你正在選擇實時互動云服務?以下是聲網(wǎng)關于安全合規(guī)的七個建議

  • 人閱讀
  • 2021-02-26 11:31:41

  • 來源:消費日報

  • 相關關鍵詞

隨著實時互動廣泛應用于在線教育、社交直播、企業(yè)協(xié)作、在線醫(yī)療、金融保險等各行各業(yè),很多應用開發(fā)者會選擇實時互動云(RTE PaaS)服務商幫助其快速構建功能豐富的應用。但是在選擇RTE PaaS服務商之前,你需要確切了解服務商在數(shù)據(jù)隱私、安全性和標準合規(guī)方面所提供的保障。

一、為什么安全合規(guī)很重要?

開發(fā)者需要在服務條款中明確說明如何存儲、使用和共享開發(fā)應用的個人數(shù)據(jù),并嚴格遵守相關服務條款。另外,當開發(fā)面向全球市場的應用時,開發(fā)者需要了解自己是否遵守GDPR、CCPA等數(shù)據(jù)隱私法規(guī)以及其他當?shù)鼗騾^(qū)域性的政策法規(guī)。為保障應用程序能更加安全地管理用戶數(shù)據(jù),開發(fā)者需要了解PaaS合作伙伴處理其涉及的任何數(shù)據(jù)的具體方式。

安全是業(yè)務的一種屬性,其作用是通過有效的管理和技術措施來控制內(nèi)外部風險,在遵守相關法律法規(guī)的前提下,為業(yè)務服務的機密性、完整性和可用性提供可靠保障。

二、聲網(wǎng)對開發(fā)者的建議:

對于開發(fā)者來說,安全且合規(guī)地處理用戶個人隱私數(shù)據(jù)是應用程序的重中之重,聲網(wǎng)Agora 在設計、開發(fā)和部署SD-RTN™、SDK 以及其他產(chǎn)品和服務時,都會嚴格執(zhí)行內(nèi)部的SDLC(Secure Software Development Lifecycle)控制,并嚴格遵守相關政策法規(guī),幫助開發(fā)者構建符合各類隱私政策與法規(guī)的應用場景。

開發(fā)者需要明確自己的業(yè)務場景,以及相關的安全責任邊界。

聲網(wǎng)Agora RTE服務與客戶的安全責任邊界示意如下:

你正在選擇實時互動云服務?以下是聲網(wǎng)關于安全合規(guī)的七個建議

Agora致力于為客戶提供隨時隨地、無處不在的實時互動服務,我們始終將數(shù)據(jù)安全和用戶隱私保護作為首要安全原則,并將其作為理念融入安全能力建設當中,我們負責RTE PaaS平臺以及輸出給客戶SDK的安全性。

在明確安全責任邊界的前提下,對于開發(fā)者來說,安全且合規(guī)的處理用戶的隱私數(shù)據(jù)是應用程序的首要關注點。開發(fā)者應全面閱讀開發(fā)者手冊相關文檔,理解其服務在安全性方面的技術規(guī)格說明,并進行開發(fā)最佳設置,強化自身音視頻互動服務的安全性。

我們提供了“最佳安全實踐指南”來幫助開發(fā)者在開發(fā)配置過程中,提升音視頻互動的安全性。

同時,我們建議開發(fā)者關注我們SDK的發(fā)布動態(tài),及時更新到最新版本SDK。這樣既可以確保開發(fā)者的APP可以第一時間獲取最新的功能與服務,還能確保安全相關缺陷和漏洞被及時修復。

三、開發(fā)者需要考慮哪些內(nèi)容?

無論開發(fā)者是與聲網(wǎng)Agora,還是與其他PaaS服務商合作,在簽約之前都應咨詢并明確以下問題:

服務商是否嚴格落實了數(shù)據(jù)安全和隱私保護標準?

數(shù)據(jù)安全的可靠性,取決于服務商是否嚴格按照行業(yè)標準實施對數(shù)據(jù)的控制和管理。

聲網(wǎng)Agora 在信息和隱私安全方面遵循行業(yè)標準 ISO 27001/27017/27018。我們的網(wǎng)絡架構和基礎設施符合SOC2標準,確保所有的物理和虛擬訪問都得到有效管理、監(jiān)控和控制 。

聲網(wǎng)Agora不會訪問或存儲用戶的個人身份信息(PII),只會收集提供服務中必要的運營信息——這些數(shù)據(jù)包括IP地址(識別用戶的地理位置以符合區(qū)域法規(guī)和網(wǎng)絡連接)、計量數(shù)據(jù)(因為聲網(wǎng)是按使用時長收費的)和體驗質(zhì)量數(shù)據(jù)(通過水晶球幫助客戶進行體驗質(zhì)量監(jiān)測)。聲網(wǎng)不接觸終端用戶數(shù)據(jù),更不會處理和存儲終端用戶數(shù)據(jù),如密碼和用戶身份(如姓名、電子郵件地址、電話號碼等)。這些信息由客戶自行在應用程序中進行管理。

權威的第三方機構是否可以證明或監(jiān)控服務商的安全合規(guī)性?

