Neo4j 云安全

信息安全计划

Neo4j 维护一个信息安全计划，该计划具有全面的组织和技术措施，这些措施基于业界公认的安全和合规框架，确保存储在 Neo4j Aura 中的客户数据的安全。

认证和合规

作为一家 ISO 27001 认证机构，Neo4j 致力于安全和合规，并遵循行业和国际公认的框架。Neo4j 符合 SOC 2 Type II 标准。

数据隐私

Neo4j 认真对待用户个人数据的隐私，并在我们的所有服务中遵守数据保护法律和法规，例如欧盟通用数据保护条例 (GDPR) 和加利福尼亚州消费者隐私法 (CCPA)。

我们的隐私政策位于 https://neo4j.ac.cn/privacy-policy/，我们的数据保护官 (DPO) 可以通过 dponeo4j@neo4j.com 联系。

共同责任

云安全需要所有参与方参与安全流程。Neo4j 利用信誉良好的第三方云服务提供商来提供可靠的商品基础设施和服务。在此基础上，Neo4j 使用安全开发和部署实践，在此可靠的基础设施上开发和实施 Aura 服务。然后，客户负责其 Aura 实例的帐户安全、数据安全和访问管理。

可信基础设施

Neo4j AuraDB 运行在 Google Cloud Platform (GCP) 和 Amazon Web Services (AWS) 上，而 Neo4j AuraDS 运行在 Google Cloud Platform (GCP) 上。GCP 和 AWS 的全球规模基础设施和纵深防御安全模型（包括物理、逻辑和技术控制）为 Neo4j AuraDB 和您的关键数据提供了一个可靠的平台。此外，GCP 和 AWS 还维护着各种认证，包括 SOC-2 和 ISO2 27001 等。

有关 GCP 所有合规性产品的完整列表，请访问：https://cloud.google.com/security/compliance

有关 AWS 所有合规性产品的完整列表，请访问：https://aws.amazon.com/compliance/programs/

VPC 隔离¹

您的 Neo4j AuraDB 数据库实例和服务组件部署在具有专用云基础设施的独立虚拟私有云 (VPC) 中。

无处不在的加密

您的数据在传输中和静止时都会被加密。所有网络流量，即使在服务基础设施内部，也使用最新的传输层安全 (TLS) 和相关密码套件进行加密。

存储在 Aura 服务中的数据（包括备份快照）使用高级加密标准 (AES) 在静止状态下进行加密，并使用 GCP 或 AWS 提供的密钥管理（视情况而定）。

基于角色和模式的细粒度访问控制¹

Neo4j AuraDB 支持多个用户和细粒度访问控制，并具有基于角色的访问控制框架。

此外，在图本身中，Neo4j 强制执行基于模式的安全模型，允许数据管理器为用户对图的特定部分进行微调的最小特权访问，以防止数据泄露和其他未经授权的访问。

漏洞管理

Neo4j 在安全漏洞方面支持负责任的披露，并鼓励 Neo4j 用户和独立安全研究人员私下联系我们，报告与我们的产品和托管服务相关的安全漏洞和问题。

要联系我们的安全团队或报告问题，请访问：https://neo4j.ac.cn/security/

供应商管理

Neo4j 已经实施了供应商管理计划，我们的安全团队定期审查供应商和处理者的安全和合规性状况，以保护客户数据或个人信息。

可管理性和可追溯性

Neo4j 会捕获并分析来自其 Aura 服务所有组件的审计和安全日志。这些日志会实时监控安全漏洞，并会存档以供以后根据需要进行审查和分析。

弹性和可靠性

AuraDB 建立在自我监控和自我修复的架构之上。凭借其容错设计，AuraDB 保证高服务可用性保证 99.95% 的高服务可用性保证，¹ 并自动即时从组件或基础设施故障中恢复。此外，Neo4j AuraDB 利用多可用区 (AZ) 基础设施，¹ 自动加密备份，零停机时间系统升级，以及具有多级数据保护的持久存储，以确保您的信息受到保护，并在您需要时可用。

要查看 Neo4j AuraDB 服务的当前状态，请访问：https://neo4jaura.statuspage.io/

白皮书

详细了解 Neo4j Aura 的安全控制和功能，包括数据安全、访问控制以及 Neo4j 的安全策略和实践。

获取白皮书：https://neo4j.ac.cn/whitepapers/neo4j-aura-security/