隨著實時互動廣泛應用于在線教育、社交直播、企業協作、在線醫療、金融保險等各行各業,很多應用開發者會選擇實時互動云(RTE PaaS)服務商幫助其快速構建功能豐富的應用。但是在選擇RTE PaaS服務商之前,你需要確切了解服務商在數據隱私、安全性和標準合規方面所提供的保障。
一、為什么安全合規很重要?
開發者需要在服務條款中明確說明如何存儲、使用和共享開發應用的個人數據,并嚴格遵守相關服務條款。另外,當開發面向全球市場的應用時,開發者需要了解自己是否遵守GDPR、CCPA等數據隱私法規以及其他當地或區域性的政策法規。為保障應用程序能更加安全地管理用戶數據,開發者需要了解PaaS合作伙伴處理其涉及的任何數據的具體方式。
安全是業務的一種屬性,其作用是通過有效的管理和技術措施來控制內外部風險,在遵守相關法律法規的前提下,為業務服務的機密性、完整性和可用性提供可靠保障。
二、聲網對開發者的建議:
對于開發者來說,安全且合規地處理用戶個人隱私數據是應用程序的重中之重,聲網Agora 在設計、開發和部署SD-RTN™、SDK 以及其他產品和服務時,都會嚴格執行內部的SDLC(Secure Software Development Lifecycle)控制,并嚴格遵守相關政策法規,幫助開發者構建符合各類隱私政策與法規的應用場景。
開發者需要明確自己的業務場景,以及相關的安全責任邊界。
聲網Agora RTE服務與客戶的安全責任邊界示意如下:
Agora致力于為客戶提供隨時隨地、無處不在的實時互動服務,我們始終將數據安全和用戶隱私保護作為首要安全原則,并將其作為理念融入安全能力建設當中,我們負責RTE PaaS平臺以及輸出給客戶SDK的安全性。
在明確安全責任邊界的前提下,對于開發者來說,安全且合規的處理用戶的隱私數據是應用程序的首要關注點。開發者應全面閱讀開發者手冊相關文檔,理解其服務在安全性方面的技術規格說明,并進行開發最佳設置,強化自身音視頻互動服務的安全性。
我們提供了“最佳安全實踐指南”來幫助開發者在開發配置過程中,提升音視頻互動的安全性。
同時,我們建議開發者關注我們SDK的發布動態,及時更新到最新版本SDK。這樣既可以確保開發者的APP可以第一時間獲取最新的功能與服務,還能確保安全相關缺陷和漏洞被及時修復。
三、開發者需要考慮哪些內容?
無論開發者是與聲網Agora,還是與其他PaaS服務商合作,在簽約之前都應咨詢并明確以下問題:
服務商是否嚴格落實了數據安全和隱私保護標準?
數據安全的可靠性,取決于服務商是否嚴格按照行業標準實施對數據的控制和管理。
聲網Agora 在信息和隱私安全方面遵循行業標準 ISO 27001/27017/27018。我們的網絡架構和基礎設施符合SOC2標準,確保所有的物理和虛擬訪問都得到有效管理、監控和控制 。
聲網Agora不會訪問或存儲用戶的個人身份信息(PII),只會收集提供服務中必要的運營信息——這些數據包括IP地址(識別用戶的地理位置以符合區域法規和網絡連接)、計量數據(因為聲網是按使用時長收費的)和體驗質量數據(通過水晶球幫助客戶進行體驗質量監測)。聲網不接觸終端用戶數據,更不會處理和存儲終端用戶數據,如密碼和用戶身份(如姓名、電子郵件地址、電話號碼等)。這些信息由客戶自行在應用程序中進行管理。
權威的第三方機構是否可以證明或監控服務商的安全合規性?
如果PaaS服務商對于安全標準的實施已得到權威機構的驗證,則相對更加可信。
聲網與Ernst&Young LLP合作,后者監督我們對ISO 27001/27017/27018等標準的執行情況。我們的ISO審核流程和認證則由歐洲認證機構DNV GL提供。 我們的SOC 2合規性由Deloitte LLP審計完成。 此外,我們與包括Trustwave Holdings在內的全球安全專家合作,已完成網絡滲透、應用程序漏洞和合規性評估等工作。
服務商是否能夠提供保護媒體流的能力和選項?
開發者在選擇是否對媒體流加密時,很重要的一點是要在性能和數據安全之間進行權衡,對數據進行安全保護將對延遲和性能等產生一定影響,即便影響較小。
作為以開發者為中心的API平臺,聲網為應用開發者提供了身份驗證、數據加密以及網絡地理圍欄等諸多缺省和可配置的安全選項,以保護開發者的音視頻媒體流數據。您可以針對特定的應用場景進行權衡和選擇。
如果您選擇為媒體內容加密,Agora SDK 提供內置 AES 加密算法供客戶直接選擇使用。加密密鑰由客戶的應用程序管理,并在Agora網絡外部的終端用戶設備之間進行傳輸。
服務商是否有快速響應安全漏洞的記錄?
任何復雜的軟件都會有漏洞存在,因此PaaS服務商必須保持警惕,以防止漏洞被利用。開發者需要關注PaaS服務商發現并及時處理漏洞的能力。
聲網與多家全球備受信賴的安全組織合作,從而保障及時發現漏洞并告知客戶,幫助客戶快速開展必要的修復工作。
服務商是否符合國家或地區的法律?
任何一家全球化的公司都必須了解業務所在國家和地區的法律及條例。很多人都會出現一個常識性的誤解,認為相關法律和條例僅適用于該國家和地區的本土企業,實際上這些法律和條例適用于在該國或該地區經營業務的所有公司。無論是歐盟的GDPR或中國的網絡安全法律,任何想要在這些區域開展業務的公司,都要受到同樣的法律法規約束。
聲網Agora符合歐洲的GDPR、美國加州的CCPA等國際法規,同時我們還可以根據BAA向醫療行業的相關客戶提供HIPAA合規選項。
服務商是否能提供高級且可配置的地理路由?
地理路由(有時也被稱為地理圍欄)允許開發人員定義一個地理區域,開發者的數據將被限制在該地理域內。
聲網Agora在六個不同的地區實施了基于地理位置的路由,應用開發人員和安全團隊可以根據其具體情況進行選擇。聲網的客戶可以通過設定區域,限制其終端用戶的音視頻媒體流的流轉和處理在指定區域內。例如,如果開發者決定在其運營區域中限定某個特定的區域,那么媒體內容就只會途經這個區域進行傳輸。
服務商能否確保提供的音視頻流不會造成竊聽或泄露?
開發者應用如果出現音視頻數據泄露,造成的原因可能是應用本身的安全性或者服務商的安全漏洞等多重原因,所以開發者需要注意,第三方服務商如何保障提供的音視頻流不會泄露?
聲網Agora通過自研協議AUT進行傳輸保護,自研協議包含密鑰交換、身份認證,并使用SSL/TLS進行加密傳輸,從而保護音視頻數據不被竊聽或泄露。
綜上所述
作為全球實時互動云服務商,面對應用開發者對數據安全性的迫切需求,我們所發揮的作用將非常關鍵。我們致力于提供卓越的數據安全性,讓開發者可以將精力專注于創新和打造新應用,在安全性方面沒有后顧之憂。
