你正在選擇實時互動云服務？以下是聲網關于安全合規(guī)的七個建議

隨著實時互動廣泛應用于在線教育、社交直播、企業(yè)協(xié)作、在線醫(yī)療、金融保險等各行各業(yè)，很多應用開發(fā)者會選擇實時互動云(RTE PaaS)服務商幫助其快速構建功能豐富的應用。但是在選擇RTE PaaS服務商之前，你需要確切了解服務商在數據隱私、安全性和標準合規(guī)方面所提供的保障。

一、為什么安全合規(guī)很重要？

開發(fā)者需要在服務條款中明確說明如何存儲、使用和共享開發(fā)應用的個人數據，并嚴格遵守相關服務條款。另外，當開發(fā)面向全球市場的應用時，開發(fā)者需要了解自己是否遵守GDPR、CCPA等數據隱私法規(guī)以及其他當地或區(qū)域性的政策法規(guī)。為保障應用程序能更加安全地管理用戶數據，開發(fā)者需要了解PaaS合作伙伴處理其涉及的任何數據的具體方式。

安全是業(yè)務的一種屬性，其作用是通過有效的管理和技術措施來控制內外部風險，在遵守相關法律法規(guī)的前提下，為業(yè)務服務的機密性、完整性和可用性提供可靠保障。

二、聲網對開發(fā)者的建議：

對于開發(fā)者來說，安全且合規(guī)地處理用戶個人隱私數據是應用程序的重中之重，聲網Agora 在設計、開發(fā)和部署SD-RTN™、SDK 以及其他產品和服務時，都會嚴格執(zhí)行內部的SDLC(Secure Software Development Lifecycle)控制，并嚴格遵守相關政策法規(guī)，幫助開發(fā)者構建符合各類隱私政策與法規(guī)的應用場景。

開發(fā)者需要明確自己的業(yè)務場景，以及相關的安全責任邊界。

聲網Agora RTE服務與客戶的安全責任邊界示意如下：

Agora致力于為客戶提供隨時隨地、無處不在的實時互動服務，我們始終將數據安全和用戶隱私保護作為首要安全原則，并將其作為理念融入安全能力建設當中，我們負責RTE PaaS平臺以及輸出給客戶SDK的安全性。

在明確安全責任邊界的前提下，對于開發(fā)者來說，安全且合規(guī)的處理用戶的隱私數據是應用程序的首要關注點。開發(fā)者應全面閱讀開發(fā)者手冊相關文檔，理解其服務在安全性方面的技術規(guī)格說明，并進行開發(fā)最佳設置，強化自身音視頻互動服務的安全性。

我們提供了“最佳安全實踐指南”來幫助開發(fā)者在開發(fā)配置過程中，提升音視頻互動的安全性。

同時，我們建議開發(fā)者關注我們SDK的發(fā)布動態(tài)，及時更新到最新版本SDK。這樣既可以確保開發(fā)者的APP可以第一時間獲取最新的功能與服務，還能確保安全相關缺陷和漏洞被及時修復。

三、開發(fā)者需要考慮哪些內容？

無論開發(fā)者是與聲網Agora，還是與其他PaaS服務商合作，在簽約之前都應咨詢并明確以下問題：

服務商是否嚴格落實了數據安全和隱私保護標準？

數據安全的可靠性，取決于服務商是否嚴格按照行業(yè)標準實施對數據的控制和管理。

聲網Agora 在信息和隱私安全方面遵循行業(yè)標準 ISO 27001/27017/27018。我們的網絡架構和基礎設施符合SOC2標準，確保所有的物理和虛擬訪問都得到有效管理、監(jiān)控和控制 。

聲網Agora不會訪問或存儲用戶的個人身份信息(PII)，只會收集提供服務中必要的運營信息——這些數據包括IP地址(識別用戶的地理位置以符合區(qū)域法規(guī)和網絡連接)、計量數據(因為聲網是按使用時長收費的)和體驗質量數據(通過水晶球幫助客戶進行體驗質量監(jiān)測)。聲網不接觸終端用戶數據，更不會處理和存儲終端用戶數據，如密碼和用戶身份(如姓名、電子郵件地址、電話號碼等)。這些信息由客戶自行在應用程序中進行管理。

