跳到主要内容
开始免费试用
联系 1.866.878.3231

主机和安全

Sprout Social旨在帮助各种规模的企业成为更好的营销人员,与客户建立更牢固的关系,成为更明智的决策者,并创建世界上最受欢迎的品牌。

自2010年以来,Sprout Social已经拥有超过3万名付费客户,他们相信我们可以帮助他们管理数百万次日常对话。我们的技术设计和管理与我们的客户和他们的观众,数以亿计的强大,铭记在心。我们每天都致力于通过客户成功和支持的文化来建立持久的客户关系。

可靠性和可用性

Sprout Social努力将服务影响和停机时间降至最低。我们设计了容错系统,我们的团队接受了快速事件恢复的培训。我们的理念是不惜一切代价避免停机,无论是计划外的还是计划内的。如果可以避免,我们从不强制维护停机——因为通常都是这样。业务连续性和灾难恢复的要素已融入我们的实践和系统。它们不是事后才想到的,也不是某个团队的任务。

经过证明的业绩记录

99.99%的正常运行时间是我们工程组的关键性能指标(KPI)。在撰写本文时,在过去的6个月和12个月里,我们的正常运行时间超过99.95%。

对客户的透明度

信任始于坦诚的沟通。我们在状态网站上公开分享实时系统状态和指标,https://status.m.quick-r.com对于Sprout Social和https://status.getbambu.comBambu。在那里,我们沟通事件和计划维护,包括任何客户影响,并显示来自独立第三方提供商的系统运行状况指标。客户可以订阅,收到即时短信或电子邮件通知未来的事件。

社交媒体信息

我们的数据摄取层结合了到社交网络api的多个连接。作为认证合作伙伴,Facebook、Twitter、Instagram和Linkedin等社交网络为我们提供了更高层次的冗余,并让我们能够接触到他们的支持团队。

备份

经常进行备份,在传输和休息时进行加密,并定期进行测试。备份保存在Amazon S3中,它将文件存储在多个设施中的多个物理设备上,提供99.999999999%的持久性和99.99%的可用性。

对我们团队的透明度

在内部,我们实行多学科的、无可指责的事后分析,并寻求在失败后发展我们的人员、程序和系统。恐惧是进步的敌人。

隔离

我们的高度分布式后端平台采用隔离设计模式来降低跨组件的风险。一个部件的故障很少会影响其他部件。

恢复点目标(rpo)

恢复策略旨在以较低的恢复时间目标(rto)提供最新的rpo,以较长的rto恢复较旧的数据。这与客户对社交媒体的期望是一致的,允许客户满足他们客户的即时需求。

DevOps最佳实践

我们的工程团队实践基础设施即代码,提供正确性、一致性、可测试性和恢复速度。所有24/7/365随叫随到的团队成员都有权以完全一致的方式重建系统和拓扑。在系统丢失的情况下,我们的工程团队通过执行基础结构代码快速地重新创建系统。

监控和随叫随到支持

我们在世界各地持续监控,实时显示、提醒和报告我们的整个技术环境。支持客户是我们面向客户的支持团队和我们的工程团队之间的协作。专业工程师全天候24小时待命。

当问题发生时,我们的团队会得到及时的通知,自动提供上下文,并使用工具帮助与同事有效协作。我们采用了分诊寻呼机系统,以确保警报快速可靠地到达工程师手中。

数据中心

Sprout Social的产品由亚马逊网络服务(AWS)托管。AWS提供安全、高可用性和冗余的世界级托管设施,符合云安全联盟Star Level 2、ISO 9001、27001、27017、27018、PCI DSS Level 1和SOC 1、2和3标准。有关AWS认证和合规计划的更多信息,请访问https://aws.amazon.com/compliance/programs

数据位置

客户数据托管在美国AWS的us-east-1中。Sprout Social通过了Privacy Shield认证,可以从欧盟和瑞士传输个人数据,并且符合GDPR。

设施

AWS的数据中心配备了世界级的物理托管能力。建筑物具有温湿度监测和管理,自动检测和排除水,自动检测和扑灭火灾。多种电源、不间断电源(UPS)系统和现场发电机的组合提供了多层备用电源。电信和互联网连接是多余的。没有产品依赖于Sprout Social公司办公室或我们管理的其他设施。

IT安全

额外的安全性应用于信息技术房间和系统,包括强制开门报警、线程和电子入侵检测系统、多因素身份验证和媒体销毁
NIST 800 - 88。

物理安全

数据中心建筑物有严格的物理访问审查和审查。所有的物理通道都有专人全天候监控。所有访问者都需要进行多重身份验证。通过视频监控、入侵检测和访问日志监控系统对未经授权的访问进行持续监控。

基础设施和网络安全

Sprout Social雇佣了专门的安全团队。所有系统都受到全天候监控和警报,以了解安全和操作事件。所有生产系统都部署了基于主机的入侵检测系统(IDS)。

网络控制

我们的私有网络被划分为多个安全区域。这些带来了越来越多的控制级别,接近客户数据。

事件管理和响应

Sprout Social的事件响应计划和程序基于NIST标准。如有必要,所有事件报告都会立即进行调查、报告和补救。响应计划和程序定义了确保过程一致的所有步骤。

扫描

定期扫描系统和应用程序以查找常见漏洞。

静止和传输中的加密

通过公共网络与Sprout Social的应用程序和API进行的所有通信都使用TLS 1.2或更高强制的HTTPS。所有数据都使用AES-256或更高版本加密存储,包括备份。

系统管理

使用了最佳实践,例如最小权限、中央配置管理和严格的主机和网络防火墙策略。服务器会定期自动打补丁,高优先级的补丁会在周期外手动应用。

App 保护

Sprout Social的开发人员每年都会接受安全编码方面的培训。所有的应用程序代码都是由Sprout Employees编写的,并且每个更改都经过同行评审。安全漏洞被及时分类和纠正。

第三方侵彻测试

Sprout Social与多家渗透测试供应商签订合同,每年进行几次测试。根据保密协议,客户可要求提供报告。

DDoS缓解

分布式拒绝服务缓解是通过我们的托管平台提供的。

负责任的披露政策

安全研究人员可以通过Bug Crowd报告漏洞。(链接:https://bugcrowd.com/sproutsocial).了解更多有关我们的政策//m.quick-r.com/responsible-disclosure-policy

员工&内部IT

除了开发人员接受安全编码培训外,所有员工还参加年度一般安全和数据隐私培训。网络钓鱼演习是定期进行的,并根据行业基准进行衡量。

信息安全政策和标准

Sprout Social有一套全面的政策和标准,涵盖安全和隐私的各个方面。作为雇佣条件的一部分,所有员工都必须确认保护客户数据的责任。

安全支持协议

当对客户帐户进行敏感操作时,我们世界级的支持团队遵循安全团队设计的网络钓鱼和抗威胁协议。

办公室

斯普劳特社交公司的办公室由钥匙卡进入。对办公网络进行划分,集中监控,并通过防火墙和入侵防御设备进行保护。我们的产品不依赖于我们公司的办公室或我们管理的其他设施。

设备

所有Sprout Social设备都带有资产标签,并通过中央移动设备管理(MDM)解决方案进行管理。

端点

员工工作站的安全与硬盘加密,防病毒和先进的恶意软件检测与中央管理和控制。

背景调查

所有能接触到客户数据的新员工在入职前都要接受犯罪记录和背景调查。

业务连续性

就像我们的产品托管一样,虽然Sprout Social在世界各地都有实体办公室,但我们业务的持续运营并不依赖于这些办公室。我们的产品、客户服务和整体业务运营能够不受办公室物理事故或问题的影响。在COVID-19(冠状病毒)大流行期间,Sprout Social过渡到全远程工作,没有延迟或中断,确保了对客户服务的连续性。我们的团队配备了基于云的工具和远程访问与协作解决方案,并每天使用这些工具。

