ONLYOFFICE：完全掌控数据安全

ONLYOFFICE

完全掌控数据安全

我们提供一系列综合性安全工具和服务，全方位确保您的数据安全。现场托管解决方案、加密文档和数据、自定义访问设置、连接验证服务并管理访问权限，保护自己免受未经授权的访问、数据泄漏和内部操纵的侵扰。

遵循数据保护法规

GDPR合规

《通用数据保护条例》（GDPR）的目的是为了保护软件的最终用户并规范公司在同欧盟居民开展业务时处理其信息的方式。 我们尊重用户持有并控制其个人数据的权利，同时在构建产品的过程中，我们也十分注重欧洲法律的合规性。

因此，ONLYOFFICE坚持数据方面的极简主义，我们会帮助用户了解收集、存储以及处理数据的方式。 ONLYOFFICE将为用户提供自由访问、复制、删除、限制或移动任意个人数据的权利。 如果您的企业扮演着数据控制方的角色，同时将ONLYOFFICE提供给终端用户的话，那么您将拥有知晓其数据收集流程并行使关于个人数据相关法律权利的权限。

HIPAA合规

《医疗电子交换法案》（HIPAA）要求任何在医疗保健领域开展治疗、支付和运营工作的组织，以及有权访问其任何数据资产的业务伙伴和分包商，均需根据一套公认的标准来保护敏感的患者数据。 ONLYOFFICE会对静态和传输中的结构化与非结构化数据提供保护，提供数据审计的访问权限，提供数据完整性控制等，以实现HIPAA定义的强制属性并确保客户组织完全符合该法案。

自托管

ONLYOFFICE专为拥有敏感数据和记录的企业而设计，这些企业一旦出现问题，可能会在不同程度上危及客户利益和内部运营。 我们的一系列解决方案可保证您将服务和数据完整保留在自己身边。 硬件方面的保护掌控在您的受众，这样你就可以根据业务标准的要求手动维护其稳定性与可连接性。

我们会向现场部署的客户提供全面的技术支持服务，并会定期进行软件更新。

数据加密

静态加密

对于在基础架构中使用敏感数据的组织来说，静态数据的泄露是最严重的数字安全风险之一。 为保护公司和用户的数据，您可在整体上对ONLYOFFICE实例中的数据主体执行Encrypt-then-MAC类型加密（AES-256-CBC + HMAC-SHA256）。 Aes-256加密类型中使用了CipherMode。CBC对称算法将在门户数据的加密工作中使用，SHA256散列函数与HMAC消息配对验证码则会用于筛选验证加密数据的完整性和真实性。

私密房间

ONLYOFFICE企业版通过私密房间提供了对于机密文件的额外保护。 这是您可用于以时刻加密的方式来存储、编辑和共享文档的空间。 每个文档都将使用随机生成的AES-256密钥自动加密，这些密钥将通过非对称加密方式与授权用户共享。 在私密房间内创建、存储和共享的文件将永远不会离开目录，其无法复制、重新分发或被解密。 文档的加密和解密将仅会在用户的机器上端到端地进行。

数据保护

JWT

JSON Web Token（或JWT）可保护文档免受未经授权的访问侵扰。 该技术可保护门户流量并确保用户无法访问超出授权限制的数据，这在邀请外部用户的情况下尤其重要。

ONLYOFFICE编辑器需要一个包含在识别码中的加密签名。 在初始化文档编辑器时和在内部服务（存储服务、编辑服务、命令服务和转换服务）之间交换命令期间，该识别码将被添加到配置中，从而验证对数据执行特定操作的权限。

HTTPS

ONLYOFFICE允许使用HTTPS协议来加密流量，无论您是否已拥有SSL证书。 上传在服务器上或其base中生成的现有公钥，或在letsencrypt.org上签发新的CA签名证书。

文档权限管理

ONLYOFFICE编辑器会在客户端工作，能够将大部分数据负载转移到单个用户的浏览器中。 此方法允许创建一系列灵活的文档权限类型，其中不仅可包括完全访问权限和仅查看权限，还可包括独占评论、查看或填写表单的权限。 此外还可以限制文档的下载和打印，以阻止内容的进一步分发。

身份验证和门户访问控制

双因素身份验证

在电子欺诈和社会工程时代，我们都很脆弱。 通过移动短信动态密码来提高门户登录的安全性。 如果用户对私人密码保管不当，那么您存储在云或服务器中的机密数据很可能被第三方轻松访问。 不要再冒此风险。

我们整合了Clickatell、SMSC和Twilio服务，无论团队规模和预算水平如何，您都可以在此找到适合自己的SMS包。

此外，您还可以通过代码生成应用（Google Authenticator、Authy等）启用双因素身份验证。

单点登录（SSO）

在传统身份验证基础上选择单点登录，我们将不会存储您的任何登录数据，您可将数据存储在受信任的全局身份验证服务商处。 ONLYOFFICE是服务供应商（SP），第三方应用程序则为身份供应商（IdP）。 身份供应商会对用户身份进行验证，同时谨慎保管登录信息，以最大限度地降低未经授权获取登录数据的风险。

目前，ONLYOFFICE集成了三个IdP来执行单点登录：Shibboleth、OneLogin与AD FS。

访问权限管理

随着业务规模的扩大和数据分类的变化，恶意内部行为的威胁也在不断扩大，因此必须对权利进行区分。

您可以轻松地划分私有门户中的用户组和级别。 可为每个用户或组设置门户模块与数据的访问权限，从而保护特定数据免受不必要的关注和内部操纵。

身份验证过滤和监控

自定义设置登录标准，允许您根据自己所知的信息和关注点来管理身份验证的特定框架。 此外，您还可以手动监控和报告一切活动，从而发现潜在的欺诈或危害。

受信任的邮件域。此选项允许您手动选择注册电子邮件的邮件服务器。 同时也支持自定义邮件域。

密码创建标准。您可以设置最小密码长度，并确定是否必须包含特定字符——大写字母、数字或特殊符号。

Cookie寿命。如果启用此选项，则将在指定时间后自动登出。

IP限制。此设置可将门户访问权限限制在所选的IP上。

登录记录。通过登录记录，您可以查看成功/失败的登录请求和退出登录的完整历史记录。

审计跟踪报告有助于跟踪门户中的用户在何时执行了何种操作。

备份

远程备份可以降低维护成本并节省大量时间，从而实现自动化安全流程。 您可手动或自动将数据备份至ONLYOFFICE文档模块，也可存储至您所选择的位置（DropBox、Box、Google云端硬盘、OneDrive等）或第三方服务（AWS S3、Google Cloud Storage、Rackspace Cloud Storage或Selectel Cloud Storage）中。 如有必要，您还可使用自己的本地驱动进行临时性手动备份。