简介
开端:开源、数据库内分析
从一开始,我们构建 Metabase 的宗旨就是像对待我们自己的数据一样对待您的数据——私密且安全。为此,我们从开源的数据库内分析入手。这意味着
- 您的数据留在您的服务器上——并由您控制。我们绝不查看或复制您的数据。绝不。
- 您可以随时查看我们项目的底层。这里没有黑箱。
- 本地部署或气隙部署并非事后才考虑。
尽管我们提供(明确标记且完全可选的)匿名使用数据共享方式,但大多数人的开源实例根本无需与我们联系,我们也会非常谨慎,绝不查看任何人的数据。
绝不查看您的数据只是解决方案的一部分。我们还构建了详细的隐私和安全功能,以保护您组织内的数据访问,包括细粒度的权限控制和对 SSO 的支持。
无妥协的云服务
我们一直都知道我们希望让人们更轻松地使用 Metabase。当我们决定提供云托管计划时,我们也知道我们希望将同样的数据安全和隐私承诺带到这些计划中。
为了实现这一点,我们设计了具有支持该承诺的架构的托管计划。


- Metabase 入门实例就是如此——我们的开源项目方便地捆绑了自己的托管服务。它有一些细微的调整,但绝大部分是您喜欢开源 Metabase 的所有功能,并附加了便捷的托管服务。您甚至可以选择就近部署,在美国、欧洲、拉丁美洲和亚太地区都有云托管选项。
- 我们设计架构的目的是优先考虑隔离:我们的每个托管客户都有自己的容器,没有共享集群。这意味着对您的 Metabase 实例的请求就是您的请求。
- 就像我们的开源产品一样,我们仍然非常不希望看到您的数据。我们尽可能多地将数据保留在您的服务器上,而我们确实接触到的数据,则会在传输过程中进行加密,并对任何可识别的数据进行哈希处理。这意味着,除非您启用结果缓存,否则您的数据库返回的任何数据都不会存储在我们这里,我们也绝不会看到这些内容。
我们的托管计划提供相同的匿名使用数据选择性共享选项,以及相同的隐私和安全功能,帮助您保护组织内部的访问安全。
企业级合规性

SOC 2 Type II
我们的 SOC 2 Type II 报告证明了我们为管理客户数据安全而实施的控制措施,这些控制措施与美国注册会计师协会 (AICPA) 制定的信任服务原则 (TSPs) 相对应。

通用数据保护条例
在 Metabase,我们一直致力于使我们的产品、流程和程序符合 GDPR 要求。

加州消费者隐私法案 (CCPA)
Metabase 在加州消费者隐私法案 (CCPA) 下作为客户的服务提供商,我们支持客户遵守 CCPA。
数据隐私
数据共享与处理
-
Metabase 遵循 GDPR 和 CCPA 指南,以确保对客户的数据保护义务。这包括仅根据这些义务收集、处理和存储客户数据,并随时为您提供访问或删除数据的权利。
-
Metabase 提供了删除客户数据的控制措施,当数据不再用于合法商业目的时,可以删除;同时还为用户提供了选择退出我们网站上的跟踪 Cookie 的选项。
-
Metabase 还要求我们的数据处理供应商证明,客户数据仅用于提供服务目的,不得用于其他目的。
数据处理
- 作为客户,您可以随时请求删除与买家相关的数据。
- 实例相关数据会在一段时间不活动后自动删除。
- Metabase 的托管服务提供商遵循行业标准安全实践,以确保从存储介质中删除数据。
供应商管理
- Metabase 已与分包商建立协议,要求他们遵守保密承诺并采取适当措施,以确保维护我们的安全态势。
- Metabase 通过在使用前和至少每年一次对其控制措施进行审查,来监控这些分包处理供应商。
渗透测试和漏洞披露
渗透测试
- 除了合规性审计,Metabase 还会聘请独立实体每年至少进行两次应用级和基础设施级渗透测试。
- 这些测试的结果会优先处理并及时修复,并分享给高级管理层。
- 客户可以通过向其成功团队代表请求,获取这些活动的执行摘要。
漏洞披露
- 我们的工程流程集成了实时漏洞扫描器。
- Metabase 致力于与全球安全专家合作,以保持最新的安全技术。我们在 Github 上发布安全公告。
访问管理、加密和终端安全
访问管理
- Metabase 在提供访问权限时遵循最小权限原则和基于角色的权限;员工仅被授权访问其在履行当前工作职责时必须合理处理的数据。
- Metabase 要求员工使用经批准的密码管理器。
加密
- Metabase 使用行业标准协议加密数据。
- 传输中的数据使用 TLS 1.2 或更高版本加密。
- 敏感数据,如连接字符串和设置,使用 AES256 + SHA512 在行级别加密。此外,AWS 还会加密数据写入的磁盘。
- 生产服务的加密密钥已实施密钥管理。
终端安全
- 所有发放给 Metabase 员工的工作站均由 Metabase 配置,以符合我们的安全标准。
- 这些标准要求所有工作站都由 Metabase 的终端管理解决方案进行正确配置、更新、跟踪和监控。
- Metabase 的默认配置将工作站设置为静态数据加密、强密码,并在空闲时锁定。
- 工作站运行最新监控软件以报告潜在恶意软件。
网络安全与系统监控
网络安全和服务器加固
- Metabase 将其系统划分为独立网络,并在网络之间设置了现代、严格的防火墙,以更好地保护敏感数据。
- 测试和开发系统托管在与生产基础设施系统分离的网络中。
- 我们生产集群中的所有服务器均按照行业标准 CIS 基准进行加固。
- 从开放的公共网络访问 Metabase 生产环境受到限制,只有负载均衡器可以从互联网访问。
- Metabase 记录、监控和审计所有系统调用,并针对指示潜在入侵或数据外泄尝试的调用设置了警报。
系统监控、日志记录和警报
- Metabase 监控服务器和工作站的基础设施,以全面了解安全状况。
- Metabase 生产网络中所有服务器上的管理访问、特权命令使用和系统调用都会被记录和监控。
- 日志分析自动化,以检测潜在问题并提醒相关人员。
灾难恢复与事件响应
灾难恢复和业务连续性计划
- Metabase 利用其托管服务提供商部署的服务,将生产运营分布在不同的可用区。这些分布式区域可保护 Metabase 的服务免受连接丢失、电力基础设施故障以及其他常见地点特定故障的影响。
- Metabase 每天对核心数据库在这些区域之间进行备份和复制,并支持恢复功能,以在任何这些地点发生站点灾难时保护 Metabase 服务的可用性。
- 完整备份至少每天保存一次,事务持续保存。
- Metabase 每年测试备份和恢复功能,以确保灾难恢复成功。
响应安全事件
- Metabase 已制定应对潜在安全事件的政策和程序。
- 所有安全事件均由 Metabase 专门的事件响应团队管理。这些政策定义了必须通过事件响应流程管理的事件类型,并根据严重程度对其进行分类。
- 如果发生事件,受影响的客户将通过我们的客户成功团队的电子邮件收到通知。事件响应程序每年至少测试和更新一次。