DCS Cloud Security WhitePaper

DCS CloudAbout 15 min

DCS Cloud Security Strategy

With the continuous development of the Internet and information technologies—particularly big data, cloud services, and AI—threats and challenges to cybersecurity, data security, and privacy protection are becoming increasingly severe.

As a globally leading intelligent analysis platform for multi-omics data, DCS Cloud Platform (DCS Cloud) fully understands the critical importance of system and user data security, as well as the concerns of institutions and users. In response to endless data security challenges and pervasive cloud security threats and attacks, DCS Cloud places great emphasis on investment in cybersecurity, data security, privacy protection, and security compliance. We take practical and effective measures, applying relevant security technologies and services to enhance system security, helping users avoid and reduce data security risks, thereby earning the security trust of all stakeholders.

Data security is the cornerstone of the digital and intelligent world. DCS Cloud complies with domestic and international data security standards and laws. Refers to industry best practices, and has established a multi-dimensional data security protection system covering aspects such as organization, policy, processes, technology, personnel, and compliance. This provides users with highly secure, highly trusted, and high-quality products and services, empowering them to carry out multi-omics data analysis securely and accelerate scientific discovery.

1. How DCS Cloud Ensures Data Security

Data security refers to the comprehensive protection of the confidentiality, integrity, availability, durability, and traceability of user data assets. DCS Cloud highly values user data assets and privacy protection, placing data security at the core of its security strategy. We follow internationally advanced standards for data lifecycle security management (such as ISO27001, ISO27701, GB/T 41806) and adopt excellent technologies, practices, and processes in data collection, transmission, storage, processing, and destruction to provide users with the most effective data protection capabilities and ensure their rights to privacy, ownership, and control over their data are not infringed.

1.1 Security of Data Collection

From a legal compliance perspective, DCS Cloud acts as both a data controller and a data processor. As a data processor, DCS Cloud processes genomic data according to the instructions of users (the data controllers of multi-omics data). As a data controller, DCS Cloud collects platform registration information (such as login names, email addresses, phone numbers) and activity data related to platform users' projects/tasks/processes. DCS Cloud has implemented multiple measures to ensure the security of data collection:

  • Principle of Minimum Necessity: We adhere to the principle of minimum necessity, collecting only the minimum data necessary to fulfill business functions and never acquiring non-essential user data. Users independently upload multi-omics data for analysis and have full control over their data; the platform does not perform any unsolicited operations on the data.
  • Public Privacy Policy: A transparent and public privacy policy is established, clearly informing users about the purpose, scope, and methods of data collection, user rights, and feedback/complaint channels. Data collection commences only after users choose to agree to the privacy policy.
  • DCS Cloud relies on the infrastructure of third-party public cloud platforms for data storage and computing services. Collected data is directly transmitted and stored on these public cloud platforms. These third-party public cloud platforms possess globally leading data security measures and access control capabilities, providing comprehensive support for user data security.

1.2 Security of Data Transmission

In the DCS Cloud security architecture, transmission security is a crucial link designed to ensure the integrity, confidentiality, and non-repudiation of data during transmission. To achieve this, DCS Cloud adopts a series of industry-recognized security measures and technologies:

  • Data Transmission Encryption: All user data transmission is conducted via Hypertext Transfer Protocol Secure (HTTPS). HTTPS incorporates the SSL/TLS protocol layer on top of HTTP, achieving end-to-end data encryption. This mechanism ensures that data is protected during transmission from the user side to the server, even across insecure network environments, preventing third-party interception or tampering.
  • Use of SSL Certificates: To ensure identity verification and security ofdata transmission between the user side and the server side, DCS Cloud strictly uses SSL certificates issued by authoritative Certificate Authorities (CAs). These certificates contain public key information and trace back to trusted root certificates through a certificate chain, establishing a secure encrypted connection.
  • No Cross-Border Data Transmission: To comply with data security legal requirements in various regions, user data acquired by DCS Cloud is stored locally according to its deployment region. This means data is stored in geographical locations within the same region, and no cross-border data transmission occurs.

