<span id="b5hfn"><del id="b5hfn"><i id="b5hfn"></i></del></span>

          <em id="b5hfn"></em>
            <ol id="b5hfn"><del id="b5hfn"><font id="b5hfn"></font></del></ol><noframes id="b5hfn">

            <pre id="b5hfn"><del id="b5hfn"><delect id="b5hfn"></delect></del></pre>

            歡迎進入太原為達科貿有限公司官方網站!
            今天是 2020年 09月 15日 星期二
            太原為達科貿有限公司官方網站
            公司動態
            行業動態 您的位置:主頁 > 公司動態 > 行業動態 >
            APP開發者使用SDK合規建議
            2020-08-26 返回列表

            今天山西app開發帶大家來看業內人士對于APP開發者使用SDK的合規建議。
            1

            SDK選擇
            選擇第三方SDK時,應以選擇滿足相應功能和性能需求為基礎,不應只考慮價格問題,還需考慮安全問題。涉及SDK申請及使用的所有權限,均應且只應滿足APP開發者所需的功能。超出APP所使用的功能,即使功能合理,也應當進行裁剪。如果有替代方案可通過不采集個人信息或不使用敏感權限的前提下也能夠實現所需功能,應當采取替代方案。需要單獨為SDK申請的隱私敏感權限,應進行嚴格控制。檢查SDK是否通過國家安全等級保護的測評和備案,是否達到國際信息安全管理體系等國際權威認證標準的要求,并獲得相應的認證。

            2

            安全評估
            對第三方SDK應進行代碼審計和漏洞檢測,通過SDK反編譯,評估來源可靠性、代碼質量、潛在安全風險。對SDK所申請的敏感隱私權限、采集用戶個人信息的字段、頻率、回傳服務端場景等進行安全評估,確認引入SDK所需使用的權限最小化。對SDK的權限的申請及獲取進行限制,如安卓系統統一通過APP進行權限聲明、禁止SDK熱更新(若禁止熱更影響SDK性能,需要求SDK出具自律聲明)等。關注引入SDK的安全動態和版本更新情況,及時修復安全問題,更新代碼。對引入SDK的代碼進行混淆保護、加殼、加密等處理。

            3

            建立供應商管理制度
            在網絡安全等級保護測評要求或國際信息安全管理體系中,均有供應商管理要求。APP開發者應在第三方SDK簽訂的服務協議或安全責任書中明確后期的技術支持和服務承諾等內容、明確雙方的安全責任及應實施的個人信息安全措施,協議應包括信息安全風險處理要求,就信息安全要求達成一致,并形成文件。應定期監視、評審和審核SDK的服務。

            4

            個人信息安全影響評估 
            應在接入第三方SDK前開展個人信息安全影響評估(PIA),并依據評估結果采取有效的保護個人信息主體的措施。PIA應綜合考慮:SDK數據接收方基本情況、數據收集的目的、類型、目的實現是否可以通過不收集數據或去標識化數據方式達成、數據對個人信息主體可能造成的侵害、數據對社會和個人潛在收益與風險、不收集數據是否會造成損害、是否有任何法定限制或其他因素對數據收集的限制、收集數據是否持續性的還是臨時性的、收集數據是否已經達成目的、是否需要繼續收集數據、是否與自身擁有同等網絡安全和數據保護能力、動態重新審查PIA,是否有新的變化。

            5

            獲得用戶的同意
            《SDK安全與合規白皮書》中提到:某些情況下SDK以自己的名義向用戶提供服務,通過激活一個SDK接口而調用或者啟動該用戶已安裝的另一個APP的服務,因為第三方SDK提供者有機會將自身品牌進行披露,用戶對其使用的哪家企業實際提供的特定服務是有明顯感知,可以采用三重授權原則,即用戶授權+平臺授權+用戶授權,解決正當性問題。
            另外一些SDK在收集用戶信息時,用戶并不能有明顯感知,由于第三方SDK不直接面對用戶,需要APP開發者提供代為告知用戶(如增加告知鏈接、彈窗告知、變更隱私政策等)并獲得用戶“同意”。APP開發者可以在關于Cookie或同類技術的使用中,加入SDK的使用情況,向用戶告知SDK收集個人信息的目的、數據收集的類型,涉及敏感信息時,還需要告知接收方的身份和數據安全能力,并征得明示同意,甚至可以直接增加第三方SDK隱私政策鏈接。并在用戶撤回同意后,幫助用戶刪除在第三方SDK的相關數據。
            App開發者還需要基于合同相對性,針對第三方SDK收集使用用戶個人信息的情況,對用戶承擔合同法下的違約責任以及網絡安全法下的行政責任,同時還有義務將各項合規義務傳導至第三方SDK提供者。

             

            實踐中,阿里系企業在取得ISO27000體系認證后,也會要求其服務商也需要取得相應的認證。騰訊的微信登錄今年增加了隨機頭像、隨機昵稱登錄,并在微信中的小程序ID是獨立的,同一個用戶在不同的小程序間ID是不一樣的,減少第三方對數據的關聯度,保護用戶的個人信息。
            但是大部分初創型APP開發者對于第三方SDK并沒有話語權,SDK不會和初創型APP開發者單獨簽訂合同或者采取特殊網絡安全保護措施,所以對于初創型APP開發者更應當妥善留存SDK接入有關合同和管理的記錄,確??晒┫嚓P方查閱,做好前期PIA并根據情況重新審查,完善隱私政策取得用戶對SDK收集數據的同意,開展技術檢測確保SDK個人信息收集、使用行為符合約定要求,定期對SDK收集個人信息的行為進行審計。以保證發生數據安全事件或侵犯用戶個人信息及隱私時,減輕或免除APP開發者的責任。
            二維碼
            太原為達科貿有限公司 電話:400-705-0068 傳真:400-705-0068 郵箱:admin@sxwl.com.cn 地址:太原市杏花嶺區旱西關街中保大廈506
            Copyright © 1998-2020 太原為達科貿有限公司版權所有  晉ICP備08000775號  XML地圖  

            晉公網安備 14010702070038號

            中文有码无码人妻在线,国模吧双双大尺度炮交GOGO,人伦片无码中文字幕
            <span id="b5hfn"><del id="b5hfn"><i id="b5hfn"></i></del></span>

                    <em id="b5hfn"></em>
                      <ol id="b5hfn"><del id="b5hfn"><font id="b5hfn"></font></del></ol><noframes id="b5hfn">

                      <pre id="b5hfn"><del id="b5hfn"><delect id="b5hfn"></delect></del></pre>