产品安全特性

多因素认证(MFA)

帐户所有者和管理员可能要求他们的用户利用这个额外的安全层。Sprout Social支持谷歌Authenticator等应用程序,这些应用程序实现了基于时间的一次性密码算法(TOTP)或基于hmac的一次性密码算法(HOTP)来生成密码。

安全凭据存储

帐户密码使用最新的强大算法和方法进行加密和散列,这些算法和方法定期进行审计。没有人,包括我们的员工,可以看到它们。如果您丢失了密码,则无法恢复,必须重新设置。

强力保护

除了计算上具有挑战性的哈希之外,我们的身份验证服务还实现了额外的速率限制保护和ReCAPTCHA。

审批工作流

帐户所有者和管理员可以限制审批工作流背后的某些活动。这使得任务可以在一个团队中进行分配,中央决策者可以安心地审查和控制面向公众的行动。

知识产权限制

Sprout Social可以配置为限制来自特定IP范围的应用程序和API访问。

单点登录(SSO)

Sprout Social为利用此身份验证服务的组织提供SAML 2.0单点登录(SSO),为员工提供一组登录凭据来访问多个应用程序。我们的工程团队与客户合作,实现跨web和移动的自定义SSO集成。

电子邮件签名

Sprout Social实施发件人策略框架(SPF)和域名密钥识别邮件(DKIM),以确保我们发送的电子邮件经过身份验证,即来自Sprout Social,有助于防止欺骗并确保真实性。

访问权限

帐户所有者和管理员可以通过对帐户上的用户应用粒度控制来限制对概要文件、功能、操作(包括读和写)和其他数据的访问。

全球发布暂停

在危机时刻,您的团队可以访问一个按钮,暂时禁止任何自动计划和排队的消息从Sprout Social发送。这可以通过我们的网页和移动应用程序访问。

合规和认证

SOC 2类型2

2019年12月,Sprout Social获得了SOC 2 Type 2合规性的独立认证,自那以后,我们的年度合规性一直保持不变。

欧盟-美国和瑞士-美国隐私盾

Sprout Social持有美国商务部建立的关于从欧洲经济区和/或瑞士向美国转移个人数据的框架下的隐私盾认证

CSA STAR一级

Sprout Social是云安全联盟(CSA)的成员,CSA是世界领先的独立组织,致力于为云服务提供商定义最佳实践。本着透明的精神,斯普劳特提供了以下是客户对云提供商的常见问题的回答

网络生活必需品

Sprout Social拥有整个公司的Cyber Essentials认证。在英国政府和业界的支持下,Cyber Essentials计划评估组织针对常见网络威胁的安全控制。作为一家认证机构,Sprout Social有资格投标涉及处理某些敏感和个人信息的英国政府合同。

一般数据保护条例(GDPR)

根据《通用数据保护条例》(General data Protection Regulation), Sprout Social作为个人数据的数据控制者和数据处理者,符合GDPR规定。

加州消费者隐私法

Sprout Social符合CCPA标准,为加州消费者提供了更多关于他们的个人信息收集的控制权。

支付卡行业(PCI)遵从性

Sprout Social符合PCI SAQ-A标准。支付交易外包给符合PCI-DSS Level 1的第三方支付处理器。

皇冠商业服务(CCS)供应商

Sprout Social是一家云软件供应商通过皇冠商业服务(CCS)的G-Cloud 12数字市场。G-Cloud采购框架帮助英国公共部门的客户找到和购买云服务,了解每个供应商都经过了CCS的审查。

官方社交媒体合作

Sprout Social被公认为Twitter, Facebook, Instagram, LinkedIn, Pinterest和谷歌My Business的官方合作伙伴。