1.3 Security of Data Storage

Data storage security is mainly designed to ensure the confidentiality and availability of data when it is in a static storage environment. DCS Cloud primarily adopts the following measures to ensure data storage security:

  • Data Backup: An automated data backup strategy is in place, performing a full backup of relevant databases daily, with backups retained for at least 15 days. Important raw data and analysis results are retained for longer periods. Simultaneously, leveraging the high-availability storage services provided by public cloud vendors, we implement strategies such as hot/cold backups and multi-region, multi-center backups, ensuring that data is not lost and can be quickly restored even in the event of a disaster.
  • Data Encryption: When storing data, robust encryption algorithm technologies like AES256 are used to encrypt stored data. Encrypting data at rest is a critical measure for safeguarding data security, enhancing security against unauthorized access or network attacks, and reducing the risk of data leakage.
  • Data Isolation: System isolation of compute node data is achieved through hardware virtualization technology. Each project user can only access their own resources, including computing, storage, network, and data. Data isolation technology effectively prevents risks of data tampering and leakage between users.

1.4 Security of Data Processing

Data processing involves transforming raw data into meaningful and valuable data for users, a fundamental part of system engineering and automated control, including data retrieval, processing, transformation, use, and statistics. To ensure the security of data processing, DCS Cloud employs multiple security measures:

  • Data Masking: Before processing, non-essential sensitive information, especially user personal information, is masked. Data masking typically uses techniques like substitution, masking, generalization, or hashing to create a data copy that looks similar to the original but contains no real sensitive details, protecting user privacy and reducing the risk of data leakage.
  • Identity Authentication: Identity authentication is the process of verifying that a claimed user or system entity identity matches the actual identity. DCS Cloud authenticates all login users, supporting two-factor authentication methods like password + verification code and applying graphic verification technology to enhance authentication security and reduce impersonation risks. Additionally, we enforce a strong password policy (requiring at least 3 character types from uppercase letters, lowercase letters, digits, and special characters, with a minimum length of 8 characters) to mitigate the risk of account passwords being cracked by network attacks.
  • Access Control: A role-based data access control mechanism is adopted. When users participate in projects, their ability to access specific data resources is assigned and controlled based on their roles, supporting dynamic permission adjustments. Furthermore, DCS Cloud strictly limits high-risk permissions such as data deletion and download, restricting them to authorized personnel designated by the project lead. Through these measures, DCS Cloud achieves fine-grained data access control, reducing the risk of unauthorized data access.
  • Logging and Auditing: The DCS Cloud system is deployed on an independent third-party public cloud, utilizing logging and auditing services provided by the public cloud vendor. User access operations on system data are logged, including operation time, operator, data object accessed, and action performed. Project audit roles can review data operation records of project users and audit high-risk or non-compliant data operations. DCS Cloud also establishes an alerting mechanism for high-risk data operations.
  • Internal Employee Access Control: We have formulated comprehensive internal security management policies strictly prohibiting unauthorized access to user data by internal employees. During the online operation and maintenance of the system, O&M personnel access and configure servers through a bastion host. The bastion host features personnel permission control and operation log recording, which can effectively mitigate the risk of unauthorized access to user data.

1.5 Security of Data Destruction

Data destruction refers to the use of specialized methods and technologies to ensure data is completely erased when it is no longer needed, preventing data leakage and misuse. DCS Cloud performs data destruction operations on user data in the following scenarios, combining user requirements, legal regulations, and platform management needs.

  • Data Destruction Scenarios

    • Agreed Destruction: Publicly available content disclosed in the system, such as privacy policies and feature descriptions, specifies the retention period for relevant user data. Upon reaching the storage period, the system automatically destroys the data.
    • User-Initiated Deletion: When data is no longer needed, project users with data deletion permissions can autonomously delete and destroy data using the system's data deletion function.
    • Other Scenarios: Other data destruction scenarios stipulated by law, such as when related businesses cannot be conducted due to institutional deregistration or bankruptcy, and there is no data recipient, data destruction operations will be performed.