如果PaaS服務商對于安全標準的實施已得到權威機構的驗證,則相對更加可信。

聲網(wǎng)與Ernst&Young LLP合作,后者監(jiān)督我們對ISO 27001/27017/27018等標準的執(zhí)行情況。我們的ISO審核流程和認證則由歐洲認證機構DNV GL提供。 我們的SOC 2合規(guī)性由Deloitte LLP審計完成。 此外,我們與包括Trustwave Holdings在內(nèi)的全球安全專家合作,已完成網(wǎng)絡滲透、應用程序漏洞和合規(guī)性評估等工作。

服務商是否能夠提供保護媒體流的能力和選項?

開發(fā)者在選擇是否對媒體流加密時,很重要的一點是要在性能和數(shù)據(jù)安全之間進行權衡,對數(shù)據(jù)進行安全保護將對延遲和性能等產(chǎn)生一定影響,即便影響較小。

作為以開發(fā)者為中心的API平臺,聲網(wǎng)為應用開發(fā)者提供了身份驗證、數(shù)據(jù)加密以及網(wǎng)絡地理圍欄等諸多缺省和可配置的安全選項,以保護開發(fā)者的音視頻媒體流數(shù)據(jù)。您可以針對特定的應用場景進行權衡和選擇。

如果您選擇為媒體內(nèi)容加密,Agora SDK 提供內(nèi)置 AES 加密算法供客戶直接選擇使用。加密密鑰由客戶的應用程序管理,并在Agora網(wǎng)絡外部的終端用戶設備之間進行傳輸。

服務商是否有快速響應安全漏洞的記錄?

任何復雜的軟件都會有漏洞存在,因此PaaS服務商必須保持警惕,以防止漏洞被利用。開發(fā)者需要關注PaaS服務商發(fā)現(xiàn)并及時處理漏洞的能力。

聲網(wǎng)與多家全球備受信賴的安全組織合作,從而保障及時發(fā)現(xiàn)漏洞并告知客戶,幫助客戶快速開展必要的修復工作。

服務商是否符合國家或地區(qū)的法律?

任何一家全球化的公司都必須了解業(yè)務所在國家和地區(qū)的法律及條例。很多人都會出現(xiàn)一個常識性的誤解,認為相關法律和條例僅適用于該國家和地區(qū)的本土企業(yè),實際上這些法律和條例適用于在該國或該地區(qū)經(jīng)營業(yè)務的所有公司。無論是歐盟的GDPR或中國的網(wǎng)絡安全法律,任何想要在這些區(qū)域開展業(yè)務的公司,都要受到同樣的法律法規(guī)約束。

聲網(wǎng)Agora符合歐洲的GDPR、美國加州的CCPA等國際法規(guī),同時我們還可以根據(jù)BAA向醫(yī)療行業(yè)的相關客戶提供HIPAA合規(guī)選項。

服務商是否能提供高級且可配置的地理路由?

地理路由(有時也被稱為地理圍欄)允許開發(fā)人員定義一個地理區(qū)域,開發(fā)者的數(shù)據(jù)將被限制在該地理域內(nèi)。

聲網(wǎng)Agora在六個不同的地區(qū)實施了基于地理位置的路由,應用開發(fā)人員和安全團隊可以根據(jù)其具體情況進行選擇。聲網(wǎng)的客戶可以通過設定區(qū)域,限制其終端用戶的音視頻媒體流的流轉(zhuǎn)和處理在指定區(qū)域內(nèi)。例如,如果開發(fā)者決定在其運營區(qū)域中限定某個特定的區(qū)域,那么媒體內(nèi)容就只會途經(jīng)這個區(qū)域進行傳輸。

服務商能否確保提供的音視頻流不會造成竊聽或泄露?

開發(fā)者應用如果出現(xiàn)音視頻數(shù)據(jù)泄露,造成的原因可能是應用本身的安全性或者服務商的安全漏洞等多重原因,所以開發(fā)者需要注意,第三方服務商如何保障提供的音視頻流不會泄露?

聲網(wǎng)Agora通過自研協(xié)議AUT進行傳輸保護,自研協(xié)議包含密鑰交換、身份認證,并使用SSL/TLS進行加密傳輸,從而保護音視頻數(shù)據(jù)不被竊聽或泄露。

綜上所述

作為全球?qū)崟r互動云服務商,面對應用開發(fā)者對數(shù)據(jù)安全性的迫切需求,我們所發(fā)揮的作用將非常關鍵。我們致力于提供卓越的數(shù)據(jù)安全性,讓開發(fā)者可以將精力專注于創(chuàng)新和打造新應用,在安全性方面沒有后顧之憂。

如果您對安全方面還有其他疑問或建議,可隨時通過郵件(security@agora.io)與我們的安全團隊取得聯(lián)系,也可隨時通過郵件(pr@agora.io)與我們的PR團隊取得聯(lián)系。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )