首页/协议条款 /

穿山甲平台开发者数据安全合规需求规格书

一、数据基本情况
序号项目
1您应当按照法律法规、监管政策和国家标准的相关要求,确保您的应用合法合规地向用户提供服务,并保证将接入穿山甲服务向用户进行告知并取得用户的授权同意。您保证在本合作中传输的数据(包括您主动向穿山甲传输以及您通过接入穿山甲相关SDK而由SDK收集的数据)来源全部合法合规,并按照相关合规要求取得了在合作期间内持续有效的用户授权同意。
2您应当采取安全传输协议进行数据传输,如在合作中接收数据,您应当根据法律法规、监管政策和国家标准的要求对数据进行处理(包括但不限于进行加密存储等)。
3您保证您不会将本合作中涉及的数据转委托给其他第三方进行处理。
4您保证您不会将本次合作涉及处理的数据提供、转移、披露给任何第三方主体。
5您保证您不会将本次合作涉及处理的数据转移至中华人民共和国大陆以外地区。
6您应当保证您在本合作中处理的数据满足合法、正当、必要、诚信原则。
7如果您的用户撤回您收集、处理其个人信息的授权,您应当提供例如产品功能、客服电话、意见反馈邮箱等渠道实现该等诉求并及时响应,并且不会设置不合理的限制和前提条件。
8您应当根据相关法律法规、监管政策和国家标准的要求建立相应的应急响应和处置制度,确保第一时间能够对数据安全事件做出及时响应和妥善处理。
9您应当根据相关法律法规、监管政策和国家标准的要求建立响应相关个人信息主体请求、申诉的机制,会妥善留存相关请求、申诉记录。
10在您的用户撤回同意您收集、处理其个人信息的授权(包括向我们提出或直接向您提出)或者本次合作结束之后,或者您停止向您的用户提供服务,或者没有其他法定要求继续存储这些个人信息时,您应当立即删除此类信息。
11您处理数据的相关系统应当通过网络安全等级保护评测,具备关于网络安全、隐私保护管理相关的资质证书。
12您应当具备数据安全和个人信息保护相关的内部规范和权限管控流程,对所处理的数据的查看、修改、删除、上传、下载、导入、导出等操作的权限具备权限控制、内部审批流程以及日志记录。
13您应当根据法律法规、监管政策和相关国家标准,对员工进行定期的个人信息保护和数据安全的培训。
二、技术和组织安全措施
序号 项目
一、 人员安全措施
1. 您应当按遵循“最小授权”、“按需知道”的原则,建立信息系统权限管理制度,当发生人员录用、离职、调岗、解雇时,及时处理或调整其信息系统权限,并保证按照此要求严格执行。
2. 您在录用具有信息系统权限的人员前,应对拟录用人员开展背景调查,签署保密与竞业协议。
二、 物理安全措施
1. 您应当建立机房相关的访问控制管理制度,人员进入机房需要申请审批同意后方可进入,且进入机房需要登记,并需要全程陪同等。
2. 您应当建立办公场所相关的访问控制要求,设立访客等待区域,访客进入办公区域需要登记、佩戴访客标识并由员工全程陪同等。
三、 网络安全措施
1. 您应当在网络层面搭建ACL或防火墙,防止SSH、mysql、redis、mongodb等高危端口服务直接暴露在公网中。
2. 您应当将生产环境网络与开发测试环境、办公环境网络进行隔离。
3. 您应当对网络设备的登录来源IP进行限制,进行身份鉴别。
4. 您应当对网络设备开展例行安全扫描。
5. 您应当对使用无线网络建立鉴权机制。
四、 主机安全措施
1. 您应当建立主机层面的访问控制要求。只有授权的用户才能登陆服务器,并且通过白名单的形式限制登录服务器的来源IP。
2. 您应当对服务器配置强口令并且确保定期更换。
3. 您应当使用堡垒机,并确保只有通过堡垒机才能登录服务器。
4. 您应当记录用户每次的操作行为并定期审计。
5. 您确保已经搭建相关入侵检测系统。
6. 您确保已经搭建相关监控报警系统。
7. 您确保会定期对服务器进行安全扫描。
五、 应用安全措施
1. 您应当建立应用层面的访问控制要求,只有经过合理授权审批的用户才能访问应用系统。
2. 您应当在应用层面对相关个人信息和数据进行脱敏展示,包括:客户姓名、电话、邮箱、银行账号、住址、证件号。
3. 您应当在产品上线前进行安全检查测试以确保产品安全。
六、 数据安全措施
1. 您应当通过采取访问控制策略、数据存储加密、数据传输加密等方式防止数据泄露。
2. 您应当对收集的用户个人信息进行备份,并且放置异地数据中心中。
3. 您应当在完成使用目的,后续无需再为其提供服务后,会对收集的用户个人信息进行删除。
4. 您应当记录对用户个人信息的所有操作行为,包括访问、导出等重要操作,并且定期进行审计。
七、 桌面安全措施
1. 您确保员工办公设备已安装杀毒软件。
2. 您确保员工办公设备已配置强口令并且确保定期更换。
八、 应急响应
1. 您应当定期组织应急预案演练。
2. 您应当在对接系统或您的人员发生变更时,及时通知到我们相关负责人员。
3. 您应当建立数据泄露通报机制,包括进行内部通报、向北京巨量引擎网络技术有限公司及其关联公司进行通报等。
联系我们