信任中心

Liferay 了解,對於我們的潛在客戶和客戶來說,找到安全且合規的數位解決方案來滿足他們的業務需求是多麼重要。我們致力於不僅成為供應商,更成為客戶值得信賴的合作夥伴。

我們的重點是確保您委託給我們的寶貴資訊的安全,並按照適用的資料保護法進行處理。作為 FOSS 社群的一部分,我們在 IP 和 FOSS 授權方面採用最佳實務。我們也相信誠信經營,最終與我們的客戶和社區建立牢固的關係。

信任中心提供了全面的資源,旨在幫助每個客戶的盡職調查過程並展示我們對安全和合規的承諾。

 

Liferay信任中心
 

信任中心概述

Liferay 優先考慮安全性:

  • Liferay DXP 漏洞揭露計畫成立於 2012 年,旨在負責任地報告和快速修補內部和外部漏洞。
  • 作為 CVE 供應商,我們積極為已知安全問題 (CVE) 的公共記錄做出貢獻,使客戶能夠及時了解關鍵的安全性更新。
  • Liferay 的 SaaS 產品建立在 Liferay 自託管產品成熟的基礎上。這確保了安全且可擴展的基於雲端的解決方案,使客戶能夠專注於內容創建,而我們負責修補、升級、全天候監控和持續的安全管理。

Liferay 的全球影響力體現在它高度重視資料保護,設計產品和服務時採用強大的安全措施來保護資訊安全。其中包括:

  • 執行嚴格的資料存取政策
  • 進行全面的供應商評估
  • 精心挑選並定期培訓我們的員工
  • 不斷使我們的實踐與不斷變化的隱私法規環境保持一致。此外,我們的協議明確概述了我們遵守所有適用資料保護法的承諾

我們遵守最新的 FOSS 授權合規標準。我們採用社區最佳實踐來標記我們自己的程式碼。我們為客戶提供 ISO/IEC 5962 SPDX 格式的 SBOM(如果需要,也提供 CycloneDX)。

Liferay 的商業行為和道德準則、我們的環境社會治理報告、我們的反奴隸制聲明以及我們的舉報管道表明我們優先考慮誠信和合規性

 

資安合規

  • ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018
  • SOC 2 Type 2
  • HIPAA
  • CSA Star Level 1 and 2 and is part of the Cloud Security Alliance Star program
  • Spain Esquema Nacional de Seguridad (ENS)

 

一般合規

我們相信透過道德行為建立信任,並且我們優先考慮誠信行事。對我們來說,Liferay 是一家以道德的方式建立的公司,這一點很重要。這體現在我們的 Liferay 商業行為和道德準則中。我們的 Liferay 商業行為和道德準則明確規定了滿足適用於我們業務的法律法規的文字和精神的途徑。促進道德的商業環境並贏得客戶和社區的信任對我們來說至關重要,而我們的一般合規計畫在實現這一目標方面發揮著重要作用。

  • Liferay 商業行為與道德準則
  • 關於英國現代奴隸制法案的聲明
  • 環境社會治理
  • 檢舉
  • 《數位服務法》
  • 匯出資訊

 

自由/開源軟體 (FOSS)/智慧財產權合規

在自身 IP 和 FOSS 許可合規性方面,Liferay 遵循 OpenChain ISO/IEC 5230 標準,並於 2019 年首次按照該標準的 2.0 版本進行自我認證。這確保我們擁有適當的人員、政策和流程來有效遵守智慧財產權規定。

為了幫助我們的客戶滿足其 IP/許可和安全合規性,我們為付費客戶和合作夥伴提供 ISO/IEC 5962 SPDX 格式的 Liferay DXP 軟體物料清單 (SBOM)(如果需要,也提供 CycloneDX)。這兩種格式都符合美國《關於改善國家網路安全的行政命令》(EO 14028)和歐盟《網路彈性法案》(CRA)的定義中的要求。

