Confirm使用Auth0进行认证。Auth0是一个身份管理平台，允许用户使用他们的谷歌、LinkedIn、Facebook或其他账户进行快速认证。Auth0通过了ISO27001、ISO27018、SOC 2 Type II、HIPAA BAA、EU-US Privacy Shield Framework、Gold CSA STAR和PCI DSS认证标准。你可以在他们的安全概述中了解更多关于Auth0的安全性。

因为Confirm使用Auth0进行认证，当您在我们的平台上创建账户时，我们不会收到或存储您的密码。

所有Confirm员工都通过了严格的背景调查，这是雇佣条件之一。所有Confirm员工账户都受到双因素认证的保护。所有员工的电脑都启用了全磁盘加密。所有员工的电子邮件账户都受到双因素认证的保护。

Confirm使用256位SSL加密维护银行级别的数字安全。这包括OCSP装订和HTTP严格传输安全。

我们利用亚马逊网络服务（AWS）来托管我们的服务器和数据。AWS为其数据中心提供了一套合规证书，包括完整的SSAE 16（SOC 1、SOC 2和SOC 3）合规。我们的服务器实例被托管在一个虚拟的私有云中，只使用位于美国的数据中心。所有对我们生产系统的直接访问都受到公钥加密和双因素认证的保护。

我们的文件，包括你上传的文件，都托管在AWS的存储服务上。文件是用AES-256加密的，并在美国境内备份。所有的数据库都存储在加密的静态文件系统上，使用AES-256加密，并使用至少每年轮换一次的私人密钥。所有的数据库查询和流量都只通过SSL安全连接进行。

Confirm网站只通过SSL提供服务以保证网站流量的安全，不启用SSL 2和SSL 3等不安全的协议。Confirm利用CloudFlare来防止拒绝服务和其他常见攻击载体。

Confirm使用Stripe进行信用卡交易。当您在Confirm网站上进行购买时，Stripe持有实际的信用卡信息；Confirm无法访问信用卡号码。您可以在他们的安全概述中阅读更多关于Stripe的安全和PCI合规性的信息。

Confirm聘用的工程师曾在其他安全和可用性关键领域工作过，包括医疗保健和金融技术。所有的技术和软件更改都要经过同行评审过程和一套自动验收测试。

Confirm在客户支持方面努力做到尽可能的方便。您可以随时联系我们，[email protected]。

如果您认为您在Confirm内发现了一个漏洞，或者是对这个领域感兴趣的安全研究人员，请通过[email protected] 联系我们。包括尽可能多的细节，包括重复或证明的步骤。