2020年潮信安全白皮书

2020年5月

目录

简介

潮信的安全文化

员工安全培训

安全技术会议

安全协调专员

运营安全

漏洞管理

系统监控

事件管理

以安全第一的技术

代码审核机制

保护数据安全

服务可用性

独立的第三方认证

法规遵从

总结

简介

本白皮书适用于潮信。此处所列的内容截止2020年5月是正确无误的,代表截止至本文撰写之时的现状。潮信始终持续加强对用户的保护力度,因此安全政策和系统可能会随着时间的推移而发生变化。

即时通讯软件IM作为互联网时代的基础性软件工具,为人与人之间的联络通讯提供了便捷的方法,真正实现了远在天边,近在咫尺的梦想。不过,伴随着通讯的便利,人们也越来越关注到IM软件的安全,意识到个人隐私数据需要更加完善的保护机制。

作为致力于IM,潮信完全了解IM软件的安全隐患。我们的IM软件旨在提供用户比许多通讯软件更出众的安全性。我们将安全作为保护用户和我们自身运营的头等要务。用户在潮信上的隐私数据都会受到多重保护,我们严格遵守着账号控制、合规性安全审核等规章规范。

本白皮书概述了潮信采取的安全性和合规性的措施,其中详细说明了潮信为如何保护用户数据使用的组织规范和控制技术。

潮信的安全文化

潮信为所有员工创造了一个安全文化,这种文化贯穿在公司的招聘、员工入职、员工培训以及公司范围内的意识提升中。

员工安全培训

所有潮信员工入职时都将会接受安全培训,在职期间也会定期进行相关的安全教育培训。培训中着重强调的是,确保我们用户的信息安全无虞是我们作出的郑重承诺,在工作中时刻都需要保有安全意识。根据员工的职位不同,公司还设计了不同的额外培训。例如,对于开发人员的安全编码,针对产品设计的安全交互设计,针对运营人员权限控制规范等。

安全技术会议

潮信团队会定期召开关于安全和数据隐私方面的会议,强调我们对于用户数据安全的承诺。以提高软件开发、数据处理和政策执行等方面的工作。在公司内部我们还会经常性的探讨一些关于安全和用户隐私相关的主题内容。

安全协调专员

潮信设立安全协调专员,负责同相关安全组织、政府机关进行及时的沟通协调。在法律规范下协助有关部门打击违法犯罪活动。最大限度的为潮信用户提供一个安全、干净的使用环境。

运营安全

安全也是潮信运营中不可或缺的一个组成部分。

漏洞管理

潮信利用云平台提供的安全检测工具,定期对整个系统进行漏洞扫描。并且及时进行相关的升级计划,保障系统运行在安全的基础平台之上。同时,潮信也有积极与云厂商保持联系。从而确保为用户提供长期稳定安全的即时通讯服务。

系统监控

潮信使用了完整的监控系统,对整个系统的用户注册、活跃等全流程进行实时监控。并为每一个指标设立了相应的安全基线,对于跨越安全基线的事件会利用多种通知手段,向系统安全管理人员进行通知。确保了万一出现问题可以得到及时的响应和应对。

事件管理

对于可能影响系统或用户数据机密性、安全性、可用性的安全事件,我们一律执行相应的事件管理流程。所有的安全事件都会进行记录管理,发生事故后我们积极配合调查哦,并在事件后召集团队进行复盘总结,不断完善我们的安全事件处理机制。

以安全第一的技术

潮信由于其软件性质,其构思、设计、实现均以为用户提供安全的服务做为目标。

代码审核机制

潮信技术团队会定期对代码进行安全复核审计,保障所有的上线代码的安全性。对于涉及到系统安全性的架构设计,我们同样会组织相关的安全工程师小组进行交叉审核。为了提高安全性,潮信在关键系统部分,也会开展对外公开的有奖漏洞悬赏等活动。

保护数据安全

对于所有保存在潮信云端的用户敏感数据,我们都进行了多种加密方式来存储。所有的系统日志中设计到用户隐私的部分进行了脱敏处理。运维、运营管理后台也执行了严格的权限管理和脱敏处理。保障了全流程中的用户敏感数据的安全性。

服务可用性

我们在潮信系统中提供了多重冗余机制,分布式保存用户数据,从而保障了用户数据的安全性,确保了为用户提供相应的容灾备份安全。系统即使部分故障,也能进行相应的降级处理,最大限度的为用户提供持续稳定的即时通讯服务。在任何情况下,我们都以用户数据的安全为首要指导原则来规范我们的行为。

独立的第三方认证

潮信通过了信息安全等级保护二级认证。
通过了ICP备案、公安部的网络安全备案。
2019年通过了工信部针对App侵害用户权益的审查。

法规遵从

潮信严格遵守法律规定,在法律规范的范围下保障用户隐私数据,同时积极协助有关方面打击违法犯罪活动。

总结

保护您的隐私数据是潮信所有研发、产品、员工工作的主要考量因素。伴随着越来越严峻的互联网安全威胁,潮信将竭尽所能为我们的用户提供安全、便捷、干净的服务,让你能从我们的软件中获益。