友盟+一直非常重视信息安全体系的建设,从组织建设、制度流程、技术工具和人员能力等多个方面综合对全数据生命周期实施保护,保障数据的可用性、保密性和完整性。
????基础设施安全
友盟+的计算基础设施及架构安全如机房安全、服务器安全、网络设备安全等由阿里云提供保障。阿里云是全球领先的云计算服务提供商,具有强大的技术实力和良好的口碑,同时拥有国内外最完备的信息安全合规认证资质。
友盟+实时获取各个云服务的日志消息,对服务进程进行实时监控。
????数据安全
数据采集安全:友盟+制定了数据分类分级的原则、方法和操作指南,按照数据类型、敏感程度和数据价值制定不同的访问控制、加密解密、脱敏及变更等安全策略。友盟+制定了包括业务、法务、安全等多部门协同的数据采集内容审核机制,确保采集的数据符合“最小必要原则”。
数据传输安全:友盟+通过HTTPS进行数据传输,保证数据端到端过程中的安全。同时使用签名验证,确保数据不被篡改,识别过滤伪造数据。
数据存储安全:友盟+所有的原始数据都存储在阿里云的Odps服务上,本身底层是分布式架构,数据都是三个备份;在服务层Odps有回收站机制,任何删除的数据都会在回收站保留7-14天,在这个时间点内可随时拿回删除数据;展现数据存储在阿里云的OTS, RDS等服务上底层是分布式架构和主从架构,数据都是双备份和三备份,删除数据可以从备份中快速收回。确保数据的完整性。
根据数据分类分级标准,对敏感数据进行加密、脱敏处理。采用多因素登录,包括但不限于密码、随机token、手机短信验证、人脸生物识别等等认证方式,确保授权员工本人接触数据。通过网络隔离,确保用户只有在内网环境下才能访问数据存储。
按时间顺序记录存储系统发生的一系列活动,确保数据被正常访问,并对异常访问进行报警和事后追溯分析。在可接入内网的员工及访客设备(包括但不限于PC、手机等)上部署安全软件,保证终端设备不受外部入侵,同时对设备上存储的内部数据复制转移至非受控介质的行为进行实时监控和提醒。
数据使用安全:在服务端应用层面,必须统一接入权限管理系统,访问主体必须根据权限、角色和风险级别按需申请,并详细说明访问内容、访问理由、访问时长等相关信息,获得的访问权限定期复核,离职转岗后权限自动关闭;
在数据库操作层面,增删改查的操作命令全程监控,操作日志集中存储,操作流量实时分析,一旦发现高危 sql 语句、批量违规操作、危险时段异常操作等违背安全管理要求的行为,及时告警并可实时在线拦截。数据处理环境需在可信设备和可信网络环境中进行。
数据转移安全:充分符合ISO/IEC 27001:2013信息安全管理体系、ISO/IEC 27018:2019公有云个人信息保护管理体系和公安部信息系统安全三级等保的要求。友盟+制定了数据对外披露规范和审核制度,确保披露数据在《网络安全法》的许可范围内,以保护用户个人隐私数据为首要前提。所有对外披露行为均需经过统一线上审批流程才可实施。
数据销毁安全:任何存储过用户数据的存储介质,在数据删除后,会遵照 DoD 5220.22-M、NIST 800-88 标准进行清除数据、磁盘消磁以及物理销毁,避免数据泄露风险。
????个人信息保护
友盟+非常重视用户个人信息安全,严格遵守《中华人民共和国网络安全法》及其他相关法律法规的规定,积极引领制定并践行大数据行业个人信息安全规范,在全链路采用了多种手段保障用户个人信息。
开发者协议和隐私权政策:友盟+在网站上公布有《服务协议》和《隐私权协议》,在其中明示了友盟+对个人信息的保护政策和措施。每个开发者在注册友盟+账号时,均需阅读相应内容方可完成注册。
友盟+积极推动开发者将相关文件嵌入到App的隐私协议中,双重保护开发者和终端用户的权利。友盟+对自身的个人信息保护力度实行高标准、严要求,对接国际先进标准,采用技术手段保障用户的知情权、退出权等权利。
为了让开发者以及用户充分了解我们数据安全与隐私保护的政策,我们在官网公布了友盟+数据安全与个人信息保护声明,可长按或扫一扫下方二维码或点击【阅读原文】阅读或给我们提出建议。
友盟+数据安全与个人信息保护声明
????好文推荐
《移动互联网“战疫”报告:办公通讯增幅为去年65倍,旅游出行跌幅为去年3.4倍》
企业博客