一、什么是APP安全合规服务?
全面的App和小程序安全合规服务,包括隐私合规评估、安全检测、渗透测试、内容安全审核、安全加固、人脸识别合规评估、SDK安全检测、未成年人网络保护能力测评以及数据安全风险评估,旨在帮助企业保护用户数据,遵守法规,提升应用程序的安全性和合规性。
二、APP安全合规相关法律法规
网络空间安全领域
《中华人民共和国网络安全法》、《关于加强网络信息保护的决定》、《网络安全法实施条例》、《网络安全审查办法》、《网络产品安全漏洞管理规定》、《网络安全事件应急预案管理办法》、《网络安全等级保护基本要求》、《网络安全等级保护实施指南》、《教育信息化和网络安全工作要点》、《邮政行业安全信息报告和处理规定》、《信息安全技术 金融信息服务安全规范》。
数据领域
《中华人民共和国数据安全法》、《深圳经济特区数据条例》、《关键信息基础设施安全保护条例》、《工业和信息化领域数据安全管理办法(试行)》、《数据出境安全评估办法》、《信息安全技术 数据安全能力成熟度模型》、《信息安全技术 数据出境安全评估指南》、《信息安全技术 重要数据识别指南》、《银行业金融机构数据治理指引》 、《证券期货业数据分类分级指引》。
个人信息领域
《中华人民共和国个人信息保护法》、《常见类型移动互联网应用程序必要个人 信息范围规定》、《电信和互联网用户个人信息保护规定》、《个人信息出境安全评估办法》、《移动互联网应用程序信息服务管理规定》、《个人信息安全规范》、《收集用户个人信息基本要求》、《个人信息安全测评规范》、《寄递服务用户个人信息安全管理规定》、《个人金融信息保护技术规范》、《银行金融消费者权益保护实施办法》
三、监管态势
国家网信办 公安部 工信部 市场监督管理总局 教育部 协会
| • 省委网信办 | • 省公安厅 | • 中国信通院 | • 省级市场监管局 | • 省教育厅 | • 中国互联网金融协会 |
| • 市委网信办 | • 市公安局 | • 省通信管理局 | • 市级市场监管局 | • 市教育局 | • 网络空间安全协会 |
| • 区街道办 | • 区派出所 | • 市通信管理局 | • 区教育局 | • 广东APP生态联盟 |
四、需求分析
事前:App上架应用商店前
• App上架前,提供符合多个监管要求的合规检测 。
• App大版本迭代时,提供及时检测以确保App安全合规 ;
事中:App已在应用商店上架时
• 提供相关信息,及时告知客户。
• 针对专项行为提供相关安全合规检测,协助客户提前应对监管检查。
事后:App遭遇通报整改时
• App被监管通报后,为客户提供整改建议,协助客户进行整改;
• 整改后提供复核校验,确保问题得到整改;
• 协助撰写整改报告。
五、服务能力
参与各部委标准制定
截至2022年,受公安部、工信部、通管局、司法部、法学会、互联网协会、信通院、证监会等单位委托参与编制共27份规范性文件,其中涉及5份个人隐私,3份人脸合规,4份数据安全,1份SDK安全,4份移动应用程序安全等。
六、服务内容
上架运营
APP提交到各大应用分发渠道, 互联网用户可下载使用。
监督检查
面临各部委监督检查 ,违规犯罪 将面临严肃处罚 ,将会影响企业业务正常运营。
未授权转移
APP可能被其他小众应用分发渠 道爬取 ,未经企业授权私自发布 在其他应用分发平台。
被恶意仿冒
APP可能被恶意仿冒 ,用于实施 电信诈骗 ,用户将导致财产损失, 企业将面临公关危机、监管危机。
七、解决方案
(1)APP/小程序隐私合规评估服务
依据《网络安全法》、《个人信息保护法》、《数据安全法》 ,以及近年来发布的各项行政规定要求 ,如《工业和信息化部关于开展纵深推 进App侵害用户权益专项整治行动的通知》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人 信息范围规定》等 ,利用技术测试、专家分析等手段 ,从隐私政策、App收集使用个人信息行为和App运营者对用户权利的保障共三个层面 多个类别 ,分析App的监管合规风险 ,并提供整改优化建议 ,确保个人信息在收集、存储、使用、删除和共享时满足相关监管要求 ,进一步 改善、强化企业互联网信息服务的规范管理。
(2)APP/小程序安全检测服务
通过APP安全检测工具平台结合人工测试、 核验的方式 ,对APP自身安全(病毒信息、 权限信息、 行为信息、敏感词检测、 第三方SDK等) 、程序源文件安全、 组件安全、 用户操作安全、 通信数据传输安全、 本地数据 存储安全、 恶意风险防护安全等多个层面进行综合、 深度测试 ,分析APP安全风险并提供修复建议。
(3)APP渗透测试服务
从黑客思维和逆向分析角度出发 ,模拟入侵者的攻击手段 ,对App客户端、 小程序等业务系统以及对应的服务端进行渗透性测试 ,找出应用系统中存在的安全漏洞和隐患 , 为应用安全方案制定提供专业可靠的依据。 渗透测试范围包括: 业务逻辑安 全、后台服务端接口安全、 身份鉴别安全、 数据资源访问控制、 组件配置安全、 WEB框架安全等。
(4)APP安全加固服务
在不改变App代码的情况下 ,针对Android、 IOS的源码编译加密 , 防止黑客的反编译、 二次打包、 内存注入、 数据窃取、植用广告、 应用钓鱼等恶意攻击行为 ,有效为客户提供涵盖App开发、 打包、 发布、 运行全生命周期的一体化安全保障服务。
(5)APP舆情合规评估服务
根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》 , 为具有舆论属性或社会动员能力的互联网信息服务提供者开展安全评估 ,对信息服务和新技术新应用的合法性 ,落实法律、 行政法规、 部门规章和标准规定的安全措施的有效 性 , 防控安全风险的有效性等情况进行全面评估。
(6)个人信息保护影响评估服务
个人信息保护影响评估服务是一项包年数据安全合规专业服务 ,依托自研的PIA平台工具和配套技术专家团队与数据法律律师团队专业顾问服务 , 为企业提供包年的合规评估、 咨询和情报服务。
(7)数据安全风险评估服务
根据《数据安全法》、《个人信息保护法》等法律法规以及《信息安全技术 网络数据处理安全要求》( GB/T 41479-2022)、《信息 安全技术信息安全风险评估方法》( GB/T20984-2022)、《信息安全技术 数据安全能力成熟度模型》( GB/T 37988-2019)等国家 数据安全标准 ,基于组织的主要业务运营所依托的数据资产 ,在不同业务场景涉及的数据的收集、存储、使用、加工、传输、提供、公 开等生命周期数据处理活动中 ,识别所面临的数据法律合规和技术安全风险(包括数据泄露、被窃取、被篡改、丢失和滥用等)以及其 应对控制措施有效性 ,并提出相适应的整改解决方案。
