03 facebook開發者賬號怎么申請(小米8谷歌服務開關在哪)

據也不能隨意存儲在中國境內的服務器上。

三、如何評估和滿足安全合規要求

了解了安全合規的趨勢和相應的重點之后，我們如何評估和滿足安全合規的要求呢？首先回溯前面介紹的安全合規的框架。

用戶知情同意包括充分告知和權利保障。充分告知就是提供用戶隱私協議，權利保障就是用戶可以拒絕、可以刪除，而且收集的數據要符合最小化原則（最小必要）。

安全保障義務比較復雜。首先，從風險評估、公司內部的制度建設到安全開發流程中都會涉及這個問題，比如產品從需求階段就要有安全方面的專家確認是否涉及用戶數據、用戶數據怎么傳輸、用戶數據怎么來保存、是否是必要的等等，因此從產品需求階段到方案設計階段，到最后上線階段都要有必要的安全評估。

其次是技術保障，這里的技術保障指的是采集過程當中的傳輸、存儲都應當采取足夠的技術保障，換算成技術角度就是說，傳輸過程中要進行傳輸的加密，存儲過程中要進行存儲的加密。法律法規不會規定具體的某個安全措施，只是要求采取必要的技術措施保障用戶數據的安全。

所以從技術角度側理解，要采取業內比較標準的或者比較高標準的安全措施，比如買粉絲s默認是使用其他的傳輸協議，比如TCP、UDP等也應當符合業內的安全標準。

當然，安全保障還少不了審計和監管，就是說要有一定的安全開發流程或者安全制度，滿足監管機構的監管要求。

3.1、如何評估安全合規的要求

那么，如何評估安全合規的要求呢？這要看我們具體的涉及的業務，不同領域的要求是不一樣的。諸如金融、醫療等領域的要求會更加嚴格。在某些醫療領域，對于醫療用戶（患者）的數據或者處理要記錄至少5年以上，這是該領域的一個特殊要求。另外，針對不同區域用戶的要求也不一樣，比如剛才提到的東南亞，新加坡就有自己的特殊規定，其他地區也有相關的特殊要求。

客戶的行業之間也有不同的安全要求，重要的企業或者事業單位，對于數據庫有時會有一些特殊的要求，比如要求必須是國內的數據庫，這就是不同的行業或者不同的客戶可能面臨的特殊要求。還有一個重要的因素就是要評估依賴的

節，我們將系統性地介紹各層中的技術及運營環節的安全風險控制措施。

6.1數據中心計算資源安全

環信即時通訊服務由國內外多個數據中心（IDC）以及頭部公有云供應商的云服務組成，以構建一個統一、高可用、高擴展、高效率、高安全的基礎資源環境。

6.1.1網絡隔離

對網絡進行合理的劃分，定義清晰用途，制定適配的訪問控制策略，是網絡安全的前提之一。環信基于IMPaaS承載功能和安全級別的不同，將網絡劃分出了核心、邊緣、IT等幾大安全區域。在不同的安全域之間，根據不同的業務訪問需求和安全級別，環信制定了不同的路由策略以及嚴格的安全訪問策略。

6.1.2防DDoS攻擊

分布式拒絕服務攻擊（DistributedDenialofService，DDoS）會對IM服務的系統和業務可用性產生重大影響，嚴重時可導致服務中斷或質量下降。為此，環信基于自身服務的特性，結合公有云能力，在核心服務上部署了DDoS防御方案。該方案能夠實時檢測并防御來自網絡層、傳輸的DDoS攻擊。防DDoS攻擊方案，能夠自動檢測、自動調度并觸發清洗功能，數秒內就可以完成攻擊、流量清洗動作，保證核心服務的可用性。