  • Destruction Methods

    • Logical Destruction: Executing deletion commands for the data and overwriting the original storage space so the original data is irrecoverable. This is the method used in most scenarios.
    • Physical Destruction: When the storage medium is no longer usable, the data storage medium is directly subjected to physical destruction, such as shredding or incineration, rendering the data irrecoverable.

2. DCS Cloud Platform Security

2.1 Platform System Development Security

Based on the principle that prevention is better than cure, DCS Cloud practices DevSecOps (Development, Security, and Operations, also known as "shifting security left"). Security practices are integrated into every stage of system development, identifying and resolving security issues early in the system lifecycle, reducing subsequent remediation costs and risks, and ensuring the system's inherent security.

  • Security Design: At project initiation, system security design is the core focus. Threat modeling is employed to identify potential system threats, attack surfaces, and vulnerabilities, with corresponding mitigation measures designed. Common security features like identity authentication, access control, data encryption, and configuration security are introduced to ensure the system architecture can withstand common attacks.
  • Secure Coding: System developers strictly adhere to secure coding standards, such as avoiding unsafe functions, implementing input validation, ensuring code has no buffer overflows, and using secure programming patterns, to reduce security vulnerabilities caused by coding errors.
  • Code Auditing: Code auditing involves a detailed review of source code, either manually or using automated tools, to identify potential security vulnerabilities, poor programming habits, or code segments that do not conform to security specifications. System development leads strictly review and assess code security at each development stage, concurrently utilizing code auditing tools to scan and review code, thereby ensuring the security quality of the system code.
  • Pre-Launch Testing: Before system launch, security engineers conduct vulnerability scanning and security testing on the system application and its dependent components to detect security vulnerabilities and configuration weaknesses, ensuring system security at launch.
  • WAF: A Web Application Firewall (WAF) is deployed at the front end of the system application. Acting as the first line of defense, the WAF can monitor, filter, or block malicious traffic, protecting web applications from common network attacks such as SQL injection and Cross-Site Scripting (XSS).

2.2 System Deployment Environment Security

DCS Cloud relies on the infrastructure and cloud services provided by independent third-party public cloud vendors. Based on the defense-in-depth concept, various security technology assurance systems are deployed at the physical environment, communication network, host system, and other layers, establishing comprehensive system environment security capabilities.

  • Physical Environment Security: The physical environment security of the data centers hosting the system is the responsibility of the public cloud vendors. These vendors have formulated and implemented comprehensive physical and environmental security protection strategies to effectively guard against potential physical environment risks (such as fire) and unauthorized access.
  • Host and Virtualization Security: The system relies on cloud services provided by public cloud vendors and utilizes state-of-the-art virtual machine technology. Through security control measures like image scanning, security hardening, tenant isolation, and intrusion detection, the security and reliability of the host virtual environment are ensured.
  • Network Security: Public cloud vendor network security control strategies are adopted, implementing multi-layer security isolation for physical and virtual networks and strictly enforcing access control and perimeter protection measures to ensure cloud network security.
  • Comprehensive Security Capability Coverage: Various security platform systems are deployed or connected, including HIDS (Host Intrusion Detection System), bastion hosts, WAF, vulnerability scanning and management systems, honeypot systems, data security gateways, log audit and analysis systems, and unified security operations platforms, providing comprehensive security technology protection for DCS Cloud.
  • Security Monitoring: Utilizing monitoring services provided by public cloud vendors and internal security platform systems, security events involving malicious attacks on system applications, hosts, networks, and other resources can be promptly detected. Upon discovering a security event, the incident response process is triggered for proper handling, timely eliminating the impact.

2.3 System Vulnerability Management and Incident Response

DCS Cloud has established a mature vulnerability management and incident response mechanism to ensure the timely handling of vulnerabilities and events in infrastructure, platforms, hosts, networks, and applications, reducing their risk impact on users.

  • Vulnerability Management: We have established a comprehensive mechanism for vulnerability discovery, remediation, and external disclosure. Vulnerabilities are discovered at multiple levels, such as through vulnerability scanning tools, penetration testing, and classified protection assessments. They are assessed and analyzed based on the industry best practice CVSS (Common Vulnerability Scoring System) to determine the vulnerability SLA (Service Level Agreement), followed by tracking through to closed-loop remediation, reducing and ultimately preventing the risk of vulnerabilities being maliciously exploited to impact user services.
  • Incident Management: Given the specialized, urgent, and traceable nature of security incident handling, we have established a comprehensive security incident grading and handling process, a security incident response team, and a pool of security experts to address security incidents. We adhere to the principles of rapid detection, rapid scoping, rapid isolation, and rapid recovery in security incident response to quickly handle incidents and minimize their impact.
  • Security Incident Response: We have established a 7x24 security incident response team to ensure strict and rapid handling upon the discovery of security incidents. Given the complex security risks in cloud environments, we have also developed various specific emergency response plans and conduct annual emergency drills for security risk scenarios to ensure rapid mitigation of potential security risks and maintain cyber resilience should such events occur.
  • Penetration Testing: We implement a penetration testing plan, organizing third-party experts with hacking skills to form an attack testing team. Employing hacker attack techniques and penetration testing methodologies, they identify vulnerable points in the cloud platform through simulated network attacks, objectively verifying the system's security defense and threat detection capabilities, and improving the system platform's defense system.

2.4 Organization, Policies, and Personnel Ensuring Security Execution

An efficient security organization, appropriate security policies, and security management and education for employees are the cornerstones for effectively executing the information security strategy. DCS Cloud has established an independent information security organization, issued various information security management policies, and regularly conducts security education and training for employees, laying a solid foundation for security work.

  • Security Organization: A dedicated information security organization has been established, staffed with specialized information security personnel to coordinate resources across departments, clarify roles and responsibilities, and effectively drive the implementation of information security work. Our information security organization includes an Information Security Management Committee, an Information Security Management Office, and a Compliance Management Office. Additionally, the organization has established clear working operational mechanisms, holding relevant work meetings regularly or as needed annually to coordinate and advance the implementation of information security work.
  • Security Policies: A comprehensive information security policy framework has been established, uniformly formulated and maintained by the Information Security Management Office. The policies cover information security guidelines, resource support, risk assessment, management review, incident response, data classification and grading, the full data lifecycle, risk monitoring and alerting, incident handling and violation penalties, personnel management and training, security auditing, access control, permission management, and user-side computer security, among other aspects. Simultaneously, to facilitate policy implementation, corresponding operational procedures have been formulated, and technical control tools have been introduced. Additionally, based on changes in internal and external environments, such as business adjustments or new legislation, the Information Security Management Office periodically reviews the policies, making necessary revisions and optimizations.
  • Security Education and Training: In terms of personnel security education and training, we are committed to building a comprehensive system covering employee security awareness development, emergency response plan training, and learning security operating procedures. This aims to enhance employees' security awareness and self-protection capabilities, effectively preventing incidents and security vulnerabilities. Moreover, specialized personnel involved in development and operations receive additional security technology training, such as development security and operational security training, to enhance their professional security capabilities.
  • Human Resources Security Management: Human resource security management is a crucial part of ensuring platform security. We follow unified human resource security management principles and adopt a series of measures throughout the three stages of employee onboarding, employment, and offboarding—such as pre-employment background checks, signing confidentiality agreements, and revoking permissions upon departure—to strengthen human resource security management and ensure employee security.

3. Third-Party Security Certifications of DCS Cloud

3.1 Cybersecurity Level Protection

Cybersecurity Level Protection is a legally mandated cybersecurity regulatory system in China, implemented according to laws such as the Cybersecurity Law and supervised by the cybersecurity departments of public security organs. Systems are classified into five security protection levels based on the potential harm to social order, public interest, and national security if compromised. Level 3 certification is the most common for general systems (Level 4 affects critical national domains, severely endangering national security). Annual assessments are required, employing a combination of technical and management approaches to ensure network and data security.

DCS Cloud has achieved Cybersecurity Level Protection Level 3 certification. The certification scope covers 10 general control areas: Secure Physical Environment, Secure Communication Network, Secure Area Boundary, Secure Computing Environment, Security Management Center, Security Management Policies, Security Management Organization, Security Personnel Management, Security Construction Management, and Security Operations and Maintenance Management, as well as extended requirements for cloud computing platforms. Additionally, an independent third-party assessment body conducts annual external assessments of DCS Cloud to ensure ongoing compliance with the Level Protection requirements.

Achieving Level 3 certification signifies that DCS Cloud has reached a high level of security protection for non-classified information systems in China, possessing the capability to defend against general network attacks, malicious damage, and significant security risks.

3.2 ISO/IEC 27001

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements (commonly known as ISO 27001) is the most authoritative and widely used international standard for Information Security Management Systems (ISMS), developed by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC), used for systematically managing information security risks.

DCS Cloud has achieved ISO 27001 certification. The certification scope covers all dimensions of organizational, people, physical, and technological controls, involving a total of 93 control items. Specific content includes information security policies, organization of information security, human resource security, physical and environmental security, access control, communications security, operations security, privacy protection, system development and maintenance, business continuity, and compliance. Furthermore, an independent third-party audit body conducts annual external certification audits of DCS Cloud to ensure the secure operation of the system continues to meet ISO 27001 requirements.

Achieving ISO 27001 certification demonstrates that DCS Cloud has established and effectively operates a systematic, traceable, risk-oriented ISMS in line with international standards, capable of continuously ensuring the confidentiality, integrity, and availability of information assets and possessing stable and standardized information security management capabilities.

3.3 Security Compliance Certifications Associated with DCS Cloud

DCS Cloud relies on the infrastructure and cloud services of internationally leading public cloud vendors to provide users with data computing, processing, and storage services. Based on the vendors' internationally leading security compliance capabilities, DCS Cloud has established a shared security responsibility model with them, jointly ensuring the comprehensive security and compliance of user business and data. For detailed information on the cloud vendors' security compliance capabilities, please refer to their publicly released security whitepapers.

Public Cloud Vendor Security Compliance Certifications (for reference):

  • Globally Recognized: ISO27001, ISO27017, ISO27018, CSA STAR, ISO9001, ISO20000, ISO22301, SOC1/2/3
  • Industry and Regional Recognitions: C5, MTCS, NESA/ISR, PCI-DSS, SEC Rule-17a, TRUSTe, HIPAA, MPAA, PDPA

4. Compliance with Security Laws and Regulations

DCS Cloud takes data security and privacy protection as its paramount guiding principle and builds its foundation on complying with domestic and international data security legal standards. When conducting business in various global regions, DCS Cloud establishes a legally compliant data security system based on local data security laws and standards.

4.1 China's Data Security Law, Personal Information Protection Law, etc.

The Data Security Law and the Personal Information Protection Law are two important laws in China concerning data security. DCS Cloud strictly complies with the requirements of China's Data Security Law and Personal Information Protection Law. As a data processor, it designates a data security officer and management body, regularly conducts risk assessments for data processing activities, establishes and improves full-process data security management systems, organizes data security education and training, and adopts corresponding technical measures and other necessary measures to ensure data and personal information security.

Furthermore, as a personal information controller and processor, DCS Cloud also complies with GB/T 35273 Information Security Technology — Personal Information Security Specification. Adhering to the fundamental principles of "lawfulness, justification, and necessity," measures such as encryption, masking, and de-identification are employed in all information processing stages, including acquisition, storage, use, sharing, transfer, and public disclosure, to maximize the protection of individual legal rights and public interests. Additionally, we were the lead institution in developing the national standard GB/T 41806 Information Security Technology — Security Requirements for Genetic Data, and our genetic data protection capabilities have become an industry best practice.

