完全掌控数据安全

我们提供一系列综合性安全工具和服务，全方位确保您的数据安全。现场托管解决方案、加密文档和数据、自定义访问设置、连接验证服务并管理访问权限，保护自己免受未经授权的访问、数据泄漏和内部操纵的侵扰。
希望深入了解我们的解决方案架构？

访问GitHub

遵循数据保护法规

GDPR合规

《通用数据保护条例》（GDPR）的目的是为了保护软件的终端用户并规范公司在同欧盟居民开展业务时处理其信息的方式。我们尊重用户持有并控制其个人数据的权利，同时在构建产品的过程中，我们也十分注重欧洲法律的合规性。

因此，ONLYOFFICE坚持数据方面的极简主义，我们会帮助用户了解收集、存储以及处理数据的方式。 ONLYOFFICE将为用户提供自由访问、复制、删除、限制或移动任意个人数据的权利。如果您的企业扮演着数据控制方的角色，同时将ONLYOFFICE提供给终端用户的话，那么您将拥有知晓其数据收集流程并行使关于个人数据相关法律权利的权限。

进一步了解ONLYOFFICE的GDPR合规性

HIPAA合规

《医疗电子交换法案》（HIPAA）要求任何在医疗保健领域开展治疗、支付和运营工作的组织，以及有权访问其任何数据资产的业务伙伴和分包商，均需根据一套公认的标准来保护敏感的患者数据。 ONLYOFFICE会对静态和传输中的结构化与非结构化数据提供保护，提供数据审计的访问权限，提供数据完整性控制等，以实现HIPAA定义的强制属性并确保客户组织完全符合该法案。

详细了解ONLYOFFICE中的HIPAA合规性

自托管

ONLYOFFICE专为拥有敏感数据和记录的企业而设计，这些企业一旦出现问题，可能会在不同程度上危及客户利益和内部运营。我们的一系列解决方案可保证您将服务和数据完整保留在自己身边。硬件方面的保护掌控在您的手中，这样你就可以根据业务标准的要求手动维护其稳定性与可连接性。

我们会向现场部署的客户提供全面的技术支持服务，并会定期进行软件更新。

数据加密

静态加密

对于在基础架构中使用敏感数据的组织来说，静态数据的泄露是严重的数字安全风险之一。为保护公司和用户的数据，您可在整体上对ONLYOFFICE实例中的数据主体执行Encrypt-then-MAC类型加密（AES-256-CBC + HMAC-SHA256）。 Aes-256加密类型中使用了CipherMode。CBC对称算法将在门户数据的加密工作中使用，SHA256散列函数与HMAC消息验证码筛选配合使用则会用于验证加密数据的完整性和真实性。

详细了解ONLYOFFICE中的数据静态加密

端到端加密

ONLYOFFICE企业版通过私密房间提供了对于机密文件的额外保护。您可以用它来以始终加密的形式来存储、编辑和共享文档。每个文档都将使用随机生成的AES-256密钥自动加密，这些密钥将通过非对称加密方式与授权用户共享。在私密房间内创建、存储和共享的文件将永远不会离开目录，其无法复制、重新分发或被解密。文档的加密和解密将仅会在用户的机器上端到端地进行。

详细了解私密房间

文件密码保护

您可以用密码手动保护文件，确保他人在不知道密码的情况下无法查看文件。文件用AES-256加密算法保护，可以在任何支持密码保护的编辑器中打开。

数据保护

JWT

JSON Web Token（或JWT）可保护文档免受未经授权的访问侵扰。该技术可保护门户流量并确保用户无法访问超出授权限制的数据，这在邀请外部用户的情况下尤其重要。

ONLYOFFICE编辑器需要一个包含在令牌中的加密签名。在初始化文档编辑器时和在内部服务（存储服务、编辑服务、命令服务和转换服务）之间交换命令期间，该令牌将被添加到配置中，从而验证对数据执行特定操作的权限。

