前言
近些年来各监管机构对于APP的监管越来越严格,企业对APP安全合规工作也来越重视。
从2019年我负责跟进公司参与的App安全认证的试点工作到现在,已经接触App安全合规工作近两年了,非常感谢这两年一起推进工作的法务老师和同事,让我从一开始的连GB/T 35273都不知道,到之后的了解。虽然现在还是对很多状况不知所措的,但是已经有了基本的认知和处理方法。
回想这两年,虽然自己在推进App安全合规工作上一直还处于摸索阶段,但也有很多可以沉淀输出的东西,由于自己太懒一直在拖延,最近睡前(失眠)总在想一些自己对App安全合规治理和整改的想法和实践,所以想形成文章和各位对App安全合规治理感兴趣的师傅们一起交流讨论~
目前想的这个系列的章节大概如下(列出来欢迎大家监督更新进度):
(1)APP安全认证的工作流程梳理
(2) 当前监管的重点变化梳理
(3)关于SDK合规的一些思考
(4)个人信息收集方面踩过的坑
(5)如何应对突如其来的监管机构的整改通知
(6)内部的App安全合规整改流程
(7)…………持续更新中…………
进入今天的Part1:APP安全认证的工作流程梳理
前阵子也有几位朋友也有问过我关于App安全认证的工作如何进行,所以梳理下关于推动认证的流程和重点整改项。
背景
下文中的《规范》为GB/T 35273《信息安全技术 个人信息安全规范》的简称;2019年03月15日 ,市场监管总局及中央网信办发布《关于开展App安全认证工作的公告》。
0 认证流程
整个流程涉及 安全、法务、业务[产品、开发、测试的同学共同努力完成。
第一步:提交认证申请及自评估材料,自评估材料主要是针对《规范》5-11的内容;
第二步:现场技术认证(主要针对APP及内置功能的是否符合《规范》5-9的内容),根据不合格问题进行整改;
第三步:现场审核(主要针对管理制度是否符合《规范》9-11的内容),根据不合格问题进行整改;
-----------到此就可以拿到证书了--------
后续需要进行证书维持,包括版本迭代的信息更新、变化性评估等。
下图为《移动互联网应用程序(App)安全认证实施规则》中的流程图
1 自评估
《规范》中每一小节进行自评估,将不合规项总结出来进行整改。
1.1 自评估内容
因为公司产品功能比较单一,有些项可能未提及。大致分为:App端测试、后端及运营、隐私政策、内部管理制度四部分。具体检查内容详见下边的脑图,脑图这里就不放了,有些自己总结的东西和比较大的篇幅,主要对标35273各项的检测,从新做了归纳。适用于新手,需要的话可以来私聊~
1.2 自评估材料准备
申请书附录中的位置并不够展示证明截图,建议使用如下方法准备自评估资料(不得不说认证中心这里给的模板非常好,赞),包括:
1.3 自评估遇到的问题
由于对标准的理解问题,可能会出现多次修改的情况,建议不对外发版,只打测试包就ok。
有些权限/收集信息未触发,可能是无权限进入,或者功能埋点较深,建议多和业务沟通。
不同渠道可能嵌入了不同的SDK,建议逐一测试。
2 技术验证
技术验证主要是针对APP及内置功能的是否符合《规范》5-9的内容进行的,一般测评人员也会进行现场审核。
2.1 重点关注内容
7.1 个人信息访问控制措施
5.5 个人信息保护政策
个人信息收集情况(类型、频率、是否明示)
注销功能
个性化展示
第三方SDK使用情况
个人信息存储情况
2.2 技术验证环节问题
2.2.1 第三方SDK问题
针对第三方接入管理的界定,嵌入第三方SDK是否属于第三方接入,是否需要进行适当接入评估、数据处理协议签订等等。(开始认为属于-后来不属于-针对目前情况来看还是属于,如果对这块有深入了解的大佬欢迎批评指正)
第三方SDK应该是数据处理者?数据控制者?数据共享接收方????
如果跳转到第三方平台授权(如使用微信登录、QQ登录等)有品牌露出,这事独立的数据控制者。
对于无品牌露出,用户无法感知的SDK应该为数据数据处理者,但因目前的形式都是第三方 SDK 提供者与 App 开发者往往通过第三方SDK 提供者的开放平台,在线签署开发者服务协议来约定双方的 权利义务,鲜少有关于委托处理数据方面的专门协议或特别规定,也就难以算作协议双方之间的有效“授权”。无法真正理清责任关系。——出自《2020年软件开发包sdk安全与合规报告》。
2.2.2 个人信息收集/存储的情况
在同意隐私政策之前,不应存在敏感个人信息收集的情况
敏感信息的收集频率不应过高,对应5.2.b
用户输入个人敏感信息的页面,应做提示
2.2.3 其他
注销流程要能跑通,符合用户注销相关要求
投诉、举报、客服渠道有人响应:如客服电话能接听、QQ申请能同意、人工客服有回复等。
个人信息访问控制措施
3 现场审核
3.1 重点关注内容
应急预案中是否制定了针对个人信息安全事件的
是否针对开发、设计等人员进行个人信息安全相关的专业化培训及考核,提供记录
安全审计情况
开展个人信息安全影响评估的情况
3.2 现场审核环节问题
3.2.1针对“明确个人信息保护负责人和个人信息保护工作机构”检查项
方法一: 个人信息保护负责人=业务负责人
方法二: 建立信息安全委员会,有机构负责个人信息保护工作。
3.2.2 开展个人信息安全评估
检查存在以下情况时,必须提供个人信息安全评估报告:
存在基于不同业务目的的所收集个人信息的融合汇聚
存在信息系统自动决策机制
存在委托处理、数据共享、个人信息公开披露情况
4 认证决定阶段需提供App漏洞测试报告
这里单独写出来主要是最近有在做的朋友问过我关于报告的问题,单独说一下。
通知准备材料如下:“此漏洞测试报告作为对标GB∕T 34975-2017检测报告中符合4.1.5.1要求的证明文件。漏洞测试工具建议选择专业主流的检测工具。”
选择市面上常见的漏扫工具即可,很多公司都有自己采购移动漏扫工具,或者使用一些在线服务如360的显危镜、腾讯的金刚等等,付费免费应该是没有太多要求。高危漏洞的处理法方法找了个比较清晰的文档http://appscan.360.cn/vulner/list/。
5 后期维护
5.1 何时需要提交自评价报告
(1)获证App的分发渠道发生变化;
(2)认证标志使用情况发生变化;
(3)获证App隐私政策发生变化;
(4)获证App收集、处理和使用个人信息的目的、类型、方式发生变化;
(5)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;
(6)获证App运营者收到获证App个人信息保护相关的投诉举报。
5.2 证书变更
出现下列情况之一时,获证App运营者应向认证机构提出变更申请:
(1)获证App名称、版本发生变更;
(2)认证范围扩大或缩小;
(3)获证App运营者名称、注册地址发生变更;
注:大版本变更、小版本新增功能新增涉及个人信息收集等情况会涉及变更费用、技术验证、现场审核费用。
第一次写东西,欢迎大佬们批评指正~