在选择电子合同服务商的时候，部分企业会对e签宝的安全性产生疑问，经常会问：e签宝安全吗？e签宝如何保障用户的信息安全？e签宝的安全防护能力怎么样？这篇文章，会以常见的OP场景，来为大家介绍一下e签宝的安全性。

Q1：e签宝安全吗？保障机制如何？

 

e签宝是安全的。具体地，e签宝的安全性保障机制，会经过以下五个阶段，来保障产品的安全性：

 

● 安全需求设计：

e签宝安全需求主要从安全标准和最佳实践两方面得出，安全标准包括企业内部标准、行业标准、等级保护测评指南、ISO 27000等；最佳实践则从OWASP Development Guide、OWASP Testing Guide、OWASP Code Review Guide、项目积累知识库等方面出发。

设计中遵循的原则包括：最小权限、权限分离、深度防御、安全容错等，安全设计实践包括：数据验证、认证管理、会话管理、授权管理、数据加密等。

● 安全编码：

安全编码针对安全设计出发，对不同编程语言定制安全编码规范，通过安全编码规范的约束，使开发人员能够养成良好的编程习惯，减少系统安全漏洞的发生。

● 安全测试：

e签宝的安全测试阶段主要包括两部分内容：1、安全测试用例专项安全功能测试，2、测试环境中的渗透测试。

测试用例主要是针对各项安全设计做安全功能测试，因安全功能与业务的强相关性，e签宝安全团队以测试用例的方式交付客户，并指导客户完成相应测试。

渗透测试则在测试集成环境下做黑盒测试，以发现应用在实际运行中的问题。

● 上线测试：

业务实际上线前，e签宝安全团队对整个业务运行环境做安全评估，评估内容包括：web类应用扫描、业务承载环境扫描、基线核查等。

● 安全运行：

成功上线后，e签宝针对业务系统需做持续的安全监测和应急响应，并周期性的进行安全评估，做到对业务资产的持续态势感知。

Q2：e签宝如何保障用户的数据安全？

经常会有人问，e签宝电子合同平台是如何保障合同数据安全、不泄露的？针对用户的数据，e签宝在数据传输、存储、使用、共享、销毁的全流程，都有对应的技术手段，来保障用户数据的安全性。

● 数据传输

    1、加密传输：数据无论在外网还是内网传输时，应用服务全站使用https传输协议，采用权威CA颁发的TLS/SSL证书加密传输，确保您的个人信息和数据在传输过程中的机密性和完整性，在网络中传输的数据无法被第三方窃取；

    2、应用层加密：为加强数据安全，e签宝产品在网络层加密传输的基础上，还会在应用层对关键字段（如：密码、密钥、密保答案、身份证等）进行二次加密，确保即使别人在内网发起攻击，也无法窃取敏感数据。

● 数据存储

    1、数据库加密存储：对于数据库中的敏感数据（如：密码、身份证、手机、邮箱等），e签宝会使用加密算法进行加密存储，确保别人即使拿到数据后也无法解密。

2、文件加密存储：对于合同等敏感文件，e签宝会对文件进行分片，并对每个分片文件进行单独加密，确保别人拿到单个分片文件或拿到所有分片文件时，仍然无法解密。

3、在数据备份方面：根据业务和数据需求，e签宝制定了完善的备份策略，实现同城备份、异地实时灾备等备份方案。同时，对备份数据进行加密存储，并会验证备份有效性。

● 数据使用

   1、多租户数据隔离：e签宝在存储用户数据时会进行隔离，确保不同企业之间的数据相互独立，无法相互访问；

   2、敏感数据脱敏展示：e签宝产品将基于业务场景，对敏感数据进行脱敏展示，如：身份证显示为33************1234。

● 数据共享

e签宝会与用户签署严格的数据保护条款，要求其按照e签宝的说明、隐私政策以及其他任何相关的保密和安全措施来处理个人信息，其过程采取的收到以下保护机制：

    1、数据库审计：对于所有的数据库操作，e签宝的数据库审计系统均能进行完整记录，包括：操作时间、登录账号等，确保发生数据相关安全事件能快速溯源；

2、权限管控：针对保存敏感数据的系统，e签宝会进行严格的权限管控，采用权限最小化原则，内部员工需要访问时需要提交申请，审批通过后才能访问，且访问过程有日志记录，可对访问行为进行快速分析及溯源。

3、第三方内控管理：定期对合作伙伴的服务、安全能力、舆情进行评估和监控。一旦发现我们的合作伙伴有违规行为，在予以核实后将立即中止与这些第三方的合作，及时保障用户权益。

● 数据销毁

1、终止服务后消除（云平台）：在双方服务终止后，在满足法律法规及监管的前提下，e签宝会基于业务场景对数据进行销毁处理。

 

Q3：对业务数据、操作的日志会保存多久？

1、e签宝业务系统中的日志将永久保存；

2、e签宝网络设备、安全设备、服务器及日常操作日志等按照相关法律法规至少保存6个月以上。

Q4: e签宝产品的安全合规都有哪些？

● 安全合规生态

电子签名的诸多环节涉及多个行业，e签宝致力于在电子签名行业内建立生态安全。一方面，e签宝与安全认证机构积极合作，如BSI、CSA、亚太法务联盟、信通院等，成为行业现行安全标准的践行者。同时，e签宝与合作伙伴探索安全合作和互认，包括在技术、法律等方面的研究探讨。

 

● 安全合规资质

目前，e签宝依据国内外相关信息安全标准规范进行安全建设，已获得以下安全认证：

ISO27001 信息安全管理体系认证 、ISO27018 公有云个人信息保护管理体系认证 、ISO27701 隐私信息管理体系认证、ISO22301 业务连续性管理体系认证、网络安全等级保护测评三级、可信云企业级 SaaS服务认证、商用密码产品认证证书。

● 安全测试

一方面，e签宝有专业的安全团队，定期开展对业务系统进行安测试，包括不限于：渗透测试、源代码审计、漏洞扫描等；

另一方面，e签宝与国内外第三方安全众测平台开展深度合作，借助第三方众测平台的资源和能力，为e签宝的产品安全提供不间断的安全测试，从第三方的视角挖掘平台的问题及漏洞，提供修复和改进建议。