我們按照 REUSE.software 社群的最佳實踐標記我們自己的原始碼。這使得使用我們的程式碼庫變得非常可預測,因為您可以非常簡單地分辨出哪些程式碼是我們的以及遵循哪種許可。

雖然我們確實認真對待我們和他人的智慧財產權,但我們確實意識到有時會發生意外。這就是為什麼對於我們所有的 LGPL 和 GPL 授權代碼,我們承諾(自 2018 年起)遵循 GPLv3 通用補救權利承諾,應用 GPL-3.0 中更寬鬆的補救和恢復條款。

在專利保護方面,Liferay Inc. 是開放發明網路 (Open Invention Network) 的成員——最大的專利保護不侵犯社區。

如果您認為您或其他方的智慧財產權被複製並構成侵權,請按照版權侵權索賠網頁上的說明進行操作。

 

資料保護

Liferay 承認資料保護合規性的複雜性。這就是為什麼我們區分組織對資料保護法的遵守和我們產品中嵌入的特性和功能。我們的產品旨在支援客戶在其自身營運中實現合規性。
在處理我們基於雲端的服務中的個人資料時,Liferay 承諾根據適用的資料保護法處理此類數據,這是我們協議中的承諾。

  • 強大的安全措施:Liferay 致力於採用和維護強大的技術和組織措施來確保個人資料的安全。
  • 目的驅動的資料處理:我們僅根據需要處理個人數據,以便根據客戶的指示為他們提供服務。
  • 經過審查的子處理器:我們的協議僅允許我們聘用遵守同等資料保護標準和嚴格的供應商盡職調查的子處理器,並在適用的情況下保證相關的資料傳輸機制。
  • 個人資料的匯出和刪除:Liferay 可在訂閱期結束時協助匯出或刪除個人數據,並協助客戶回應資料主體的請求。
  • 審計合作:我們承諾在審計期間與客戶合作,以驗證合規的資料處理實務。
  • 外洩溝通:如果發生資料外洩,Liferay 確保與受影響的客戶進行及時全面的溝通,以最大限度地減少潛在影響。

Liferay 的承諾(在我們的協議中概述)反映了我們在資料保護方面的積極立場以及我們致力於支持客戶資料保護合規工作的決心。

 

負責任的人工智慧 AI

作為旨在幫助客戶創造數位體驗的產品和服務供應商,我們對人工智慧推動創新和創造價值的潛力感到興奮。然而,我們也認識到人工智慧技術的開發和部署伴隨著重大的倫理考量和潛在風險。
Liferay 致力於以道德的方式開展業務並完全遵守所有相關法規。我們已將負責任的人工智慧確定為我們合規工作的另一個重點領域,最終目標是確保 Liferay 負責任地利用人工智慧並符合我們的價值觀和適用法律。

為此,Liferay 已開始開發負責任的 AI 管理系統。該系統旨在:

  • 識別並減輕潛在風險
    我們將仔細評估使用人工智慧解決方案對社會和環境的潛在影響,包括偏見、公平性、透明度、隱私、安全性以及對其他方智慧財產權的尊重。根據此評估,我們將採取措施減輕已發現的風險。
  • 確保符合道德的開發和使用
    我們將把倫理考量融入人工智慧生命週期的所有階段,從研發到部署和維護,並確保全程有人監督。
  • 培養信任和透明度
    我們將透明地揭露我們如何使用人工智慧以及使用人工智慧系統的影響。

我們相信,負責任的人工智慧不僅是正確的做法,而且對於與我們的客戶、合作夥伴和更廣泛的社群建立信任至關重要。我們致力於在該領域不斷學習和改進,並將積極與利益相關者合作,確保我們的人工智慧解決方案得到負責任的開發和使用。
我們追蹤並評估 Liferay 中 AI 驅動系統的使用情況。我們的員工接受了意識培訓和工作指導,概述了可以使用哪些由人工智慧驅動的系統以及如何和何時使用。