(一)围绕数据周期构建的安全合规保障体系
我们围绕信息数据生命周期的各个不同阶段都采取了不同的措施来保障信息安全,对收集的信息提供相应的安全保障,防止信息的丢失、不当使用、未经授权访问或披露,保障数据使用的合规。
① 数据收集安全
我们从客户端收集数据时目的明确,仅收集最小必要的信息,不收集用户行为信息及用户隐私敏感信息。从客户端收集到数据后,于客户端本地进行删除去位的脱敏处理,确保数据无法关联识别,保证采集的安全。
② 数据使用安全
我们通过统计报文的形式安全合规地使用数据,统计报文为由自有技术生成、维护和更新企业账户级商业ID及该ID所对应的风险分析情况(如如虚拟机统计、设备异常统计、重复新增统计)。报文内容进行匿名化及去标识化处理。任何人无法通过我们提供的服务数据进行数据关联或识别,从而定位到任一特定自然人。
③ 数据传输与存储安全
我们在进行数据传输的过程采用TLS、SSL加密技术进行传输,通过加密方式上传至通过等保三级安全审核的服务器,确保数据传输与存储的安全。
④ 数据删除安全
当我们终止提供服务,我们将及时停止从客户端收集信息的活动,并依照所适用的法律对直接收集到可关联或识别到具体个人的信息进行删除处理。对于我们在客户端所收集的所有信息仅在本政策所述目的和用途所需的期限内和法律法规规定的最短期限内保存,超出上述保存期间后,我们会根据适用法律法规的要求删除我们从客户端所收集到的所有信息。
(二)完备且权威的第三方安全合规标准认证
我们产品服务的安全合规性已通过多个第三方认证机构的认证。第三方认证机构根据相关国内及国际法律法规、标准或指南,审核我们产品服务的安全合规性控制措施。您大可放心,独立第三方至少每两年会审核一次这些控制措施的有效性,我们也会不断提升技术、运营及管理措施以保障安全与合规。以下是我们已经通过相关标准认证 :
① 国家信息系统安全三级保护测评及备案(简称“等保三级”)
等保三级由中国公安部信息安全等级保护评估中心制定,并通过全国信息安全标准化技术委员会审查。我们能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击,或较为严重的自然灾难以及其他相当危害程度的威胁所造成的损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能,基于此,我们已经于2019年通过等保三级标准的测评及备案。
② ISO 27001(信息安全管理体系标准)
ISO 27001是建立信息安全管理体系(ISMS)的一套需求规范,由国际标准化组织(ISO)制定,规定了一套最佳实践,包括文件要求,责任划分,可用性,访问控制,安全,审计,纠正和预防措施。ISO/IEC 27001认证有助于组织遵守与信息安全相关的许多法规和法律要求,是在行业内被广泛认可的信息安全认证的国际标准之一。我们在产品服务相关的系统、应用、人员、技术、流程和数据中心等方面的信息安全管理环节,已建立了一套科学有效的信息安全管理体系(ISMS)且已于2019年获得ISO 27001认证。
③ ISO 27701(信息安全和隐私管理体系标准)
ISO 27701是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的认证标准,该标准概述了一套全面的操作控制,可以映射到各种法规,包括GDPR。我们的信息安全和隐私管理的过程、系统设计及控制保护措施符合该标准要求。2020年9月,我们的信息安全保护和隐私管理体系通过了ISO 27701的认证,是目前国内少数进行该标准认证并通过的企业组织之一。
④ CSTC中国软件评测中心的检测和认证
CSTC中国软件评测中心是直属于国家工业和信息化部的一类科研单位。我们的产品通过了其依据GB/T 25000.51-2016系统与软件工程标准所做的检测评价,我们产品的功能性(信息采集、激活事件、接口机制)、性能效率(内存大小、资源利用)、兼容性、易用性、可靠性、信息安全性(保密性、完整性)及隐私合规性(权限控制、数据采集)均符合相关标准规范,系统架构符合安卓系统及iOS系统要求,运行稳定满足SDK类产品的安全合规要求。
⑤ 网安检测的SDK安全合规评估
“网安检测”由安证企业合规管理集团公司提供,该公司是国内专业的综合性信息安全服务检测机构。我们产品通过2022年度SDK产品安全合规评估。SDK在代码内容、运行申请权限、数据使用及保存、安全防御及信息使用合规上均符合《中华人民共和国网络安全法》、《个人信息保护法》、《信息安全技术 个人信息安全规范》等相关技术规范及法律法规的要求。产品具备完整的来源安全、代码安全及行为安全模块,相关的漏洞防御机制,数据传输及存储上安全性高,不获取敏感隐私信息,收集使用数据合理合规。