此外所有DDoS攻擊事件，都會通過郵件、短信、電話等方式，第一時間知會安全團隊，以便安全團隊持續關注和響應決策。

6.1.3主機、數據庫、中間件等計算資源安全

各類服務運行所依賴的資源，由操作系統或容器化為關聯的后臺程序、緩存、數據庫等中間件，合理地調度分配CPU、內存、磁盤等資源來滿足。環信結合自身基礎服務場景，在實際安全運營中，通過制定適配的安全基線、漏洞管理規范，并落地縱深威脅檢測機制，確保基礎運算負載資源的安全性。

6.1.3.1安全基線

環信制定了IDC和公有云的安全基線，涵蓋主機操作系統、容器、數據庫、存儲、Web服務等中間件，內容包括賬戶安全、身份認證、最小服務、最小授權、日志審計、時鐘同步等。并根據不同的用途，對操作系統或中間件進行不同程度的安全配置加固，確保新交付的運算負載資源滿足相關安全基線要求。對于運行中的負載資源，安全團隊會進行定期的配置巡檢，對比與安全基線的差異，輸出不符合項，通知到關聯的運維和業務技術團隊，并落實整改。

6.1.3.2漏洞管理

所有交付上線的運算負載資源，均來自統一管理的操作系統鏡像或中間件軟件包。對于交付使用中的資源，安全團隊會采集操作系統和中間件版本信息，然后發送到安全運營系統中分析，從而識別是否存在受漏洞影響的版本。對于公有云上的主機資源，環信會部署公有云的安全客戶端，實現對操作系統和中間件等軟件產品的實時漏洞檢測。另外，安全團隊通過部署業界知名商業漏洞掃描產品，定期對運算負載資源發起掃描巡檢，輸出漏洞掃描報告，并將信息采集到安全運營系統。

一旦發現存在漏洞版本匹配的組件，安全團隊會對漏洞的風險做綜合評估，提供應急處置措施和修復建議，并聯合運維及相關業務技術團隊落實漏洞修復、配置加固、鏡像更新，從而實現漏洞管理的閉環。

6.1.3.3計算資源中的安全運維

運維賬號安全

在日常運維中，環信制定并啟用了IAM（IdentityandAccessManagement，身份和訪問控制管理）機制，所有涉及運維內容的人員必須具有有效的身份和授權才可進行操作，運維賬號與員工身份一一對應，其默認啟用MFA（Multi-factorauthentication,多重要素驗證）。

操作系統賬號安全

對于系統賬號，環信制定了一系列安全制度和操作規范，例如，避免使用弱口令作為密碼，并要求定期更換，信息安全團隊也會通過定期的安全檢查。

運維操作審計

環信在日常運維過程中，會實時記錄歸檔各類操作，制定實時監控告警策略，并對風險操作及時處置。

6.2SDK安全

環信提供iOS、Android、Flutter、ReactNative、Windows、小程序、Web等平臺的SDK支持，以滿足開發者及用戶的各類實時音視頻互動接入需求。IMSDK不僅僅為開發者及用戶提供簡單、易用、統一、可信、安全的即時通訊開發套件，也竭盡全力為開發者及用戶提供合規、安全的配置選項，以提升開發者及用戶在實時音視頻互動場景和應用中合規監管和應對信源數據安全威脅的能力。

根據國家法律法規規定及監管機構執法要求，APP在使用第三方SDK時，必須在APP《隱私政策》中告知用戶，并在調用時序上做好延遲初始化配置，確保用戶同意APP《隱私政策》后SDK才可以被啟動，進行數據采集和服務。為了幫助開發者避免合規風險，環信推出隱私政策合規要求，包括隱私政策展示內容和展示形式合規。關于環信所收集的信息種類、用途、個人信息保護的規則及退出機制等，詳見環信官網（

6.2.1SDK的合規與安全保證

環信在為開發者提供SDK時，SDK的可信和安全是首要保證的內容之一。在評審SDK新增或迭代的功能時，會充分評估功能需求在合規隱私以及安全上的風險點，確保與環信合規和隱私政策的一致性。功能實現時，會在進行充分的質量保證（QA）測試時對代碼進行安全審計，在涉及引用或集成第三方SDK、庫文件時進行安全檢測，尤其是合規性確認，例如，是否存在惡意代碼或后門，是否遵守版權或使用協議。如果檢測出存在風險，SDK只有在修復并確認無風險后，才允許進入下一階段。在分發環節，會在官方渠道更新。

