安全与合规报告
ClickHouse Cloud 不断评估客户的安全和合规需求,并在收到更多报告请求时不断扩展该计划。有关更多信息或下载报告,请访问我们的信任中心。
SOC 2 二类 (自 2022 年起)
系统和组织控制 (SOC) 2 是一份侧重于安全、可用性、机密性、处理完整性和隐私标准的报告,这些标准包含在应用于组织系统的信任服务标准 (TSC) 中,旨在为依赖方(我们的客户)提供关于这些控制的保证。ClickHouse 与独立的外部审计师合作,每年至少进行一次审计,以解决 ClickHouse Cloud 的安全、可用性、机密性和处理完整性问题。
ISO 27001 (自 2023 年起)
国际标准化组织 (ISO) 27001 是信息安全方面的国际标准。它要求公司实施信息安全管理体系 (ISMS),其中包括管理风险、创建和传达策略、实施安全控制以及进行监控以确保组件保持相关性和有效性的流程。ClickHouse 进行内部审计,并与独立的外部审计师合作,在证书颁发之间的两年内进行审计和临时检查。
美国 DPF (自 2024 年起)
美国数据隐私框架旨在为美国组织提供可靠的机制,以便从美国向欧盟/欧洲经济区、英国和瑞士转移个人数据,这与欧盟、英国和瑞士法律一致(https://dataprivacyframework.gov/Program-Overview)。ClickHouse 已自行认证该框架,并列在数据隐私框架列表中)。
HIPAA (测试版)
在 GCP 中,支持 HIPAA 的服务处于测试阶段,并且仅适用于**专用**服务类型。入职需要业务关联协议 (BAA)。有关更多信息,请联系支持。
1996 年的健康保险可携性和责任法案 (HIPAA) 是一项以美国为基础的隐私法,侧重于受保护健康信息 (PHI) 的管理。HIPAA 有若干要求,包括安全规则,该规则侧重于保护电子个人健康信息 (ePHI)。ClickHouse 已实施管理、物理和技术保障措施,以确保存储在指定服务中的 ePHI 的机密性、完整性和安全性。我们计划在 2025 年初将 HIPAA 添加到我们的 SOC 2 中,以提供我们合规计划的外部保证。
希望将 ePHI 加载到服务的客户应查看我们的共享责任模型,以审查、选择和实施适合其用例的适当控制措施。
隐私合规
除了上述内容外,ClickHouse 还维护着内部合规计划,以解决通用数据保护条例 (GDPR)、加州消费者隐私法案 (CCPA) 和其他相关的隐私框架。有关 ClickHouse 收集的个人数据、如何使用、如何保护以及其他与隐私相关的信息的详细信息,可以在以下位置找到。
法律文件
处理位置
其他程序
支付合规
ClickHouse 提供了一种安全的信用卡支付方式,符合PCI SAQ A v4.0。