CODING 服务安全性说明

CODING 是一个面向开发者和软件开发团队的一站式软件研发管理平台（以下简称 CODING）。用户数据的安全性和隐私性是我们的核心责任。为此我们采取了以下措施保障用户数据的安全性和隐私性：

1. 管理制度

   CODING 通过严格的管理制度，规范产品的研发、运维、运营：

   • 1）CODING 所有能接触到用户数据的相关人员均签订了符合业界标准的《保密协议》；
   • 2）CODING 所有人员的招聘均通过背景调查；
   • 3）CODING 平台拥有严格的权限管理， 项目内容仅限项目成员，平台不存在超级用户；
   • 4）CODING 所有能接触到用户数据的相关人员均接受过安全培训和考核；
   • 5）CODING 严格区分产品、研发、运维与运营，并拥有标准的业务流程，不存在一人身兼数职；
   • 6）CODING 数据库访问权限仅限于极少数核心人员，并且每次数据库以及数据文件操作均需要备案；
   • 7）CODING 所有服务器相关的密码至少每月更换一次，并且使用 16 位以上超复杂密码；
   • 8）CODING 内部有独立的安全小组，负责全面检查 CODING 系统的安全性问题，包括系统功能、服务器部署、客户端消息处理等等，每次生产系统的更新都需要经过安全小组的审查，并且记录更新内容；
   • 9）CODING 定期聘请外部安全专家，对 CODING 整个系统进行检查，保证系统整体的安全性；
   • 10）CODING 会对每次业务中断或者安全性事故出具详细的问题分析报告并提出整改措施；
2. 加密与备份

   CODING 通过一系列加密与备份技术保障用户数据的安全性：

   • 1）整站 SSL 加密，CODING 的所有内容都必须通过 SSL 加密的方式才能访问，包括与 CDN、云存储等等供用商之间的通信；
   • 2）数据实时备份，在同一机房，CODING 的数据库和文件都有实时热备机制，同步时间不超过 1 分钟；
   • 3）异地数据备份，为了防止机房故障导致的数据丢失，CODING 采取了定时异地备份 ，同步时间不超过 1 小时；
   • 4）对于用户要求删除的数据我们会保留 7 天后清除，CODING 不会私自保存用户的数据；
3. 监控与响应

   CODING 拥有完备的监控和报警体系，及时发现并解决问题：

   • 1）CODING 运维团队对 CODING 的所有 IT 设施进行 24x7 的监控，并且人工轮班响应；
   • 2）CODING 的全自动监控工具监控的内容包括：
   • • 服务器 CPU、内存、硬盘以及网络等硬件资源，报警阈值 90%；
     • 系统服务响应时间，包括页面访问、代码拉取和推送，报警阈值 5 秒；
     • 邮件、短信、推送，报警阈值 10 分钟；
     • 分布全国 100 个节点的连通性，报警阈值 20 分钟；
   • 3）CODING 的服务均拥有多个实例，包括 HTTP 服务、Git 服务、邮件、短信、APP 推送、消息队列，当一个实例不可用，系统会自动启用备用实例；
   • 4）CODING 监控系统会通过 APP 推送、短信、邮件、电话四种方式逐级通知运维人员；
   • 5）CODING 监控系统的的警报不能得到及时处理时会自动对问题升级并通知更高级别的运维人员；
4. 供应商审查

   CODING 选用的云服务商均满足以下标准：

   • 1）云基础架构，数据中经过 TIA-942 标准认证；
   • 2）数据中心 24x7 物理隔离，并且有物理安全管控；
   • 3）拥有灾难恢复计划并且经过灾难恢复演示；
   • 4）拥有完备的防火墙和防病毒设置；
   • 5）拥有完备的故障报警机制，并且提供业务专员处理故障；
   • 6）签订正规的服务合同；
5. 可用性承诺

   CODING 拥有完整的 SLA 服务承诺，详情请参见 https://coding.net/company/sla 。

6. 违约与赔偿

   针对由于 CODING 原因造成的服务不可用或者其他违约情况，CODING 会按照以下标准赔偿：

   • 1）对于 SLA 相关的赔偿请参见 https://coding.net/company/sla ；
   • 2）对于法律法规明确包含惩罚标准的违约，CODING 会按照法律法规规定的最高标准向用户赔偿；
   • 3）其余违约按照双方认可的实际损失数额予以赔偿；

最后更新：2019 年 9 月 06 日