跳转到主要内容
三项ISO认证均明确范围为*“为高规模采集、自动化和AI代理/RAG系统进行网络数据访问而设计的公共网络数据收集平台”*。这直接涵盖了Bright Data的MCP Server、Browser API和所有代理工作流中的API使用。

认证一览

ISO/IEC 27001:2022

信息安全管理体系 (ISMS) 有效期至: 2028年8月11日 编号: 1126059 - SII–QCD (ANAB认可)

ISO/IEC 27017:2015

云安全控制 有效期至: 2028年7月13日 编号: 1125290 - SII–QCD

ISO/IEC 27018:2019

公有云中个人身份信息的保护 有效期至: 2028年7月13日 编号: 1125291 - SII–QCD

SOC 2 Type II

可根据保密协议获取 期间: 2024年6月1日 – 2025年5月31日 德勤全球网络审计

SOC 3

公开下载 期间: 2024年6月1日 – 2025年5月31日 Brightman Almagor Zohar & Co. 审计

CSA STAR

云安全联盟注册表 查看列表 →

独立审计

SOC 3 报告 - 德勤

Bright Data Global Network中的德勤集团子公司Brightman Almagor Zohar & Co.进行,涵盖2024年6月1日 – 2025年5月31日 审计检查了四个信任服务标准的控制措施:

安全

保护系统和数据免受未授权访问

可用性

运行时间承诺和灾难恢复就绪状态

机密性

数据分类、加密和访问控制

隐私

GDPR/CCPA合规和个人身份信息处理程序
“根据我们的意见,管理层关于服务机构系统内的控制措施有效的声明…根据适用的信任服务标准为Bright Data的服务承诺和系统要求的实现提供合理保证,在所有重要方面均是恰当的。”
  • Brightman Almagor Zohar & Co. (德勤全球网络)

下载 SOC 3 报告 (PDF)

涵盖2024年6月1日 – 2025年5月31日的完整SOC 3报告

渗透测试 - Skylight网络安全

Skylight Cyber Security Pty Ltd进行了独立渗透测试和源代码审查(2025年5月–6月),涵盖完整的Bright Data产品。 测试的产品:
产品覆盖范围
控制面板和公开API完整
数据中心、住宅、移动和ISP代理完整
SERP API 和 Web Unlocker API完整
Web Scraper IDE、市场和API完整
Web Archive API完整
数据集市场和自定义数据集API完整
三个威胁场景在范围内:
  1. 未认证攻击者试图攻击整个平台
  2. 恶意管理员试图进行内部攻击
  3. 未授权账户访问或代理滥用
结果: 所有严重和高危发现已修复。Skylight重新测试以确认问题已解决且风险已缓解。

下载渗透测试证明

Skylight Cyber Security Pty Ltd出具的证明信

数据加密

层级标准
数据传输中TLS 1.3(最低TLS 1.2)配合现代密码套件
数据静态整个基础设施中使用AES-256或更强加密
凭证使用现代哈希函数进行哈希和加盐
数据库备份加密;每日完整备份,每月快照
备份存储AWS Backup;快照分布在多个位置

基础设施与可用性

云服务商

亚马逊网络服务 (AWS),多可用区部署

灾难恢复

AWS欧盟灾难恢复站点;年度大规模灾难恢复演习;所有高严重级别事件的根本原因分析

备份频率

每5分钟进行一次完整数据库备份;每日AWS快照;关键备份在Microsoft Azure上

DDoS与监控

主动DDoS缓解和速率限制;由专门信息安全团队进行持续防火墙监控

访问控制与身份

控制措施实施方式
最小权限所有IAM角色限制为最少必需权��
MFA所有员工访问AWS平台都需要MFA
客户认证强密码(最少8个字符)+ 电子邮件验证
RBAC基于角色的访问控制,定期进行用户访问审查
第三方访问年度重新授权;需要签署NDA和信息安全批准
远程访问VPN加密必需;强制执行主机检查

应用与开发安全

  • CI/CD流水线 - 受控流水线,包含端到端和单元测试,包括授权测试
  • 安全SDLC - 基于OWASP Top 10框架;在开发开始前定义安全需求;年度开发人员安全培训
  • 变更管理 - 对所有基础设施和应用程序变更的正式审查和批准流程,包括在R&D审查阶段的安全风险评估
  • 第三方风险 (TPRM) - 所有供应商根据风险等级进行映射和分类;高风险供应商在合同前需要安全问卷和信息安全签字
  • 漏洞赏金 - 由独立安全研究人员管理的负责任披露私有计划

