Neo4j 云安全

信息安全计划

Neo4j 维护一个信息安全计划，其中包含基于行业认可的安全和合规框架的一整套组织和技术措施，确保存储在 Neo4j Aura 中的客户数据安全。

认证与合规

作为一家通过 ISO 27001 认证的组织，Neo4j 致力于遵守行业和国际认可的安全和合规框架。Neo4j 符合 SOC 2 Type II 标准。

数据隐私

Neo4j 非常重视用户个人数据的隐私，并在我们的所有服务中遵守数据保护法律法规，例如欧盟通用数据保护条例 (GDPR) 和加州消费者隐私法案 (CCPA)。

我们的隐私政策位于 https://neo4j.ac.cn/privacy-policy/，您可以通过 dponeo4j@neo4j.com 联系我们的数据保护官 (DPO)。

共享责任

云安全要求所有各方参与安全过程。Neo4j 利用信誉良好的第三方云服务提供商提供可信赖的基础设施和服务。在此基础上，Neo4j 使用安全的开发和部署实践在该可信赖的基础设施上开发和实现 Aura 服务。客户则负责其 Aura 实例的账户、数据和访问管理安全。

可信赖的基础设施

Neo4j AuraDB 运行在 Google Cloud Platform (GCP) 和 Amazon Web Services (AWS 上)，Neo4j AuraDS 运行在 Google Cloud Platform (GCP) 上。GCP 和 AWS 的全球规模基础设施以及物理、逻辑和技术控制的深度防御安全模型，为 Neo4j AuraDB 和您的关键数据提供了可信赖的平台。GCP 和 AWS 还保持着各种认证，包括 SOC-2 和 ISO 27001 等等。

有关 GCP 所有合规产品/服务的完整列表，请访问：https://cloud.google.com/security/compliance

有关 AWS 所有合规产品/服务的完整列表，请访问：https://aws.amazon.com/compliance/programs/

VPC 隔离¹

您的 Neo4j AuraDB 数据库实例和服务组件部署在具有专用云基础设施的独立虚拟私有云 (VPC) 中。

全面加密

您的数据在传输中和静态时都经过加密。所有网络流量，即使在服务基础设施内部，也使用最新的传输层安全 (TLS) 和相关密码套件进行加密。

存储在 Aura 服务中的数据，包括备份快照，使用高级加密标准 (AES) 以及由 GCP 或 AWS（视情况而定）提供的密钥管理进行静态加密。

基于角色和模式的精细访问控制¹

Neo4j AuraDB 支持多个用户和基于角色的访问控制框架提供的精细访问控制。

此外，在图本身内部，Neo4j 实施了一种基于模式的安全模型，允许数据管理员对用户对图的特定部分的最低权限访问进行微调，以防止数据泄露和其他未经授权的访问。

漏洞管理

在安全漏洞方面，Neo4j 支持负责任的披露，并鼓励 Neo4j 用户和独立安全研究人员私下联系我们，报告与我们的产品和托管服务相关的安全漏洞和问题。

要联系我们的安全团队或报告问题，请访问：https://neo4j.ac.cn/security/

供应商管理

Neo4j 实施了一个供应商管理计划，我们的安全团队定期审查我们的供应商和处理商的安全和合规状况，以保护客户数据和/或个人信息。

可管理性和可追溯性

Neo4j 捕获和分析其 Aura 服务所有组件的审计和安全日志。这些日志会持续实时监控是否存在安全漏洞，并进行存档以便后续根据需要进行审查和分析。

弹性且可靠

AuraDB 构建在自我监控和自我修复架构之上。凭借其容错设计，AuraDB 保证 99.95% 的高服务可用性，¹ 并在组件或基础设施故障发生时自动即时修复。此外，Neo4j AuraDB 利用多可用区 (AZ) 基础设施，¹ 自动加密备份，零停机系统升级，以及具有多级数据保护的持久存储，确保您的信息在需要时得到保护并可用。

要查看 Neo4j AuraDB 服务的当前状态，请访问：https://neo4jaura.statuspage.io/

白皮书

了解更多关于 Neo4j Aura 的安全控制和功能，包括数据安全、访问控制以及 Neo4j 的安全政策和实践。

获取白皮书：https://neo4j.ac.cn/whitepapers/neo4j-aura-security/