你正在選擇實(shí)時(shí)互動(dòng)云服務(wù)?以下是聲網(wǎng)關(guān)于安全合規(guī)的七個(gè)建議

  • 人閱讀
  • 2021-02-26 11:31:41

  • 來(lái)源:消費(fèi)日?qǐng)?bào)

  • 相關(guān)關(guān)鍵詞

隨著實(shí)時(shí)互動(dòng)廣泛應(yīng)用于在線(xiàn)教育、社交直播、企業(yè)協(xié)作、在線(xiàn)醫(yī)療、金融保險(xiǎn)等各行各業(yè),很多應(yīng)用開(kāi)發(fā)者會(huì)選擇實(shí)時(shí)互動(dòng)云(RTE PaaS)服務(wù)商幫助其快速構(gòu)建功能豐富的應(yīng)用。但是在選擇RTE PaaS服務(wù)商之前,你需要確切了解服務(wù)商在數(shù)據(jù)隱私、安全性和標(biāo)準(zhǔn)合規(guī)方面所提供的保障。

一、為什么安全合規(guī)很重要?

開(kāi)發(fā)者需要在服務(wù)條款中明確說(shuō)明如何存儲(chǔ)、使用和共享開(kāi)發(fā)應(yīng)用的個(gè)人數(shù)據(jù),并嚴(yán)格遵守相關(guān)服務(wù)條款。另外,當(dāng)開(kāi)發(fā)面向全球市場(chǎng)的應(yīng)用時(shí),開(kāi)發(fā)者需要了解自己是否遵守GDPR、CCPA等數(shù)據(jù)隱私法規(guī)以及其他當(dāng)?shù)鼗騾^(qū)域性的政策法規(guī)。為保障應(yīng)用程序能更加安全地管理用戶(hù)數(shù)據(jù),開(kāi)發(fā)者需要了解PaaS合作伙伴處理其涉及的任何數(shù)據(jù)的具體方式。

安全是業(yè)務(wù)的一種屬性,其作用是通過(guò)有效的管理和技術(shù)措施來(lái)控制內(nèi)外部風(fēng)險(xiǎn),在遵守相關(guān)法律法規(guī)的前提下,為業(yè)務(wù)服務(wù)的機(jī)密性、完整性和可用性提供可靠保障。

二、聲網(wǎng)對(duì)開(kāi)發(fā)者的建議:

對(duì)于開(kāi)發(fā)者來(lái)說(shuō),安全且合規(guī)地處理用戶(hù)個(gè)人隱私數(shù)據(jù)是應(yīng)用程序的重中之重,聲網(wǎng)Agora 在設(shè)計(jì)、開(kāi)發(fā)和部署SD-RTN™、SDK 以及其他產(chǎn)品和服務(wù)時(shí),都會(huì)嚴(yán)格執(zhí)行內(nèi)部的SDLC(Secure Software Development Lifecycle)控制,并嚴(yán)格遵守相關(guān)政策法規(guī),幫助開(kāi)發(fā)者構(gòu)建符合各類(lèi)隱私政策與法規(guī)的應(yīng)用場(chǎng)景。

開(kāi)發(fā)者需要明確自己的業(yè)務(wù)場(chǎng)景,以及相關(guān)的安全責(zé)任邊界。

聲網(wǎng)Agora RTE服務(wù)與客戶(hù)的安全責(zé)任邊界示意如下:

你正在選擇實(shí)時(shí)互動(dòng)云服務(wù)?以下是聲網(wǎng)關(guān)于安全合規(guī)的七個(gè)建議

Agora致力于為客戶(hù)提供隨時(shí)隨地、無(wú)處不在的實(shí)時(shí)互動(dòng)服務(wù),我們始終將數(shù)據(jù)安全和用戶(hù)隱私保護(hù)作為首要安全原則,并將其作為理念融入安全能力建設(shè)當(dāng)中,我們負(fù)責(zé)RTE PaaS平臺(tái)以及輸出給客戶(hù)SDK的安全性。

在明確安全責(zé)任邊界的前提下,對(duì)于開(kāi)發(fā)者來(lái)說(shuō),安全且合規(guī)的處理用戶(hù)的隱私數(shù)據(jù)是應(yīng)用程序的首要關(guān)注點(diǎn)。開(kāi)發(fā)者應(yīng)全面閱讀開(kāi)發(fā)者手冊(cè)相關(guān)文檔,理解其服務(wù)在安全性方面的技術(shù)規(guī)格說(shuō)明,并進(jìn)行開(kāi)發(fā)最佳設(shè)置,強(qiáng)化自身音視頻互動(dòng)服務(wù)的安全性。

我們提供了“最佳安全實(shí)踐指南”來(lái)幫助開(kāi)發(fā)者在開(kāi)發(fā)配置過(guò)程中,提升音視頻互動(dòng)的安全性。

同時(shí),我們建議開(kāi)發(fā)者關(guān)注我們SDK的發(fā)布動(dòng)態(tài),及時(shí)更新到最新版本SDK。這樣既可以確保開(kāi)發(fā)者的APP可以第一時(shí)間獲取最新的功能與服務(wù),還能確保安全相關(guān)缺陷和漏洞被及時(shí)修復(fù)。

三、開(kāi)發(fā)者需要考慮哪些內(nèi)容?

