Webflow Security White Paper (by Tenten)

• 資通系統防護基準表
1. 存取控制 > 帳號管理 "包含帳號之申請、建立、修改、啟用、停用及刪除之程序。" ：希望能補充此流程的截圖。
2. 存取控制 > 遠端存取 "應採用加密機制。" ：加密機制截圖
3. 事件日誌與可歸責性 > 紀錄事件 "訂定日誌之記錄時間週期及留存政策，並保留日誌至少六個月。"：畫面截圖
4. 營運持續計畫 > 系統備份 "執行系統源碼與資料備份。"：擷取備份畫面 or 擷取合約條文

Overview

• 首先必須要了解這次 TCCF 專案我們不是用傳統的網站 CMS 的建構方式, TCCF 的網站是建構在目前估值達 40 億美金的 No Code Startup: Webflow SaaS 上, 所以這次的 TCCF 網站並沒有實體主機或是傳統的實體資料庫。這部份都是由 Webflow 做統一做安全管理而它們的 SLA 以及都有通過 符合ISO 27001和CIS關鍵安全控制等甚至更新的行業標準, 想了解更多細節可以參考其完整的 Security Whitepaper

存取控制 > 帳號管理

• 帳號之申請: 由 Leila ([email protected]) 統一提出申請, 我們會寄出擁有 CMS Editor 權限用戶 Email, 由用戶自行設定密碼, 而密碼需有標準的高安全性規範如大小寫與字符。之後用戶的重設密碼都統一由他們直接在 Webflow 上透過 Email 認證操作

存取控制 > 遠端存取

• 這是 TCCF 的後台介面 → 加密機制截圖

• CMS Editor

• 憑證格式 - Amazon Root CA/ 2046bit

事件日誌與可歸責性 > 紀錄事件

• Log and Backup 截圖, Webflow 會在每次站點發佈後做一次 Backup archive, 保存一年以上

營運持續計畫 > 系統備份

• 擷取備份畫面