通过 PCI DSS、TISAX、HIPAA、FedRAMP 等认证赢得各行业的信任

随着数据量的不断增加，世界在技术力量的推动下互联程度越来越高，对于加强敏感信息指导和保护的需求也随之上升。

各行各业的信息安全领导者一直在评估各种新方法，以期通过现代法规和合规性标准来保护客户、企业和公共实体的信息安全。当组织在数据隐私方面缺乏最佳实践和合规性措施（或者由于其他原因导致敏感信息遭到滥用或忽视对敏感信息的保护）时，对业务造成的潜在负面影响逐渐显现：品牌声誉受损，客户忠诚度降低，当然还可能面临高额的罚款和严厉的处罚。

无论是保护医疗信息，保障客户的财务健康，捍卫政府情报安全，还是解决汽车行业的信息共享问题，每个领域之间都有细微的差别需要特别关注。 私营部门和公共部门都已经注意到这一点，并在严格选择符合甚至超过所在行业特定合规性标准的供应商和合作伙伴。

Elastic 的托管式和自管型产品在构建之初就考虑到了安全问题，特地融入了一些精心设计的功能，旨在确保客户和组织的信息安全无虞。我们与众多行业专家和监管委员会密切协作，以严格遵守特定行业的规章制度。我们的服务均经过独立审计，通过一系列认证和证明，确认符合数据安全和隐私方面的隐私和合规性标准。以下列举了 Elastic 认真遵守并引以为豪的几个行业标准：

PCI DSS

Elastic 已获得 PCI DSS 1 级服务提供商认证。

支付卡行业数据安全标准 (PCI DSS) 是支付行业的黄金标准。PCI DSS 由 PCI 安全标准委员会 (PCI SSC) 监管，旨在为接受、传输或存储任何持卡人数据的任何组织提供一套安全标准。这一标准规定，提供商必须维护一个漏洞管理计划，实施强有力的访问控制，定期监测和测试网络，并遵循涵盖技术和操作系统组件的其他标准。有关详情，请继续阅读这篇博文

TISAX

Elastic 是 TISAX 认证的值得信赖的合作伙伴，可在信息安全和数据隐私领域提供“高”级别的保护。

德国汽车工业协会 (VDA) 联合欧洲网络交换所 (ENX) 制定了可信信息安全评估交换 (TISAX) 机制。TISAX 为内部分析、供应商评估和信息交换提供了通用的信息安全评估标准，帮助供应商、厂商、承包商、解决方案提供商、原始设备制造商 (OEM) 和汽车制造商打造了一个可靠的行业生态系统。有关详情，请继续阅读这篇博文

HIPAA

Elastic 始终遵守 HIPAA 标准。

1996 年颁布的《健康保险流通与责任法案》(HIPAA) 是一套美国隐私法和数据标准，用于管控对敏感患者数据的使用。这项法律涵盖的实体包括：医疗保健提供者、健康计划、医疗保健信息交换所和业务伙伴。为了遵守 HIPAA 安全标准，所涵盖的实体必须确保所有受保护的电子健康信息的机密性、完整性和可用性。必须保护数据免遭预期的安全威胁或越轨使用，并且他们的员工必须证明合规性。

FedRAMP

Elastic Cloud 已获得联邦风险和授权管理计划的“中等影响级别”授权。

联邦风险和授权管理计划 (FedRAMP) 为美国云服务产品的安全授权提供了一种标准化的方法。该计划于 2011 年启动，旨在为联邦政府采用和使用云服务提供一种经济高效、风险导向的方法。FedRAMP 根据 FISMA、OMB Circular A-130 和 FedRAMP 政策，对云服务的授权和持续网络安全的安全性要求进行了标准化。

合规只是开始

我们安全团队的从业人员经验丰富，可以跨学科协同工作，全力确保我们的技术和公司拥有卓越的安全性。我们会仔细审查每个供应商和开源项目，以确保他们符合我们所承诺的标准和合规性。此外，我们还与精选的基础架构即服务 (IaaS) 提供商合作，这些提供商会定期接受独立的第三方审计，以确保其服务的安全性。

请详细了解 Elastic 的合规性和行业信息安全标准，例如 CSA STAR、ISAE 3000、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、SOC 2 和 SOC 3。另外，您还可以通过我们的 GDPR 合规性页面确保您的 Elasticsearch 数据符合 GDPR 标准。