本文介绍云消息队列 RocketMQ 版有哪些安全合规资质,并提供合规证书下载地址。
阿里云云消息队列 RocketMQ 版作为云消息队列 ApsaraMQ 全系列产品之一,积极践行产品质量、技术服务、稳定性、安全、合规等方面的内外部标准,在云平台中开展第三方权威机构测评与验证,并希望通过这些安全合规资质认证结果,为云上客户及组织高效满足所在地区和相关行业的安全合规要求提供有力支持。
以下为涵盖本产品的主要安全合规资质:
资质认证 | 说明 |
定义了 IT 服务管理系统的开发、实施、监控、维护和改进的要求,覆盖服务级别管理、事件与问题管理、变更管理、可用性管理、关系管理、配置与发布管理等内容。阿里云通过该认证旨在确保提供的技术服务及支持能够满足业务需求,并通过标准化流程提高服务质量、客户满意度以及运营效率。 | |
核心原则是以客户为中心,强调识别、管理和优化关键业务流程,提高效率和有效性,涵盖了从确认需求、设计、研发、测试、销售到交付前全过程的策划、实施、监控、纠正与改进活动。阿里云通过该认证旨在建立系统化、标准化的产品与服务质量管理流程,以及持续改进的方式,保证产品的全生命周期管理符合要求,减少缺陷和错误,提高客户满意度。 | |
国际上广泛认可的通用信息安全管理框架之一,帮助企业设计并实施一套涵盖安全组织、人员安全、物理安全、安全技术的管理体系及控制措施。阿里云通过该认证旨在有效管理物理安全、网络安全、应用安全、数据安全、供应安全风险,保护信息资产,提高业务的安全性和合规性。 | |
提供了建立、实施、维护和持续改进业务连续性管理体系的管理框架,以应对中断事件并确保关键业务功能在危机中能够迅速恢复。阿里云通过该认证旨在运用系统化的方法识别潜在威胁,制定预防和响应措施,并完善应对技术故障、网络攻击或其他事件的方案,在突发事件中快速恢复关键业务能力,通过有效的业务连续性管理,践行对客户和利益相关者的责任。 | |
为云服务的安全管理提供了一套系统化的框架,基于 ISO/IEC 27001 信息安全管理体系和 ISO/IEC 27002 信息安全控制实践指南,向云服务提供商和云服务用户提供了额外的控制措施和指南。阿里云通过该认证旨在增强云环境特有的控制措施,如虚拟机安全、数据隔离、云服务终止后的数据保护等,在云环境中有效管理信息安全风险。 | |
CSA STAR 是由云安全联盟推出的全球性云安全认证和评估计划,结合了 ISO/IEC 27001 信息安全管理体系标准和 CSA 的云控制矩阵,为云服务提供商和云服务用户提供透明、可信的云安全评估框架。阿里云通过该认证旨在从基础设施安全、网络安全、应用安全、数据安全、隐私保护、合规性、风险管理等多个领域对云产品与服务进行安全性和合规性评估、改进与认证。 | |
ISO 27701是对ISO 27001信息安全管理和ISO 27002安全控制的隐私扩展,将隐私保护的原则、理念和方法融入到信息安全保护体系中,涵盖隐私风险管理、主体权利保障、共享与传输、隐私设计、透明性要求、事件响应与处置等要求。阿里云通过该认证旨在建立、实施、维护和持续改进隐私安全管理体系与控制,不断增强隐私信息处理的合规性。 | |
该标准专门针对云服务提供商(CSP)在处理个人可识别信息(PII)时的隐私保护要求,增强公共云环境下的数据安全和客户信任。阿里云基于 ISO 27002 信息安全控制实践指南,实施了一套额外的个人信息保护控制措施,强调最小必要、用户控制权和数据主体同意等,在处理客户PII时严格遵守隐私保护原则。 | |
为个人信息管理体系提供了一个参考欧盟GDPR原则的最佳实践框架,是实现隐私保护目标的重要工具,帮助组织在个人信息的收集、存储、处理、共享和销毁等全生命周期中实施合规和可靠的管理措施。阿里云通过该认证旨在建立标准化的管理体系,减少数据泄露、滥用的风险,对于提升隐私管理水平、增强客户信任和满足合规要求具有重要意义。 | |
是针对合规管理体系的认证标准,通过识别和评估合规风险,建立、实施、维护和改进合规管理体系与流程,以确保组织在运营过程中遵守适用的法律法规、行业标准和内部政策。阿里云通过该认证旨在提高内部合规管理效率和透明度,形成合规文化,增强内外部相关方对合规工作的高度重视与参与。 | |
PCI DSS 支付卡行业数据安全标准 (Payment Card Industry Data Security Standard),由 PCI SSC (支付卡产业安全标准委员会)开发并维护,针对保护账户数据的技术和操作要求提供了统一的基准以及具体管控要求,包含安全管理体系、网络安全、物理安全、数据加密等多个方面。阿里云以云服务提供商的角色,主动践行行业标准,在数据环境中积极承担云平台侧的安全责任,并通过云产品与服务协助客户构建安全的云上数据环境。 | |
国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。阿里云坚持突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,每年由第三方权威机构对阿里云公共云的数据及开发服务平台(PaaS)进行网络安全等级保护测评,开展安全建设与整改,落实安全责任,满足国家网络安全保护要求。 | |
可信云评估是我国针对云计算服务和软件的专业评估体系,由中国信息通信研究院组织实施,核心目标是建立云服务商的评估体系,为用户选择安全、可信的云服务商提供支撑,提升服务质量和诚信水平。阿里云通过云服务用户数据保护能力验证,从事前防范、事中保护、事后追溯三个阶段,符合数据持久性、数据私密性、数据迁移安全性、入侵防范、服务可审查性等评估要求。 | |
可信云评估是我国针对云计算服务和软件的专业评估体系,由中国信息通信研究院组织实施。阿里云通过云计算安全责任共担能力验证,在《云计算安全责任共担能力要求》标准的基础上,符合责任分配模型、安全能力支撑、服务协议透明度等维度的测评。 | |
SOC(System and Organzation Controls)报告是一系列由美国注册会计师协会(AICPA)制定的审计标准,旨在评估服务组织(如云服务提供商、数据中心和IT服务公司)的控制措施有效性。阿里云SOC报告是由独立第三方审计师出具的独立审计报告,向客户及其审计师详细说明了阿里云内部控制机制的有效性。SOC报告分为三种类型:
|