權威的第三方機構是否可以證明或監(jiān)控服務商的安全合規(guī)性？

如果PaaS服務商對于安全標準的實施已得到權威機構的驗證，則相對更加可信。

聲網與Ernst&Young LLP合作，后者監(jiān)督我們對ISO 27001/27017/27018等標準的執(zhí)行情況。我們的ISO審核流程和認證則由歐洲認證機構DNV GL提供。 我們的SOC 2合規(guī)性由Deloitte LLP審計完成。 此外，我們與包括Trustwave Holdings在內的全球安全專家合作，已完成網絡滲透、應用程序漏洞和合規(guī)性評估等工作。

服務商是否能夠提供保護媒體流的能力和選項？

開發(fā)者在選擇是否對媒體流加密時，很重要的一點是要在性能和數據安全之間進行權衡，對數據進行安全保護將對延遲和性能等產生一定影響，即便影響較小。

作為以開發(fā)者為中心的API平臺，聲網為應用開發(fā)者提供了身份驗證、數據加密以及網絡地理圍欄等諸多缺省和可配置的安全選項，以保護開發(fā)者的音視頻媒體流數據。您可以針對特定的應用場景進行權衡和選擇。

如果您選擇為媒體內容加密，Agora SDK 提供內置 AES 加密算法供客戶直接選擇使用。加密密鑰由客戶的應用程序管理，并在Agora網絡外部的終端用戶設備之間進行傳輸。

服務商是否有快速響應安全漏洞的記錄？

任何復雜的軟件都會有漏洞存在，因此PaaS服務商必須保持警惕，以防止漏洞被利用。開發(fā)者需要關注PaaS服務商發(fā)現并及時處理漏洞的能力。

聲網與多家全球備受信賴的安全組織合作，從而保障及時發(fā)現漏洞并告知客戶，幫助客戶快速開展必要的修復工作。

服務商是否符合國家或地區(qū)的法律？

任何一家全球化的公司都必須了解業(yè)務所在國家和地區(qū)的法律及條例。很多人都會出現一個常識性的誤解，認為相關法律和條例僅適用于該國家和地區(qū)的本土企業(yè)，實際上這些法律和條例適用于在該國或該地區(qū)經營業(yè)務的所有公司。無論是歐盟的GDPR或中國的網絡安全法律，任何想要在這些區(qū)域開展業(yè)務的公司，都要受到同樣的法律法規(guī)約束。

聲網Agora符合歐洲的GDPR、美國加州的CCPA等國際法規(guī)，同時我們還可以根據BAA向醫(yī)療行業(yè)的相關客戶提供HIPAA合規(guī)選項。

服務商是否能提供高級且可配置的地理路由？

地理路由(有時也被稱為地理圍欄)允許開發(fā)人員定義一個地理區(qū)域，開發(fā)者的數據將被限制在該地理域內。

聲網Agora在六個不同的地區(qū)實施了基于地理位置的路由，應用開發(fā)人員和安全團隊可以根據其具體情況進行選擇。聲網的客戶可以通過設定區(qū)域，限制其終端用戶的音視頻媒體流的流轉和處理在指定區(qū)域內。例如，如果開發(fā)者決定在其運營區(qū)域中限定某個特定的區(qū)域，那么媒體內容就只會途經這個區(qū)域進行傳輸。

服務商能否確保提供的音視頻流不會造成竊聽或泄露？

開發(fā)者應用如果出現音視頻數據泄露，造成的原因可能是應用本身的安全性或者服務商的安全漏洞等多重原因，所以開發(fā)者需要注意，第三方服務商如何保障提供的音視頻流不會泄露?

聲網Agora通過自研協(xié)議AUT進行傳輸保護，自研協(xié)議包含密鑰交換、身份認證，并使用SSL/TLS進行加密傳輸，從而保護音視頻數據不被竊聽或泄露。

綜上所述

作為全球實時互動云服務商，面對應用開發(fā)者對數據安全性的迫切需求，我們所發(fā)揮的作用將非常關鍵。我們致力于提供卓越的數據安全性，讓開發(fā)者可以將精力專注于創(chuàng)新和打造新應用，在安全性方面沒有后顧之憂。

如果您對安全方面還有其他疑問或建議，可隨時通過郵件(security@agora.io)與我們的安全團隊取得聯系，也可隨時通過郵件(pr@agora.io)與我們的PR團隊取得聯系。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）