Confirm使用Auth0进行认证。Auth0是一个身份管理平台，允许用户使用他们的谷歌、LinkedIn、Facebook或其他账号进行快速认证。Auth0通过了ISO27001、ISO27018、SOC 2 Type II、HIPAA BAA、EU-US Privacy Shield Framework、Gold CSA STAR和PCI DSS认证标准。你可以在他们的安全概述中了解更多关于Auth0的安全性。

由于Confirm使用Auth0进行认证，因此当你在我们的平台上创建账号时，我们不会收到或存储你的密码。

所有Confirm员工都通过了严格的背景调查，这是雇佣条件之一。所有Confirm员工账号都受到双因素认证的保护。所有员工的电脑都启用了全磁盘加密。所有员工的电子邮件账号都受到双因素认证的保护。

Confirm使用256位SSL加密保持银行级别的数字安全性。这包括OCSP装订和HTTP严格传输安全。

我们利用亚马逊网络服务（AWS）来托管我们的服务器和数据。AWS为其数据中心提供了一整套合规证书，包括完整的SSAE 16（SOC 1、SOC 2和SOC 3）合规性。我们的服务器实例被托管在一个虚拟私有云中，只使用位于美国的数据中心。所有对我们生产系统的直接访问均受到公钥加密和双因素认证的保护。

我们的文件，包括你上传的文件，都托管在AWS的存储服务上。文件是用AES-256加密的，并在美国境内备份。所有的数据库都存储在加密的静态文件系统上，使用AES-256加密，并使用至少每年轮换一次的私人密钥。所有的数据库查询和流量都只通过SSL安全连接进行。

Confirm网站只通过SSL提供服务以保证网站流量的安全，不启用SSL 2和SSL 3等不安全的协议。Confirm利用CloudFlare来防范拒绝服务和其他常见攻击载体。

Confirm使用Stripe进行信用卡交易。当你在Confirm网站上进行购物交易时，Stripe持有实际的信用卡信息；Confirm无法访问信用卡号码。你可以在他们的安全概述中阅读关于Stripe的安全性和PCI合规性的更多信息。

Confirm聘用的工程师都曾在其他安全和可用性关键领域工作过，包括医疗保健和金融技术。所有的技术和软件更改都要经过同行评审流程和一系列自动验收测试。

Confirm会竭力全力积极响应客户支持需求。你可以随时联系我们：[email protected]。

如果你认为你在Confirm内发现了一个漏洞，或者你是对此领域感兴趣的安全研究人员，请通过[email protected] 联系我们。请提供尽可能多的详细信息，包括重复或证明的步骤。