4.2 EU General Data Protection Regulation (GDPR)

The General Data Protection Regulation (GDPR) is a mandatory data protection regulation issued by the European Union, applicable to all entities processing the personal data of EU residents, regardless of location. Its core is strengthening individual data rights, including the right to be informed, right of access, right to rectification, right to erasure ('right to be forgotten'), right to data portability, and the right to object to automated decision-making. GDPR is widely considered the world's strictest data protection regulation, reshaping the data processing ecosystem through 'individual empowerment + strong supervision,' with extremely high penalties for non-compliance, making it an essential compliance baseline for businesses operating in the EU.

According to GDPR rules, DCS Cloud acts as both a data processor and data controller and adopts the following measures to fulfill data protection obligations:

  • Designating the system lead as the data protection officer, responsible for managing system data protection efforts.
  • Processing personal data following the principles of lawfulness, fairness, transparency, data minimization, storage limitation, and accountability.
  • Formulating a privacy policy that publicly discloses the types of personal data obtained, purposes, processing activities, and other relevant information.
  • Maintaining logs of personal data processing activities.
  • Implementing security measures such as encryption, masking, and de-identification to protect personal data.
  • Responding to data subject rights requests through system functions or disclosed contact methods.
  • Conducting personal data security impact assessments to mitigate security risks.
  • Establishing incident response plans and procedures to timely notify relevant authorities and affected individuals in the event of a personal data breach.

4.3 Singapore Personal Data Protection Act (PDPA)

The Personal Data Protection Act (PDPA) is Singapore's core data protection law, effective July 2, 2014, with the Personal Data Protection Commission (PDPC) overseeing regulation and policy implementation. PDPA generally regulates the collection, use, and disclosure of personal data by organizations, balancing individual data rights with organizations' legitimate use needs to prevent data misuse.

In compliance with the core obligations of PDPA, DCS Cloud takes the following privacy protection measures:

  • Notification and Consent: Notify users about the collection of their personal data and obtain consent via the privacy policy.
  • Purpose Limitation: Minimize the collection of personal data and process it within defined purposes only.
  • Access and Correction: The system provides personal data access and correction functionality.
  • Accuracy: Ensure accuracy through measures like input validation and mobile verification codes.
  • Protection: Conduct Privacy Impact Assessments (PIA) to identify and control privacy risks.
  • Retention Limitation: Retain personal data only for the period necessary to fulfill the purposes described in the privacy policy.
  • Transfer Limitation: No cross-border data transfer scenarios.
  • Breach Notification: Establish an incident response mechanism to timely disclose incidents and notify users as required.
  • Accountability Obligation: Formulate and implement a personal data protection policy, defining the security responsibilities of all relevant parties.

Conclusion

DCS Cloud regards user data security and privacy protection as its most important principles. We are dedicated to building an efficient and secure intelligent multi-omics data analysis platform, wholeheartedly providing users with stable, reliable, secure, trusted, and compliant computing and analysis services, and protecting the confidentiality, integrity, and availability of user data.

DCS Cloud considers security, stability, and high quality as its lifeline. Based on global security industry best practices and grounded in user security needs, we practice DevSecOps to build an inherently secure, trusted system platform that meets regulatory and standards compliance, providing professional, comprehensive, and multi-layered security system assurance for user business and data.

Appendix: Reference Documents

  1. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements, referred to as ISO27001.
  2. ISO/IEC 27701:2025 Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance, referred to as ISO27701.
  3. GB/T 41806-2022 Information Security Technology — Security Requirements for Genetic Data, referred to as GB/T 41806.
  4. GB/T 35273-2020 Information Security Technology — Personal Information Security Specification, referred to as GB/T 35273.
  5. GB/T 22239-2019 Information Security Technology — Baseline for Classified Protection of Cybersecurity, referred to as GB/T 22239.
Last update:
For questions and suggestions, please contact: cloud@genomics.cn
Copyright © 2026 DCS Cloud