無(wú)論開(kāi)發(fā)者是與聲網(wǎng)Agora,還是與其他PaaS服務(wù)商合作,在簽約之前都應(yīng)咨詢(xún)并明確以下問(wèn)題:

服務(wù)商是否嚴(yán)格落實(shí)了數(shù)據(jù)安全和隱私保護(hù)標(biāo)準(zhǔn)?

數(shù)據(jù)安全的可靠性,取決于服務(wù)商是否嚴(yán)格按照行業(yè)標(biāo)準(zhǔn)實(shí)施對(duì)數(shù)據(jù)的控制和管理。

聲網(wǎng)Agora 在信息和隱私安全方面遵循行業(yè)標(biāo)準(zhǔn) ISO 27001/27017/27018。我們的網(wǎng)絡(luò)架構(gòu)和基礎(chǔ)設(shè)施符合SOC2標(biāo)準(zhǔn),確保所有的物理和虛擬訪(fǎng)問(wèn)都得到有效管理、監(jiān)控和控制 。

聲網(wǎng)Agora不會(huì)訪(fǎng)問(wèn)或存儲(chǔ)用戶(hù)的個(gè)人身份信息(PII),只會(huì)收集提供服務(wù)中必要的運(yùn)營(yíng)信息——這些數(shù)據(jù)包括IP地址(識(shí)別用戶(hù)的地理位置以符合區(qū)域法規(guī)和網(wǎng)絡(luò)連接)、計(jì)量數(shù)據(jù)(因?yàn)槁暰W(wǎng)是按使用時(shí)長(zhǎng)收費(fèi)的)和體驗(yàn)質(zhì)量數(shù)據(jù)(通過(guò)水晶球幫助客戶(hù)進(jìn)行體驗(yàn)質(zhì)量監(jiān)測(cè))。聲網(wǎng)不接觸終端用戶(hù)數(shù)據(jù),更不會(huì)處理和存儲(chǔ)終端用戶(hù)數(shù)據(jù),如密碼和用戶(hù)身份(如姓名、電子郵件地址、電話(huà)號(hào)碼等)。這些信息由客戶(hù)自行在應(yīng)用程序中進(jìn)行管理。

權(quán)威的第三方機(jī)構(gòu)是否可以證明或監(jiān)控服務(wù)商的安全合規(guī)性?

如果PaaS服務(wù)商對(duì)于安全標(biāo)準(zhǔn)的實(shí)施已得到權(quán)威機(jī)構(gòu)的驗(yàn)證,則相對(duì)更加可信。

聲網(wǎng)與Ernst&Young LLP合作,后者監(jiān)督我們對(duì)ISO 27001/27017/27018等標(biāo)準(zhǔn)的執(zhí)行情況。我們的ISO審核流程和認(rèn)證則由歐洲認(rèn)證機(jī)構(gòu)DNV GL提供。 我們的SOC 2合規(guī)性由Deloitte LLP審計(jì)完成。 此外,我們與包括Trustwave Holdings在內(nèi)的全球安全專(zhuān)家合作,已完成網(wǎng)絡(luò)滲透、應(yīng)用程序漏洞和合規(guī)性評(píng)估等工作。

服務(wù)商是否能夠提供保護(hù)媒體流的能力和選項(xiàng)?

開(kāi)發(fā)者在選擇是否對(duì)媒體流加密時(shí),很重要的一點(diǎn)是要在性能和數(shù)據(jù)安全之間進(jìn)行權(quán)衡,對(duì)數(shù)據(jù)進(jìn)行安全保護(hù)將對(duì)延遲和性能等產(chǎn)生一定影響,即便影響較小。

作為以開(kāi)發(fā)者為中心的API平臺(tái),聲網(wǎng)為應(yīng)用開(kāi)發(fā)者提供了身份驗(yàn)證、數(shù)據(jù)加密以及網(wǎng)絡(luò)地理圍欄等諸多缺省和可配置的安全選項(xiàng),以保護(hù)開(kāi)發(fā)者的音視頻媒體流數(shù)據(jù)。您可以針對(duì)特定的應(yīng)用場(chǎng)景進(jìn)行權(quán)衡和選擇。

如果您選擇為媒體內(nèi)容加密,Agora SDK 提供內(nèi)置 AES 加密算法供客戶(hù)直接選擇使用。加密密鑰由客戶(hù)的應(yīng)用程序管理,并在A(yíng)gora網(wǎng)絡(luò)外部的終端用戶(hù)設(shè)備之間進(jìn)行傳輸。

服務(wù)商是否有快速響應(yīng)安全漏洞的記錄?

