(站点名)平台个人信息保护措施
(站点名)作为本地综合运营平台,对用户个人信息收集及保护非常重视。分别从物理网络主机业务以及制度等层面来增强安全具体措施如下
一、物理层面
1.服务器均采购阿里云服务,并且是阿里云华东1区的重要客户,由阿里云苏州分公司提供专属保障服务。(站点名)网络在阿里云租用各类云资源服务实例愈千个,借助阿里云强大的云计算能力以及安全、稳定、可伸缩的保障能力,为(站点名)用户信息提供持续、可靠的保障。
2.建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。同时,通过云端网络机房以及阿里云华东1区机房实现了数据异地备份,即便发生地震、火灾、洪水等重大自然灾害也可以确保用户数据安全无虞,并能在最短时间内恢复用户数据及访问
网络层面
1.目前所有对外的网络请求地址均采用https方式增加用户信息访问传输安全性
2.在互联网接入层采用阿里云WAF旗舰版,支持自动防护漏洞、多重动态防御、防扫描探测、全场景流量管理于爬虫防控、API安全防护、敏感信息泄露防护,页面防篡改等强大的安全防护功能,有效的保护和抵御来自外部网络的各种黑客行为与黑客攻击;在服务器网络层采用阿里云VPC网络隔离技术对业务进行网络分组,建立安全边界和不同安全策略加强服务器的安全控制。(根据自身情况,选择性填写)
3.服务器端的访问上,运用阿里云ECS安全组配置以及服务器系统层面的iptables服务,屏蔽一切不必要的端口访问,仅开放相关业务层端口访问进一步增加业务访问请求用户信息的安全性。
主机层面
1.针对服务器的管理采用堡垒机管理方式,所有linux服务器全部采用密钥认证,并仅授权堡垒机访问,所有运维和开发人员必须通过堡垒机登录服务器来完成日常维护操作,通过堡垒机记录运维和开发人员的操作内容,同时对敏感操作,如数据导出、删除等实施先审后执行的策略,确保内部数据安全。(根据自身情况,选择性填写)
2.(站点名)针对服务器采用阿里云安骑士安防产品,主动对主机层面的后门文件,DDOS木马文件以及系统文件被污染等安全事件进行检测,避免主机遭受攻击。能够对主机进行漏洞检测,发现漏洞,可以主动修复处理。切实保障主机内数据安全。
3.严格按照国家相关法律法规及监管部门的要求做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录的功能,内容包括IP地、访问页面,客户端信息、请求数据信息等,并对网站访问日志进行异机备份,集中存储,并部署有日志分析系统监控每个用户信息访问行为
业务层面
1.关于信息收集上目前平台业务鉴别身份主要基于用户名+密码 or手机号+验证码 的信息验证机制不涉及银行卡身份证等敏感信息另外所有业务中不涉及也不存储用户的敏感信息有特定信息生物识别信息金融账户医疗健康信息行踪轨迹未成年信息其他敏感信息等),关于地理位置上只有用户主动授权的情况下会在发布内容或查看天气等业务情况获取当前的位置信息但不会实时收集形成轨迹也不会形成位置关联
2.客户端业务所有获取用户设备相关权限的地方均设置需用户主动同意才会获取
3.支持用户主动注销账号功能
4.支持用户设置个人信息隐私设置
5.另外在对外显示上仅显示用户昵称密码会加密存储,手机号中间几位数字信息都进行了相关隐藏处理。后台对查看用户信息的管理人员也有基于角的权限控制。
6.针对用户交互行为,开发了用户互动日志系统,用于记录用户互动行为、以及互动当时的网络和设备相关信息方便配合监管部门进行信息安全调取查询。这部分数据权限极为严格仅开发给责任人查看
7.业务上对异常注册用户,绑定手机号或疑似设备都有关联监控,对一设备绑定多账号,一账号关联多设备的用户都会实施监控,方便及时做封禁处理。
个人敏感信息
制度层面
1.严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保用户信息数据安全。
2.网站信息的更新内容全部由公司职业素养较高、专业水平较好,有强烈的责任心和责任感的网站工作人员来完成或审核。所有网站相关信息发布之前都会经过人工智能审核平台初审,再由工作人员人工复审,确保信息发布内容符合国家的有关法律、法规,以及当地政府的相关规定。
3.遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。
4.网站所有访问信息都及时备份,并按照国家有关规定保存不低于6个月内的系统运行日志和用户使用日志记录。
5.制定并遵守安全教育和培训制度。加大宣传教育力度,增强员工网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。
6.尊重并保护用户的个人隐私,在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下,未经用户授权不得公布与用户个人身份有关的资料,除非因法律或者执法机关的执法要求。
7.严格遵守网站用户帐号使用登记和操作权限管理制度,对用户信息专人管理,严格保密,未经允许不得向他人泄露。
8.公司定期对相关人员进行网络信息安全培训并进行考核,使相关人员能够充分认识到网络安全的重要性,严格遵守相应规章制度。
9.公司严格执行本规章制度,并形成规范化管理,建立健全信息网络安全小组。安全小组由单位领导负责,网络技术、客户服务等部门参加,并确定至少一名安全负责人作为突发事件处理的联系人。