隐私与法规合规

法规/标准状态
GDPR (欧盟)✅ 合规 - 作为产品流程的一部分进行DPIA
CCPA (加州)✅ 合规
英国数据保护法✅ 合规
弗吉尼亚隐私法✅ 合规
以色列隐私保护法 (1981)✅ 合规
ISO 27001:2022✅ 认证
CSA STAR✅ 已��出
PCI DSS✅ 在合规中
  • 隐私政策每年审查和更新 - brightdata.com/privacy
  • 客户数据删除可根据请求随时获得
  • 数据销售 - Bright Data不会向任何第三方出售或许可客户数据

信息安全策略

Bright Data维护一份正式的、经董事会批准的信息安全策略,符合NIST、ISO 27001:2022、ISO 27017和ISO 27018
IAM策略在所有系统中强制执行最小权限访问,定期进行审计和年度审查。
网络分段、传输中的TLS 1.3、静态时的AES-256和整个系统的现代密码套件。
对所有端点和服务器应用CIS基准。
在开发前定义安全需求;OWASP Top 10框架;年度开发人员培训。
所有供应商按风险等级分类;高风险供应商需要安全问卷和信息安全签字。
三层分类:敏感、个人身份信息和公开 - 根据等级应用控制措施。
事件报告、高严重级别事件的根本原因分析、年度灾难恢复演习和正式的业务连续性计划。

AI代理和MCP用户的安全

Bright Data的MCP Server和Browser API在本页面描述的同一认证安全基础设施下运行。
始终将抓取的网络内容视为不可信输入。在将数据传递给LLM提示前进行验证和过滤,以缓解提示注入风险。
在代理工作流中使用Bright Data时的推荐做法:
1

将网络内容视为不可信

在将网络数据传递给LLM提示前进行验证和过滤 - 这可以缓解提示注入攻击。
2

使用结构化提取工具

优先使用可用的web_data_*工具 - 它们返回预验证、架构一致的数据。
3

安全地存储凭证

将API令牌存储为环境变量。切勿在代理代码或提示中硬编码凭证。
4

限定API密钥权限范围

使用API密钥权限范围限定(有5个级别可用)从您的代理强制执行最小权限访问。

认证与报告

ISO 27001 + 27017 + 27018 证书

单个PDF中的所有三个ISO证书

SOC 3 报告

公开SOC 3 - 2024年6月1日 – 2025年5月31日

SOC 2 Type II 报告

根据NDA提供

信任中心

渗透测试证明和实时信任文档

隐私政策

每年更新;符合GDPR和CCPA

安全漏洞奖励计划

安全研究人员的负责任披露计划

常见问题

是的。Bright Data拥有ISO/IEC 27001:2022、ISO 27017和ISO 27018认证,有效期至2028年8月11日至13日,由SII–QCD (ANAB认可、IAF和IQNET成员)颁发。
是的。Bright Data有SOC 2 Type II报告可根据NDA获取,以及由德勤集团(Brightman Almagor Zohar & Co.)审计的公开下载SOC 3报告。
是的。Bright Data已进行全面的GDPR和CCPA合规计划,作为所有产品流程的一部分进行数据隐私影响评估(DPIA),并维护每年更新的公开隐私政策。
是的。由独立第三方安全公司进行年度渗透测试和源代码审查。最近的测试(Skylight网络安全,2025年5月-6月)没有留下未解决的严重或高危发现。
是的。所有数据在传输中加密(TLS 1.3)和静态时加密(AES-256)。数据库备份已加密并分布在多个云位置。
是的。Bright Data被财富500强公司、学术机构和全球15,000多个组织信任。其安全态势通过ISO 27001/27017/27018认证和年度德勤SOC 2 Type II审计独立验证。
是的。所有ISO认证都明确范围为包含AI代理和RAG系统用例的网络数据访问,这涵盖了MCP Server、Browser API和相关产品。
安全咨询:security@brightdata.com 企业合规审查:联系销售