任何復(fù)雜的軟件都會(huì)有漏洞存在,因此PaaS服務(wù)商必須保持警惕,以防止漏洞被利用。開(kāi)發(fā)者需要關(guān)注PaaS服務(wù)商發(fā)現(xiàn)并及時(shí)處理漏洞的能力。

聲網(wǎng)與多家全球備受信賴(lài)的安全組織合作,從而保障及時(shí)發(fā)現(xiàn)漏洞并告知客戶(hù),幫助客戶(hù)快速開(kāi)展必要的修復(fù)工作。

服務(wù)商是否符合國(guó)家或地區(qū)的法律?

任何一家全球化的公司都必須了解業(yè)務(wù)所在國(guó)家和地區(qū)的法律及條例。很多人都會(huì)出現(xiàn)一個(gè)常識(shí)性的誤解,認(rèn)為相關(guān)法律和條例僅適用于該國(guó)家和地區(qū)的本土企業(yè),實(shí)際上這些法律和條例適用于在該國(guó)或該地區(qū)經(jīng)營(yíng)業(yè)務(wù)的所有公司。無(wú)論是歐盟的GDPR或中國(guó)的網(wǎng)絡(luò)安全法律,任何想要在這些區(qū)域開(kāi)展業(yè)務(wù)的公司,都要受到同樣的法律法規(guī)約束。

聲網(wǎng)Agora符合歐洲的GDPR、美國(guó)加州的CCPA等國(guó)際法規(guī),同時(shí)我們還可以根據(jù)BAA向醫(yī)療行業(yè)的相關(guān)客戶(hù)提供HIPAA合規(guī)選項(xiàng)。

服務(wù)商是否能提供高級(jí)且可配置的地理路由?

地理路由(有時(shí)也被稱(chēng)為地理圍欄)允許開(kāi)發(fā)人員定義一個(gè)地理區(qū)域,開(kāi)發(fā)者的數(shù)據(jù)將被限制在該地理域內(nèi)。

聲網(wǎng)Agora在六個(gè)不同的地區(qū)實(shí)施了基于地理位置的路由,應(yīng)用開(kāi)發(fā)人員和安全團(tuán)隊(duì)可以根據(jù)其具體情況進(jìn)行選擇。聲網(wǎng)的客戶(hù)可以通過(guò)設(shè)定區(qū)域,限制其終端用戶(hù)的音視頻媒體流的流轉(zhuǎn)和處理在指定區(qū)域內(nèi)。例如,如果開(kāi)發(fā)者決定在其運(yùn)營(yíng)區(qū)域中限定某個(gè)特定的區(qū)域,那么媒體內(nèi)容就只會(huì)途經(jīng)這個(gè)區(qū)域進(jìn)行傳輸。

服務(wù)商能否確保提供的音視頻流不會(huì)造成竊聽(tīng)或泄露?

開(kāi)發(fā)者應(yīng)用如果出現(xiàn)音視頻數(shù)據(jù)泄露,造成的原因可能是應(yīng)用本身的安全性或者服務(wù)商的安全漏洞等多重原因,所以開(kāi)發(fā)者需要注意,第三方服務(wù)商如何保障提供的音視頻流不會(huì)泄露?

聲網(wǎng)Agora通過(guò)自研協(xié)議AUT進(jìn)行傳輸保護(hù),自研協(xié)議包含密鑰交換、身份認(rèn)證,并使用SSL/TLS進(jìn)行加密傳輸,從而保護(hù)音視頻數(shù)據(jù)不被竊聽(tīng)或泄露。

綜上所述

作為全球?qū)崟r(shí)互動(dòng)云服務(wù)商,面對(duì)應(yīng)用開(kāi)發(fā)者對(duì)數(shù)據(jù)安全性的迫切需求,我們所發(fā)揮的作用將非常關(guān)鍵。我們致力于提供卓越的數(shù)據(jù)安全性,讓開(kāi)發(fā)者可以將精力專(zhuān)注于創(chuàng)新和打造新應(yīng)用,在安全性方面沒(méi)有后顧之憂(yōu)。

如果您對(duì)安全方面還有其他疑問(wèn)或建議,可隨時(shí)通過(guò)郵件(security@agora.io)與我們的安全團(tuán)隊(duì)取得聯(lián)系,也可隨時(shí)通過(guò)郵件(pr@agora.io)與我們的PR團(tuán)隊(duì)取得聯(lián)系。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )