隐私合规企业面临的主要问题
监管单位多
监管单位多,不知道抱哪个大腿;
哪个单位查什么分不清楚;
检查手段和力度、频率等不清楚。
监管要求复杂
监管复杂,不知道哪天就中奖;
监管手段层出不穷:通报、APP下架、罚款、信用关联等,频率越来越高;
监管技术导向越来越强,集成第三方信息看不到、违规行为看不到、数据内容看不到。
法律条文多
标准多、要求多,信息零散;
区别和联系模糊,短期内没有头绪。
业务影响大
不知道有什么隐私合规问题;
不知道如何评估,被通报无从应对;
个人隐私合规工作,跨部门协调比较多;
被监管通报轻则影响品牌,重则APP在应用市场上被下架,业务受影响,造成经济损失。
合规产品整体功能概览
移动应用合规平台 混合编排
利用自动化脱壳、系统敏感接口插桩、应用自动化遍历等技术,具备合规检测、权限检测、行为检测、成分检测、安全检测五大核心功能,满足用户合规检测场景,可依托我司专业的技术服务人员,充分发挥平台优势,为用户出具全面详尽的合规检测报告,提供全方位的支撑,达到帮助用户发现、解决不合规问题的目标。
合规检测
平台依据的标准规范(列举部分)
中华人民共和国网络安全法;
中华人民共和国个人信息保护法;
T/TAF 077 APP收集使用个人信息最小必要评估规范;
T/TAF 078 APP用户权益保护测评规范;
GB/T 35273-2020 信息安全技术,个人信息安全规范;
全国信息安全标准化技术委员会:移动互联网应用程序(App)收集使用个人信息自评估指南;
全国信息安全标准化技术委员会:移动互联网应用程序(App)系统权限申请使用指南;
《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)
《App违法违规收集使用个人信息行为认定方法》 …….
行为检测
启动行为检测
检测应用是否存在自启动/关联启动行为。
隐私行为检测
检测读取设备信息(AndroidID、IP地址、MAC地址、IMEI、IMSI等)、读取应用列表、读取剪切板等敏感隐私行为。
明文传输检测
检测应用数据传输行为,识别通信IP地址、域名、通信次数,检测是否明文传输个人信息。
明文存储检测
检测是否明文存储个人信息。
成分检测
基本信息
识别应用中集成的SDK,每种SDK的开发者、类别、来源等基本信息。
静态识别使用权限
识别SDK可能的使用权限,包含:权限名称、权限含义、保护级别、是否为敏感权限。
通信及数据采集行为
检测SDK应用运行过程中发生的个人信息采集行为、网络通讯内容。
运行时使用权限
检测SDK实际使用的敏感权限,列出行为名称、依赖权限、采集次数等信息。
热更新能力检测
检测应用中是否存在具备热更新能力的SDK框架。
安全检测
合规平台可分析出应用存在的漏洞,判断应用是否存在程序源文件安全、本地数据存储安全、内部数据交互安全、通信数据传输安全、恶意攻击防范能力等问题,准确定位问题来源,针对检测结果提出相应的解决方案,为应用开发者提供修复建议。 iOS漏洞分类包含:客户端数据存储安全、数据传输安全、加密算法及密码安全、程序源文件安全、iOS应用安全规范、自身安全、二进制代码保护。
程序源文件安全
检测App是否存在文件泄露、反编译等风险
通信数据传输安全
检测App是否具备安全传输数据的机制
本地数据存储安全
检测App是否具备安全存储数据的机制
恶意攻击防范能力
检测App是否具备基本的抗攻击能力
内部数据交互安全
检测App在运行时是否存在注入、组件导出等风险
产品使用方式
Web自动化检测
梆梆安全移动应用合规平台支持批量提交应用,根据检测任务模板,进行自动化检测,自动遍历应用,记录应用权限调用、对外通信等行为,快速检测并出具报告。
API自动化检测
梆梆安全移动应用合规平台支持API接口对外开放,供客户调用,用户无需登录合规平台web页面,客户可通过接口定制开发,实现大规模批量检测,调用平台接口自动创建检测任务,查询检测结果,下载检测报告等。
Web人工深度检测
梆梆安全移动应用合规平台亦支持对单个应用进行人工深度检测(远程用户跨公网情形下手持真机亦可进行检测),检测技术人员可创建手动任务,根据合规检测步骤对应用进行贴合APP业务场景的遍历、检测,帮助找出应用在运行时违规收集使用个人信息的行为。
产品优势分析
SDK库数量领先
合规平台内置SDK库数量6800+,业内领先且在不断扩充,帮助客户准确识别出应用中集成的SDK,更利于其发现SDK的隐私不合规行为。
实时数据展示
采用我司深度定制的检测沙箱,全面监控系统敏感接口,Web页面实时展示应用的敏感行为,帮助客户及时发现应用隐私违规场景。
操作形式多样
合规平台支持接入手机,支持手机投屏,即在平台Web页面可直接操作手机,进行应用遍历,支持全自动、自动+人工、纯人工多种任务类型,适合不同检测场景。
检测功能丰富,配置灵活
合规平台支持权限检测、成分检测、行为检测、安全检测、合规检测等,可根据用户情况选择、配置合规检测规则,通过自主配置可实现对新标准的支持,且支持自定义报告模板。
产品部署交付
01
提供公有云合规检测平台,为用户开通账号密码,用户无需单独采购部署硬件服务器; 支持跨公网手持真机进行检测;
02
用户提供服务器或我司提供软硬一体机及合规检测终端(做iOS检测需额外配备一台Mac电脑);
产品与服务相结合的销售形式
我们从本质来看,合规检测产品要做的即是,尽可能发现在用户视角下“不可视”的移动应用程序的违规行为,进而通过人工辅助输出检测结果,降低检测过程中的人力消耗,减少其检测任务压力,帮助其更快、更精准得出检测结论,并给出建设性整改建议。
App开发运营者自查场景
业务场景:客户自行研发运营移动应用程序APP,为消费者用户提供金融服务,在应用上架应用商店前,往往需要客户自身对应用做全面的合规评估,自查自纠,否则一旦被应用商店检测为不合规,将无法上架,或上架后被监管机构通报、处罚。
客户痛点:在很多情况下,用户侧自身对于应用合规不够重视,导致应用被通报甚至下架,对于企业外在形象、经济效益影响较大。此外,当应用被检测出不合规问题时,通报内容如果不包含问题精准详述、证据信息等,研发人员无法快速定位问题、解决问题,导致应用延期上架。
解决方案:用户在其应用开发迭代过程中,对应用进行人工深度合规检测,及时发现应用中违规收集使用个人信息等行为,并做出对应的整改,从而大大降低被监管机构通报下架的风险,帮助其为大众树立良好的企业形象。
应用分发平台检测审核场景
业务场景:应用商店/应用分发平台,其作为移动应用的重要下载传播渠道,有众多用户在其平台进行应用检索、下载、安装,每天会有大量应用提交至平台进行上架审核,国家亦将其列入重点整治范围,应用商店也需要对待上架应用进行合规检测。
客户痛点:由于应用商店自身的平台性质,每天需要对大量应用进行审核,自动化检测需求应运而生,应用商店自身可能相关技术团队欠缺,加之应用数量庞大,亟需借助外部检测团队的力量需要成熟的自动化检测产品,来实现大规模应用批量自动化检测,输出检测结果,并提供证据。
解决方案:应用商店通过批量下发应用合规检测任务进行检测,快速发现不合规应用,方便平台通知应用开发放进行整改,此举措对于应用商店落实平台责任,强化APP上架审核机制,帮助其做好个人信息保护的“守门人”,具有重要意义。
