安全白皮书框架

第一章         生态概况

点(以下服务方)是腾讯公司社交网络事业群(以下简称 SNG企业产品部研发运营的企业级服务平台,企业提供与其客户互动沟通进而促进客户转化的服务功能

 

第二章         合规性(行业合规性、安全合规性和内部审核)

(一)  服务方严格遵守相关的个人可识别信息(Personally Identifiable Information,以下简称PII保护法律和法规,主要包括:

法律:

        《中华人民共和国民法通则》第一百零一条;

        《中华人民共和国刑法》第二百五十三条第三款、第四款、第五款;

        《中华人民共和国网络安全法》第二十二条第四十一条第四十二条第四十三条第四十四条第四十五条

        《中华人民共和国侵权责任法》第二条、第三条;

        《中华人民共和国未成年人保护法》第三十九条;

        《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条;

        《全国人民代表大会常务委员会关于加强网络信息保护的决定》

        最高人民法院 最高人民检察院 关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

法规

        《中华人民共和国计算机信息系统安全保护条例》

        《中华人民共和国电信条例》

行政规章

        《电信和互联网用户个人信息保护规定》(2013716日中华人民共和国工业和信息化部令 24号公布)

        《规范互联网信息服务市场秩序若干规定》(2011127日中华人民共和国工业和信息化部令 20号公布)

(二)  根据国家法律和腾讯相关规定,服务方不会在未获得客户明确授权的情况将PII用作其他用途。

(三)  使用第三方服务商处理客户的PII客户明确告知并确保在第三方服务商的协议中包含敏感信息保密要求。客户如委托第三方向服务方提交PII客户也应确保第三方遵守相关的保密规定。

(四)  根据国家相关法律法规要求,服务方不会向未经客户授权或未经国家司法机关授权的第三方披露客户PII

(五)  服务方对外提供的服务为SAAS服务。

(六)  服务方的安全策略和规程文件,将长期保留以备客户参考。

(七)  客户PII存储于中华人民共和国大陆地区。

(八)  服务方在安全实践上遵守的标准为ISO/IEC 27001ISO/IEC 27018

 

第三章         安全保护框架

(一)  人员安全和供应商安全

  1. SNG企业产品部可以接触和处理PII的全部为腾讯公司正式员工,员工对于PII有严格的保密要求,保密协议于员工在职时和离职后均有效。
  2. 服务方使用分包商处理PII时,会在合同和协议中明示保密要求并对分包商的执行安全标准提出要求

(二)  数据安全

  1. 所有客户提交和数据处理过程中产生的内存临时数据,均会被不可撤销地自动清除。
  2. 服务方允许客户导出其提交的PII
  3. 在与客户的合同终止或者客户明确表示不再使用的情况下,服务方将对客户的数据进行隔离保存,并在180天后不可撤销地删除相关 PII
  4. 服务方采用严格的技术手段保护客户保存存储介质中的 PII信息:

        客户PII在存储介质中加密保存

        不允许PII保存到移动介质中,也不允许包含PII的存储设备转移出IDC

  1. 服务方系统在写入PII时进行加密并校验,使得该信息无法被其他程序错误读取并解释。
  2. 服务方不会用真实用户PII进行测试。
  3. 服务方确保每日对用户数据进行备份,并确保数据可恢复性和异地备份的安全性。如数据恢复,仅限个别系统管理人员拥有数据导出权限,且会对恢复数据的范围和过程进行记录。
  4. 服务方系统运行日志可能包含PII。按要求写入系统日志的PII必须加密脱敏。
  5. PII在公网上传输必须使用加密算法进行加密,加密强度不低于AES-256bit,在数据传输上使用经过安全评估的TLS协议进行
  6. 服务方在数据存储上使用强度不低于AES-256bit的算法进行加密。

(三)  访问控制

  1. 服务方提供接口给客户方授权的管理员操作PII括数据录入、数据修改、数据删除等功能。
  2. 客户可以自由填入删除存储在云端的PII
  3. 服务方为客户每位用户提供账号口令手机二维码登录方式,每位用户的权限由客户方授权的管理员设置

(四)  运维安全

  1. 如果出现对服务方系统的异常访问,可能影响到PII则服务监控系统会发出告警。
  2. 记录客户PII信息的日志,需要具备相应权限的管理员方可查看。
  3. 这些日志仅管理员可以查看,并在系统保留有限的时间
  4. 服务方引入腾讯集团以外的第三方处理客户 PII会在与之签订协议中包含保密条款;客户如委托第三方向服务方提交PII则需要服务方申请授权,并自行对第三方进行独立的信息安全评估。
  5. 服务方定期审视服务运行日志,如发现PII信息未经授权泄露,可能对客户造成损失的,会主动知会客户。
  6. 如果服务方发现产生了较大规模PII泄露,应根据国家相关法律规定,向主管机关主动汇报。汇报的信息包括:时间、处理结果、影响后果、报告人、报告对象和具体描述。

第四章         结语

ISO/IEC 27001是当今国际上最具有权威性且被广泛接受、应用的信息安全领域的体系认证标准。ISO/IEC 27018是第一个指导公有云服务供应商如何保护云用户个人信息安全的国际标准,其目的是将云服务的数据保护措施透明化,以增强企业对云服务的信任度。

随着国家网络安全法的落地实施,各监管部门单位的安全审查将更加严格和频繁,其配套的审查标准和方法也在不断完善其中对个人身份及隐私信息保护提出了重点要求。ISO/IEC 27001ISO/IEC 27018的框架及管理要求被大量借鉴至国家标准及行业标准。

我们服务方在面临当前针对企业的信息安全风险方面,标准为基础,同时学习业界先进经验,采取积极的手段去防止出现重大安全事件和PII泄露事件。