安全与合规性报告
ClickHouse Cloud 评估我们客户的安全和合规需求,并根据请求不断扩展该计划。如需更多信息或下载报告,请访问我们的 Trust Center。
SOC 2 Type II(自 2022 年起)
系统和组织控制(SOC)2 是一份报告,专注于安全性、可用性、机密性、处理完整性和隐私标准,这些标准包含在适用于组织系统的信任服务标准(TSC)中,并旨在向依赖方(我们的客户)提供关于这些控制的保证。ClickHouse 与独立外部审计师合作,每年至少进行一次审计,涉及 ClickHouse Cloud 的安全性、可用性、机密性和处理完整性。
ISO 27001(自 2023 年起)
国际标准组织(ISO)27001 是一项国际信息安全标准。它要求公司实施信息安全管理系统(ISMS),包括管理风险的流程、创建和传达政策、实施安全控制和监控,以确保组件保持相关和有效。ClickHouse 进行内部审计,并与独立外部审计师合作,在证书颁发后的两年内进行审计和中期检查。
美国数据隐私框架(自 2024 年起)
美国数据隐私框架旨在为美国组织提供可靠的机制,从欧洲联盟/欧洲经济区、英国和瑞士向美国转移个人数据,确保符合欧盟、英国和瑞士法律 (https://dataprivacyframework.gov/Program-Overview)。ClickHouse 自我认证该框架,并已被列入 数据隐私框架名单。
HIPAA(自 2024 年起)
HIPAA is available in the Enterprise plan. Contact support to enable this feature.
客户必须完成商业合作伙伴协议(BAA),并联系销售或支持以将服务引入 HIPAA 合规区域以加载电子保护健康信息(ePHI)。此外,客户应审查我们的 共享责任模型,并选择和实施适合其用例的适当控制措施。
1996 年的健康保险流通与问责法(HIPAA)是一项专注于保护健康信息(PHI)管理的美国隐私法。HIPAA 有多个要求,包括 安全规则,专注于保护电子个人健康信息(ePHI)。ClickHouse 已实施行政、物理和技术保障措施,以确保储存在指定服务中的 ePHI 的机密性、完整性和安全性。我们计划在 2025 年中期将 HIPAA 加入我们的 SOC 2,以提供对我们的合规程序的外部保证。
PCI 服务提供商(自 2025 年起)
HIPAA is available in the Enterprise plan. Contact support to enable this feature.
客户必须联系销售或支持以将服务引入 PCI 合规区域以加载持卡人数据。此外,客户应审查我们在 Trust Center 提供的 PCI 责任概述,并选择和实施适合其用例的适当控制措施。
支付卡行业数据安全标准(PCI DSS) 是由 PCI 安全标准委员会创建的一套规则,用以保护信用卡支付数据。ClickHouse 已接受 qualified security assessor (QSA) 的外部审计,并成功通过与存储信用卡数据相关的 PCI 标准的合规报告(ROC)。如需下载我们的合规证明(AOC)和 PCI 责任概述,请访问我们的 Trust Center。
隐私合规性
除了上述项目,ClickHouse 还维护内部合规程序,以应对通用数据保护条例(GDPR)、加利福尼亚消费者隐私法(CCPA)和其他相关隐私框架。有关 ClickHouse 收集的个人数据、其使用方式、保护方式和其他隐私相关信息的详细信息,请参见以下位置。
法律文件
处理地点
附加程序
付款合规性
ClickHouse 提供了一种安全的信用卡支付方式,符合 PCI SAQ A v4.0。