企点安全白皮书框架

企点产品 | 安全管理部

声明

【版权声明】

©2016-2021 腾讯企点版权所有

本白皮书框架著作权归腾讯企点所有,未经企点事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分内容。

【商标声明】

及其企点服务相关的商标均为腾讯公司所有。本白皮书框架涉及的第三方主体的商标,依法由权利人所有。

服务声明

本白皮书框架仅供参考,对于本文档中的信息,企点不作明示、默示的保证。本白皮书框架基于现状编写本白皮书框架中的信息和意见,包括网址和其他互联网网站参考,均可能会改变,不另行通知您将自行承担使用它的风险。

本白皮书框架未授予您任何腾讯产品的任何知识产权的法律权利,可以复制和使用本白皮书框架内容作为您内部以参考为目的的使用。

 

版本记录

版本

生效时间

说明

V1.0

2017811

版本创建

V1.1

20181229

增加声明修改SNGCSIG修订第二章第(四)项和第三章第(四)项第5点。

 

 

 

 

目录

 

企点安全白皮书框架

第一章企点生态概况

第二章合规性(行业合规性、安全合规性和内部审核)

第三章安全保护框架

第四章结语

 

 

 

 

 

 

安全白皮书框架

第一章         生态概况

点(以下服务方是腾讯公司云与智慧产业事业群(以下简称 CSIG企业产品部研发运营的企业级服务平台,企业提供与其客户互动沟通进而促进客户转化的服务功能

 

第二章         性(行业合规性、安全合规性和内部审核)

(一)  服务方严格遵守相关的个人可识别信息(Personally Identifiable Information,以下简称PII保护法律和法规,主要包括:

法律:

        《中华人民共和国民法通则》第一百零一条;

        《中华人民共和国刑法》第二百五十三条第三款、第四款、第五款;

        《中华人民共和国网络安全法》第二十二条第四十一条第四十二条第四十三条第四十四条第四十五条

        《中华人民共和国侵权责任法》第二条、第三条;

        《中华人民共和国未成年人保护法》第三十九条;

        《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条;

        《全国人民代表大会常务委员会关于加强网络信息保护的决定》

        最高人民法院 最高人民检察院 关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

法规

        《中华人民共和国计算机信息系统安全保护条例》

        《中华人民共和国电信条例》

行政规章

        《电信和互联网用户个人信息保护规定》(2013716日中华人民共和国工业和信息化部令 24号公布)

        《规范互联网信息服务市场秩序若干规定》(2011127日中华人民共和国工业和信息化部令 20号公布)

(二)  根据国家法律和腾讯相关规定,服务方不会在未获得客户明确授权的情况将PII用作其他用途。

(三)  使用第三方服务商处理客户的PII客户明确告知并确保在第三方服务商的协议中包含敏感信息保密要求。客户如委托第三方向服务方提交PII客户也应确保第三方遵守相关的保密规定。

(四)  根据国家相关法律法规要求,服务方不会向未经客户授权或未经国家司法机关授权的第三方披露客户PII经法律授权或具备合理事由确需公开披露时,我们会向客户告知此次公开披露的目的、披露信息的类型及可能涉及的敏感信息,并征得客户的明示同意

(五)  服务方对外提供的服务为SAAS服务。

(六)  服务方的安全策略和规程文件,将长期保留以备客户参考。

(七)  客户PII存储于中华人民共和国大陆地区。

(八)  服务方在安全实践上遵守的标准为ISO/IEC 27001ISO/IEC 27018

 

第三章         安全保护框架

(一)  人员安全和供应商安全

  1. CSIG企业产品部可以接触和处理PII的全部为腾讯公司正式员工,员工对于PII有严格的保密要求,保密协议于员工在职时和离职后均有效。
  2. 服务方使用分包处理PII时,会在合同和协议中明示保密要求并对分包商的执行安全标准提出要求

(二)  数据安全

  1. 所有客户提交和数据处理过程中产生的内存临时数据,均会被不可撤销地自动清除。
  2. 服务方允许客户导出其提交的PII
  3. 在与客户的合同终止或者客户明确表示不再使用的情况下,服务方将对客户的数据进行隔离保存,并在180天后不可撤销地删除相关 PII
  4. 服务方采用严格的技术手段保护客户保存存储介质中的 PII信息:

        客户PII在存储介质中加密保存

        不允许PII保存到移动介质中,也不允许包含PII的存储设备转移出IDC

  1. 服务方系统在写入PII时进行加密并校验,使得该信息无法被其他程序错误读取并解释。
  2. 服务方不会用真实用户PII进行测试。
  3. 服务方确保每日对用户数据进行备份,并确保数据可恢复性和异地备份的安全性。如数据恢复,仅限个别系统管理人员拥有数据导出权限,且会对恢复数据的范围和过程进行记录。
  4. 服务方系统运行日志可能包含PII。按要求写入系统日志的PII必须加密脱敏。
  5. PII在公网上传输必须使用加密算法进行加密,加密强度不低于AES-256bit,在数据传输上使用经过安全评估的TLS协议进行
  6. 服务方在数据存储上使用强度不低于AES-256bit的算法进行加密。

(三)  访问控制

  1. 服务方提供接口给客户方授权的管理员操作PII括数据录入、数据修改、数据删除等功能。
  2. 客户可以自由填入删除存储在云端的PII
  3. 服务方为客户每位用户提供账号口令手机二维码登录方式,每位用户的权限由客户方授权的管理员设置

(四)  运维安全

  1. 如果出现对服务方系统的异常访问,可能影响到PII则服务监控系统会发出告警。
  2. 记录客户PII信息的日志,需要具备相应权限的管理员方可查看。
  3. 这些日志仅管理员可以查看,并在系统保留有限的时间
  4. 服务方引入腾讯集团以外的第三方处理客户 PII会在与之签订协议中包含保密条款;客户如委托第三方向服务方提交PII则需要服务方申请授权,并自行对第三方进行独立的信息安全评估。
  5. 服务方定期审视服务运行日志,若发生PII泄露等安全事件,我们会启动应急预案,阻止安全事件扩大,并以推送通知、公告等形式告知客户
  6. 如果服务方发现产生了较大规模PII泄露,应根据国家相关法律规定,向主管机关主动汇报。汇报的信息包括:时间、处理结果、影响后果、报告人、报告对象和具体描述。

 

第四章         结语

ISO/IEC 27001是当今国际上最具有权威性且被广泛接受、应用的信息安全领域的体系认证标准。ISO/IEC 27018是第一个指导公有云服务供应商如何保护云用户个人信息安全的国际标准,其目的是将云服务的数据保护措施透明化,以增强企业对云服务的信任度。

随着国家网络安全法的落地实施,各监管部门单位的安全审查将更加严格和频繁,其配套的审查标准和方法也在不断完善其中对个人身份及隐私信息保护提出了重点要求。ISO/IEC 27001ISO/IEC 27018的框架及管理要求被大量借鉴至国家标准及行业标准。

我们服务方在面临当前针对企业的信息安全风险方面,标准为基础,同时学习业界先进经验,采取积极的手段去防止出现重大安全事件和PII泄露事件。