HTTPS

ONLYOFFICE允许使用HTTPS协议来加密流量，无论您是否已拥有SSL证书。上传在服务器上或主机上已生成的现有公钥，或在letsencrypt.org上签发新的CA签名证书。

详细了解如何在ONLYOFFICE中使用HTTPS

文档权限管理

ONLYOFFICE编辑器可以在客户端工作，能够将大部分数据加载转移到单个用户的浏览器中。此方法允许创建一系列灵活的文档权限类型，其中不仅可包括完全访问权限和仅查看权限，还可包括仅评论、仅查看或仅填写表单的权限。此外，还可以限制文件的下载、打印和复制，以阻止内容的传播。您还可以限制其他用户改变共享设置。此外，您能够为外部共享的文件和文件夹设置时间限制和密码。

电子表格保护

保护对电子表格中数据的访问，自定义限制对电子表格元素进行的编辑。

加密电子表格以保护所有数据，并与受信任的用户安全分享。

对工作簿或单独的工作表限制特定操作，以保护内容和结构的安全。

允许对受保护的工作簿或工作表中的特定区域进行编辑。

隐藏公式，以不让其他用户看到。

锁定电子表格元素：单元格、文本和形状。

了解更多关于ONLYOFFICE中保护电子表格的信息

水印

您可以应用包含文件和作者信息的水印，以便在分发文件时保护内容权利。

身份验证和门户访问控制

双因素身份验证

在电子欺诈和社会工程时代，我们都很脆弱。通过移动短信动态密码来提高门户登录的安全性。如果用户对私人密码保管不当，那么您存储在云或服务器中的机密数据很可能被第三方轻松访问。不要再冒此风险。

我们整合了Clickatell、SMSC和Twilio服务，无论团队规模和预算水平如何，您都可以在此找到适合自己的SMS服务。

此外，您还可以通过代码生成应用（Google Authenticator、Authy等）启用双因素身份验证。

详细了解如何在ONLYOFFICE中启用双因素身份验证

单点登录（SSO）

在传统身份验证基础上选择单点登录，我们将不会存储您的任何登录数据，您可将数据存储在受信任的全球性的身份验证服务商处。 ONLYOFFICE是服务供应商（SP），第三方应用程序则为身份供应商（IdP）。身份供应商会对用户身份进行验证，同时谨慎保管登录信息，以降低未经授权获取登录数据的风险。

目前，ONLYOFFICE集成了三个IdP来执行单点登录：Shibboleth、OneLogin与AD FS。

详细了解如何在ONLYOFFICE中启用单点登录

访问权限管理

随着业务规模的扩大和数据分类的变化，恶意内部行为的威胁也在不断扩大，因此必须对权利进行区分。

您可以轻松地划分私有门户中的用户组和级别。可为每个用户或组设置门户模块与数据的访问权限，从而保护特定数据免受不必要的关注和内部操纵。

详细了解访问权限管理

身份验证过滤和监控

自定义设置登录标准，允许您根据自己所知的信息和关注点来管理身份验证的特定框架。此外，您还可以手动监控和报告一切活动，从而发现潜在的欺诈或危害。

受信任的邮件域。此选项允许您手动选择注册电子邮件的邮件服务器。同时也支持自定义邮件域。

密码创建标准。在这里您可以设置最小和最大的密码长度，并决定它是否必须包含某些类型的字符，例如，大写字母、数字或特殊符号。

Cookie寿命。如果启用此选项，则将在指定时间后自动登出。

IP限制。该设置允许用户和管理员对选定的IP进行门户访问。

登录设置。设置不成功的登录尝试的限制，以保护您的门户免受破解。

登录记录。通过登录记录，您可以查看成功/失败的登录请求和退出登录的完整历史记录。

审核日志有助于追踪门户中的用户在何时执行了何种操作。

备份

远程备份可以通过将安全流程自动化降低维护成本并节省大量时间。您可手动或自动将数据备份至ONLYOFFICE文档模块，也可存储至您所选择的位置（DropBox、Box、Google云端硬盘、OneDrive等）或第三方服务（AWS S3、Google Cloud Storage、Rackspace Cloud Storage或Selectel Cloud Storage）中。如有必要，您还可使用自己的本地磁盘进行临时性手动备份。详细了解ONLYOFFICE中的数据备份

