室均符合所有消防安全要求，并配备火警警报器和灭火系统。

我们的员工和承包商必须在开工前签署保密协议。

我们为所有新员工以及每年为所有员工提供安全意识培训。培训通过电子平台进行，并在我们的办公室内展示材料和海报。

我们根据OWASP安全编程最佳实践为我们的产品开发人员提供培训。每年，我们都会为所有开发人员举办捕获旗帜（CTF）挑战赛。

Semrush使用TLS加密（也称为HTTPS通信协议），在网站上随处可见。Semrush HTTPS实现使用行业标准算法和证书。

存储的信息受加密保护。数据中心使用AES-256加密实现安全数据存储，而员工端点则使用MDM系统进行控制。我们使用强加密方法在端点上安全地存储信息。

网络访问控制机制旨在防止使用未经授权协议的网络流量到达Semrush服务基础设施。实施的技术措施因基础设施提供商而异，包括虚拟私有云（VPC）实施、安全组分配和传统防火墙规则。

Semrush为其服务和相应的工具和功能实施了统一的密码策略。所有密码必须满足规定的最低要求，并以加密形式存储。通过用户界面与服务交互的用户必须在访问非公共用户数据之前进行身份验证。

个人数据受到适当级别的安全保护，旨在使未经授权的人员难以或不可能访问此类数据。个人数据仅供特定个人在需要了解的基础上使用。

登台、测试和开发环境在逻辑上彼此分离。测试或开发环境中不使用个人或服务数据。

我们的质量保证人员负责对我们的产品进行持续的质量检测。他们还进行基本的安全测试。

安全团队审查存储在Semrush源代码存储库中的部分代码，检查编码最佳实践和可识别的软件缺陷。

Semrush每六个月进行一次渗透测试。渗透测试的目的是识别和解决可预见的攻击向量和潜在的滥用场景。此外，安全团队每周对新功能进行部分渗透测试。

A.臭虫赏金计划邀请并激励独立的安全研究人员在道德上发现和披露安全缺陷。Semrush实施了一项Bug赏金计划，旨在扩大与安全社区接触的机会，并提高服务对复杂攻击的防御能力。

Semrush实施了一个Web应用程序防火墙（WAF）解决方案，以保护可访问互联网的应用程序。WAF旨在识别和防止针对公共可用web应用程序的攻击。

单点登录：我们与SSO SAML集成。通过联系产品支持，可以随时启用SSO。

双因素认证：我们的产品支持双因素认证。它可以轻松启用，使帐户更安全。

为了保护任何处理过的数据，Semrush与供应商保持合同关系。为了保护由这些供应商处理或存储的任何数据，Semrush依赖于合同协议、隐私政策和供应商合规程序。

我们对每个供应商都有安全验证程序。该过程使用一个计算网络安全评级(CSR)的数学模型进行。我们持续使用我们的网络安全评估平台监控所有第三方供应商。

在我们与个人资料有关的日常活动中，我们使用所有合理和适当的技术和组织措施，以遵守适用的隐私法。为保护个人资料，我们已制定以下内部及外部政策:一般资料保护政策、私隐政策、受测者查阅要求政策、处理受测者查阅要求的雇员程序、资料泄露程序及其他适用法例可能要求的文件。在整个处理过程中，个人资料被视为机密。

用户的个人资料一经不再需要，即被删除。但在法律规定的范围内，本公司可保留该等数据及信息的副本，以供存档之用，或由电脑自动备份产生并作为正常电脑存档系统的一部分存档，并维持必要的技术及组织措施。

Semrush设计了其基础设施，用于记录有关系统行为、接收的流量、系统身份验证和其他应用程序请求的信息。内部系统汇总日志数据，并向适当的员工发出恶意、意外或异常活动警报。Semrush人员，包括安全人员，对已知事件做出响应。

Semrush保存已知安全事件的记录，包括相关活动的描述、日期和时间以及事件处理。由安全、运营和支持人员调查可疑和确认的安全事件；确定并记录适当的解决步骤。对于任何已确认的事件，Semrush会采取适当的措施，最大限度地减少用户损害和未经授权的泄露，并防止将来发生事件。

如果Semrush意识到非法访问其服务中存储的数据，我们会将事件通知受影响的用户，说明解决事件所采取的步骤，并根据需要向用户提供状态更新。

我们制定了至少每年向所有员工传达的政策。我们也有具体的政策传达给他们所影响的人员。政策涵盖资讯保安的主要范畴。

我们已全面实施并支持与PCI DSS合规性相关的所有流程。我们每年通过一次独立的QSA审计来确认我们的合规性。因此，我们获得了PCI DSS 1级证书。此外，我们已将本标准某些要求的适用范围扩展到整个公司，包括所有员工的培训、开发人员的培训、数据传输和存储。可以找到有效的PCI DSS证书在这里.