6.2.2對開發者及用戶的安全與合規支持

在SDK上，環信提供了設備端存儲內容加密，日志安全等安全配置選項，以協助開發者及用戶完善即時通訊數據安全及隱私合規。有需要的開發者及用戶，可以參考開發者文檔進行配置啟用。

6.2.2.1本地存儲內容

環信SDK使用行業標準的加密技術對在設備本地的消息等內容記錄進行加密存儲。

6.2.2.2日志脫敏

環信SDK提供不同的日志級別，方便開發者在開發調試和發布時使用，同時對設備上的日志進行脫敏，防止用戶數據被識別和竊取。

6.3RESTfulAPI安全

為方便開發者高效地管理自己的應用和服務，諸多業務功能和管理功能以RESTfulAPI的方式供開發者調用。在安全保障上，除了將站點接入WAF外，還有如下的安全控制措施。

身份鑒權

開發者在使用RESTfulAPI前，需先登錄控制臺，創建開發者專屬的key

amp;secret。后續API調用，需使用對應的key

amp;secret對，以區分不同項目或應用。

傳輸安全

RESTfulAPI支持HTTPS協議，以確保使用SSL/TLS對所有API通信進行加密，可以保護API憑據和傳輸的數據，以及防止一些如中間人攻擊（MITM,maninthemiddle）等。

API限速

服務端對API請求的速率有限制，在保證正常用戶請求可以得到響應的同時，限制惡意用戶的API請求。

輸入驗證

開發者請求的參數會經過服務器后臺過濾，以避免一些常見的易受攻擊缺陷（SQL-注入，遠程代碼執行等）。

七、環信數據安全

數據作為信息活動的載體，經過合法合規且安全的處理尤為重要。數據安全是環信最為關切的問題之一，本節將介紹環信在數據安全上采取的政策及落實的管理和技術控制措施。

7.1數據安全政策

針對日益嚴峻的網絡安全態勢，以及逐漸趨緊的監管要求，環信堅持以數據保密、完整和高可用作為業務服務的數據安全發展戰略，并將數據安全理念融入安全體系建設過程中，即

保密性：防止未經授權的訪問和竊聽

完整性：防止惡意篡改和偽造數據

可用性：通過不同數據中心和邊緣節點保障數據高可用

因此環信對所有員工均開展信息保護、隱私合規及保密意識安全培訓，并簽訂保密協議；對違反數據安全制度和保密要求的人員，我們會視情形嚴重程度以采取相應的違規處理措施，包括但不限于談話、加強培訓考核、解除勞動協議及追究其他法律責任等措施。

7.2數據采集

采用最小化的數據采集原則，只采集經用戶授權同意的，且業務所必須的數據字段。

7.3數據脫敏

為保護數據隱私，環信針對官網控制臺的企業和個人信息均進行脫敏后的展示，此策略同樣也適用于不同的服務和SDK。

7.4數據保護和加密傳輸

在IMPaaS服務中，對于不同的傳輸通道例如SDK與服務器，服務器與用戶的應用服務器之間等，都支持安全傳輸協議(HTTPS/TLS/WSS等)

7.5數據使用和存儲

對于開發者及用戶的機密信息，如密碼，我們會以哈希加鹽值（salt）的方式進行存儲。對已存儲的信息，將根據相關監管要求和制定的數據備份和存儲策略，嚴格制定數據保存期限，并按要求在需要時對其進行銷毀；對來自開發者及用戶的數據處理申請，我們將根據開發者及用戶的授權及相應監管要求配合實施數據清理或轉移。

7.6用戶的數據權利

提供了不同維度的用戶權益的API方面支持用戶數據的導出和刪除。

八、環信安全運營

安全是一個持續的過程，在實際安全運營中

很赞哦!（96512）