信任与保证保持您数据的安全是我们的优先事项。

安全是我们企业精神的核心。我们的产品旨在保护所有客户数据的机密性、完整性和可用性。

信任 Tenable 可为您的数据安全和隐私提供保护

我们的产品可保护您的隐私，赋予您控制数据的能力。建立在安全和合规的云上，成千上万的客户信任 Tenable 及其提供的漏洞数据。

数据安全

Tenable 致力于保护所有客户数据的机密性，完整性和可用性。Tenable.io 数据在传输和存储时均使用安全行业和标准组织推荐的现代密码和方法进行加密。多种确保安全性的网络控制、访问控制和容器隔离均内置于我们产品的每个方面，以保护您的数据。

加密

Tenable.io 数据在传输中和存储中均采用 TLS 加密密码和 AES-256 进行加密。加密应用于各种应用程序基础设施层，而且这些安全存储的加密密钥具有高度访问限制。

访问权限控制

Tenable 使用多种机制来帮助客户控制数据访问权限，包括 5 次登录尝试失败后的帐户锁定、SAML 和双因素身份验证。此外，还可以通过 API 密钥对访问权限进行控制。

网络控制

Tenable 云平台建立在隔离的专用网络上，并使用多种网络控制机制，例如容器隔离、入站/内部流量限制、监控多个网络点的流量速率、来源和类型。

定期安全评估

除利用 Tenable Research 团队和第三方进行定期安全评估外，Tenable 还经常执行漏洞、Docker 容器和 Web 应用程序扫描。

数据隐私

我们的优先事项之一是确保只有客户才能访问其数据，并防止任何非客户或危险分子访问、披露或违反 Tenable 云平台中所存储数据的隐私和保护规则。PII 数据是通过使用 SHA-256 的单向加盐散列进行匿名化处理。此外，我们的产品使用多个数据访问控制和数据本地化，旨在保护您的数据并帮助您符合隐私义务。

数据匿名化

Tenable 云不会收集扫描数据或 PII 数据。在使用 SHA-256 进行单向加盐散列提取数据之前，所有可能识别客户身份的数据都进行匿名化处理。

数据访问权限

Tenable 采用多种数据访问控制机制，包括帐户锁定、双因素身份验证和 SAML。对经过匿名处理的数据进行访问仅限于 Tenable Research 团队，并通过集中式目录系统进行控制。

数据本地化

客户扫描数据的收集和处理都在客户所在地区进行。结果经过匿名化处理，然后与类似数据一起汇集在我们的分析平台中。

认证和保证

Tenable 产品符合多个认证，包括 ISO 27001、NIAP 和隐私盾框架 (Privacy Shield Framework)，帮助您浏览您的合规性并确保在云中拥有强大的安全保证。Tenable 也是 CSA STAR 计划的成员之一。

云安全联盟 (CSA) STAR

Tenable 是 CSA STAR 计划的成员之一。CSA STAR 是业界最强大的云安全保障计划。要查看 Tenable.io 的安全访问机制，请访问 CSA 网站。

Privacy Shield Framework

Tenable 已通过 Privacy Shield Framework 认证，并在将个人数据从欧盟和瑞士传输到美国时遵守所有数据保护要求。

ISO 27001

Tenable 的 ISO/IEC 27001:2013 认证涵盖 ISMS，它支持 Tenable 的法务领域、人力资源、信息技术、软件开发、最高管理层和客户支持职能。详细信息可在 Schellman 证书目录中公开提供

国家信息保障合作伙伴计划

Tenable 的 Tenable.sc、Nessus Manager、Log Correlation Engine (LCE)、Nessus Network Monitor 和 Nessus Agent 产品均获取了 NIAP 认证。

服务可用性

Tenable 提供业界首创的 99.95% 正常运行时间保证，确保您的服务永不停歇。Tenable 实施和强制执行确保 Tenable 服务高度可用、防范攻击或简单错误和停机的措施，让我们的客户随时可用。

保证正常运行时间

Tenable 通过强大的 SLA 提供 99.95% 的正常运行时间保证，如果未达到 SLA，则会提供服务积分。

高可用性

Tenables 使用 AWS 平台和其他领先技术，确保为客户提供高可用性。Tenable 使用容错和冗余组件，确保客户以最少的停机时间获得最佳的服务。

安全的软件开发

Tenable 拥有专门的团队来推动安全的软件开发生命周期 (SSDLC)。他们会使用自动化的安全测试识别源代码、依赖关系和底层基础设施中的潜在漏洞，确保我们能够按时交付安全、高质量的产品。

治理

Tenable 的 SSDLC 团队可确保遵循我们流程中的安全控制机制，并使用自动化的安全测试来识别潜在漏洞。在向我们的客户发布产品前，所有测试必须符合严格的评分标准。

静态应用程序安全测试 (SAST)

Tenable 会分析应用程序源代码中的错误、技术负债和漏洞，确保我们产品的安全和质量。

依赖关系与第三方库扫描

Tenable 能够分析项目依赖关系，以确定漏洞和许可问题。

动态应用程序安全测试 (DAST)

Tenable 会定期针对我们的产品运行自动化 Web 应用程序扫描，以提早发现开发过程中的错误、漏洞利用和漏洞。

Container Security

对所有容器映像执行漏洞评估以检测在给定容器上运行的任何有漏洞的软件。严格的评分要求会在所有问题都得到解决前，不会交付有漏洞的容器。

代码标准和基于角色的访问权限控制

Tenable 的基准源代码控制标准符合认证要求和行业最佳实践。这些标准包括：对等代码审查、基于角色的访问控制、最低特权、代码和存储库所有权、职责分离等。

漏洞管理

作为漏洞管理解决方案的领先提供商，Tenable 利用其平台执行内部扫描并分析笔记本电脑、基础设施和云环境中的漏洞。

特色产品

查看所有产品

参阅 Tenable
实际应用案例

“我们深入研究了各种解决方案。Tenable 是当然之选。” Matt Ramberg，Sanmina 信息安全部门副总裁

信任与保证 保持您数据的安全是我们的优先事项。