ONLYOFFICE漏洞赏金计划

我们希望给客户提供可靠的和安全的产品，来自外部人才的帮忙可以为我们内部测试工作提供动力。专业的道德黑客、或有抱负的安全爱好者，都可以参加我们在HackerOne上的漏洞赏金计划，发现并报告漏洞并获得补偿。

请阅读我们的官方公众号的文章以了解更多。

了解更多关于ONLYOFFICE安全措施

白皮书

ONLYOFFICE工作区的端到端文件加密的组件和机制

了解更多

博客

什么是JWT以及这项技术如何保护您的文件

了解更多

指南

强化安全。控制对您的门户网站的访问并监控所有用户的活动

了解更多

常见问题

ONLYOFFICE是否可以接触到有关文件和数据的操作信息？
不可以，这些信息不会与ONLYOFFICE共享，除非您把独家访问给我们的服务团队提供。作为ONLYOFFICE工作区的所有者或管理员，您可以在安全设置中访问审计跟踪日志，并检索有关用户操作的信息。
是否有服务器端的数据加密功能？它是如何运行的？
您可以在ONLYOFFICE工作区的服务器版本中启用静态加密功能。这一操作会保护您的数据不受可能的入侵者的影响，即使他们能够进入您的机器。加密是基于加密然后MAC（Encrypt-then-MAC）方法，对ONLYOFFICE工作区实例内的整个数据体进行加密，并符合AES-256国际数据加密标准。
ONLYOFFICE提供哪些内容保护功能？
您可以使用简单的密码加密文件，这也将使您能够管理对文件中不同操作的访问，如评论、审查和填写表单。这个功能有助于限制文件未经授权的复制、下载和打印，并且，您也可以应用水印。您还可以对电子表格进行加密，并应用额外的设置来保护单独的工作表，锁定电子表格元素，隐藏公式。在私密房间中，您可以用最强的加密方法对文本文档进行端到端加密，并以加密的形式进行协作。其他可用的工具中还有水印。
ONLYOFFICE 工作区支持哪些用户角色，这些角色有哪些权利？
有以下类型的用户角色可用：访客、用户、管理员和所有者。所有者可以完全访问 ONLYOFFICE 工作区的所有功能和设置。模块管理员可以访问选定的模块配置，并可以调节模块的内容。完全访问管理员也可以管理工作区及其用户一般的设置。在项目模块中，您还可以任命项目经理，他们可以对当前的项目及其成员进行管理，也可以改变设置并调节项目中的各种元素。
ONLYOFFICE 工作区是否有审计功能？访问日志中包括哪些信息？
ONLYOFFICE 工作区有审计跟踪功能。它包括有关 IP、浏览器、平台、日期、用户、页面、操作类型、产品和模块的详细信息。您可以在审计跟踪日志中搜索、排序和过滤元素。
ONLYOFFICE 中是否有自动备份？
ONLYOFFICE 工作区有自动备份选项。您可以选择副本的位置，设置日期和时间，并定义存储备份的数量。
ONLYOFFICE 文档实例是否存储任何用户数据？
ONLYOFFICE 文档帮您处理文档编辑和转换，但它不存储任何文档或用户数据。
ONLYOFFICE API 支持哪些安全功能？
ONLYOFFICE 工作区（协作平台）API 提供了管理活动连接、审计跟踪数据、登录历史、认证和2FA、IP限制、LDAP、SSO以及工作区及其模块的安全设置的方法。也可以通过 API 获得部分访问私密房间的功能。ONLYOFFICE 文档 API 提供了设置 JWT、使用水印、启用基本和高级文档权限的方法。
ONLYOFFICE 是如何验证每个请求？ API 如何支持请求认证？
ONLYOFFICE 使用安全令牌对 POST 请求进行认证。有关请求如何操作的全部信息可以在我们的API文档中找到。