Databend Cloud 通过 SOC 2 和 GDPR 认证，助力用户实现数据安全与隐私保护的双重保障

随着数字化时代的到来，数据已经成为企业最重要的资产之一。而随着数据使用的日益广泛，如何确保数据的安全性和隐私保护，也成为了全球企业面临的共同挑战。为了应对这一挑战，我们非常高兴地宣布，Databend Cloud 平台近日通过了两项国际权威认证——SOC 2 和 GDPR认证，这一重要进展不仅意味着Databend Cloud 在数据安全与隐私保护方面迈出了坚实的步伐，也进一步增强了全球客户对平台的信任。

Databend Cloud 是基于开源云原生数据湖仓项目 Databend 打造的一款新一代大数据分析平台，具备极速的弹性扩展能力和按需、按量的 Data Cloud 产品体验。作为一个使用 Rust 开发、基于对象存储架构设计的数据湖仓产品，Databend 致力于通过技术创新，为全球用户提供更加高效、低成本和高性能的云数据湖仓解决方案。自发布以来，Databend Cloud 已成功替代了多个传统数据仓库解决方案，包括 Snowflake、Redshift、BigQuery、GreenPlum、ClickHouse 和 CDH 等，帮助不同行业的客户，特别是在游戏、金融、广告、电商等领域，实现在大数据处理上的降本增效。

数据安全与隐私保护：Databend 的核心承诺

作为一家全球化公司，Databend 自创立以来，始终将数据安全与隐私保护视为平台发展的核心目标之一。SOC 2 和 GDPR 认证是为确保数据安全与隐私保护提供有力保障的两项重要合规标准。企业在选择数据仓库和云服务平台时，是否具备这两项认证已经成为决策的关键因素。

SOC 2 认证：国际公认的数据安全标准

SOC 2 认证由美国注册会计师协会（AICPA）制定，是全球公认的数据安全评估标准，主要评估服务提供商在数据保护、隐私、可用性、处理完整性和机密性等方面的管理能力。SOC 2认证为客户提供了有力的证据，证明服务商已通过独立审计，采取了合适的技术和管理措施来保障数据安全性。SOC 2认证分为I型报告和II型报告，后者审查周期更长，标准更严格。

GDPR 认证：全球最严格的数据隐私法规

GDPR 是欧盟于 2018 年实施的一项数据隐私与安全法规，旨在保护个人数据的隐私权，并对数据处理和存储行为进行规范。GDPR 为企业提供了全球最严格的隐私保护标准，尤其对于面向欧盟市场的企业来说，GDPR 合规是法律强制要求，确保数据的处理和跨境传输符合法规规定，避免企业面临高额罚款。

完成认证的关键措施：简化审计流程，确保合规

Databend 通过 SOC 2 Type II 认证的顺利完成，并非偶然，主要得益于公司在合规性和安全架构方面的提前准备以及透明的第三方审计流程。我们采取了以下三项关键措施，有效简化了整个审计流程：

1. 提前实施控制措施和政策 在启动正式审计之前，公司便已构建起一套合规架构，通过提前部署各项核心控制措施，为后续的审计工作打下了坚实基础。数据安全方面，Databend 实现了静态数据和传输过程中的加密，并配备了完善的密钥管理系统和多区域副本存储架构，确保数据的安全性和持久性。同时，在代码治理上，企业在 GitHub 等工具中配置了严格的分支保护策略和代码审核制度，通过强制 PR 审查、静态代码扫描以及自动化部署流水线，有效降低了潜在的代码风险。此外， Databend 还提前准备了涵盖岗位职责、风险管理报告以及人力资源法律文件在内的完整组织治理文档，为整个合规流程提供了明确的业务支撑和监管依据。
2. 使用合规自动化平台 为简化合规流程，Databend 选用了 Vanta 作为合规自动化平台，构建了一套全面的智能合规管理体系。借助该平台，不仅可以实现实时监控和可视化展现审计控制点达标率，还能自动映射标准合规框架、生成整改计划以及对接内部系统自动创建工单，从而大幅减少手动工作的投入。平台通过自动化收集和整理证据，使得整个审计周期中的资料准备更加高效和准确。而且，Vanta 还提供了丰富的资源，如安全策略模板和定制化安全培训模块，帮助公司快速响应和解决合规过程中出现的问题，确保所有措施都能达到 SOC 2 Type II的严格要求。
3. 借鉴前人的经验 在审计过程中，Databend 借鉴了其他成功通过 SOC 2 审计的公司经验，提前确认了审计日期，确保审计流程的顺利进行。通过与审计公司签订合同后不到一周，我们就开始与审计人员进行讨论，提前准备并顺利推进了整个过程。

## 数据安全架构：多重技术保障用户隐私

除了获得 SOC 2 和 GDPR 认证，Databend Cloud 还从访问控制、数据加密、网络策略、密码策略、合规性等方面构建了全方位的安全体系：

访问控制

• RBAC + DAC 模型：Databend 采用角色基访问控制（RBAC）和自主访问控制（DAC）相结合的模型，实现灵活且细粒度的访问控制功能。
• 掩码策略：掩码策略是一种规则和设置，用于控制对敏感数据的显示或访问，确保数据保密性，同时允许授权用户与数据进行交互。

网络策略

• 网络策略配置：Databend 的网络策略是一种配置机制，用于管理和强制执行系统内用户的网络访问控制。它允许定义特定用户的允许和阻止的 IP 地址范围的规则，有效控制他们的网络级访问。
• AWS PrivateLink：PrivateLink 通过 VPC 对等连接提供增强的网络安全，客户可以使用 VPC 端点发起与 Databend 云集群的连接，还可以通过安全组进行配置，创建信任边界并控制对端点的访问。目前，此功能仅在 AWS 上可用。

密码策略

• 密码策略功能：Databend 包含密码策略，以增强系统安全性和简化用户账户管理。该策略为创建或更改密码设置规则，涵盖长度、字符类型、年龄限制、重试限制、锁定持续时间和密码历史等方面。

加密措施

• TLS 1.2：Databend 提供端到端加密，所有客户数据流仅通过 HTTPS 进行。客户端到 Databend API 网关的连接使用 TLS 1.2 加密。
• 存储加密：Databend Enterprise 支持 OSS 中的服务器端加密。此功能使您能够通过激活 OSS 中存储数据的服务器端加密来增强数据安全性和隐私。您可以选择最适合您需求的加密方法。

## 未来展望：持续提升安全标准与合规性

通过获得 SOC 2 和 GDPR 认证，Databend Cloud 能够在全球范围内为客户提供安全、合规的云数据湖仓解决方案。虽然完成认证是一个重要的里程碑，但我们深知数据安全是一个不断持续的过程。Databend 将继续加强数据安全与隐私保护的技术措施，并推动数据管理和大数据分析的发展，助力企业实现数据驱动的业务转型。

如需了解更多信息，请访问 https://databend.cn/ 或关注 Databend 官方订阅号联系官方团队。

关于 Databend

Databend 是一款开源、弹性、低成本，基于对象存储也可以做实时分析的新式湖仓。期待您的关注，一起探索云原生数仓解决方案，打造新一代开源 Data Cloud。

👨‍💻‍ Databend Cloud：databend.cn

📖 Databend 文档：docs.databend.com

💻 Wechat：Databend

✨ GitHub：github.com/databendlab…