你正在選擇實時互動云服務(wù)？以下是聲網(wǎng)關(guān)于安全合規(guī)的七個建議

隨著實時互動廣泛應(yīng)用于在線教育、社交直播、企業(yè)協(xié)作、在線醫(yī)療、金融保險等各行各業(yè)，很多應(yīng)用開發(fā)者會選擇實時互動云(RTE PaaS)服務(wù)商幫助其快速構(gòu)建功能豐富的應(yīng)用。但是在選擇RTE PaaS服務(wù)商之前，你需要確切了解服務(wù)商在數(shù)據(jù)隱私、安全性和標(biāo)準(zhǔn)合規(guī)方面所提供的保障。

一、為什么安全合規(guī)很重要？

開發(fā)者需要在服務(wù)條款中明確說明如何存儲、使用和共享開發(fā)應(yīng)用的個人數(shù)據(jù)，并嚴(yán)格遵守相關(guān)服務(wù)條款。另外，當(dāng)開發(fā)面向全球市場的應(yīng)用時，開發(fā)者需要了解自己是否遵守GDPR、CCPA等數(shù)據(jù)隱私法規(guī)以及其他當(dāng)?shù)鼗騾^(qū)域性的政策法規(guī)。為保障應(yīng)用程序能更加安全地管理用戶數(shù)據(jù)，開發(fā)者需要了解PaaS合作伙伴處理其涉及的任何數(shù)據(jù)的具體方式。

安全是業(yè)務(wù)的一種屬性，其作用是通過有效的管理和技術(shù)措施來控制內(nèi)外部風(fēng)險，在遵守相關(guān)法律法規(guī)的前提下，為業(yè)務(wù)服務(wù)的機(jī)密性、完整性和可用性提供可靠保障。

二、聲網(wǎng)對開發(fā)者的建議：

對于開發(fā)者來說，安全且合規(guī)地處理用戶個人隱私數(shù)據(jù)是應(yīng)用程序的重中之重，聲網(wǎng)Agora 在設(shè)計、開發(fā)和部署SD-RTN™、SDK 以及其他產(chǎn)品和服務(wù)時，都會嚴(yán)格執(zhí)行內(nèi)部的SDLC(Secure Software Development Lifecycle)控制，并嚴(yán)格遵守相關(guān)政策法規(guī)，幫助開發(fā)者構(gòu)建符合各類隱私政策與法規(guī)的應(yīng)用場景。

開發(fā)者需要明確自己的業(yè)務(wù)場景，以及相關(guān)的安全責(zé)任邊界。

聲網(wǎng)Agora RTE服務(wù)與客戶的安全責(zé)任邊界示意如下：

Agora致力于為客戶提供隨時隨地、無處不在的實時互動服務(wù)，我們始終將數(shù)據(jù)安全和用戶隱私保護(hù)作為首要安全原則，并將其作為理念融入安全能力建設(shè)當(dāng)中，我們負(fù)責(zé)RTE PaaS平臺以及輸出給客戶SDK的安全性。

在明確安全責(zé)任邊界的前提下，對于開發(fā)者來說，安全且合規(guī)的處理用戶的隱私數(shù)據(jù)是應(yīng)用程序的首要關(guān)注點。開發(fā)者應(yīng)全面閱讀開發(fā)者手冊相關(guān)文檔，理解其服務(wù)在安全性方面的技術(shù)規(guī)格說明，并進(jìn)行開發(fā)最佳設(shè)置，強(qiáng)化自身音視頻互動服務(wù)的安全性。

我們提供了“最佳安全實踐指南”來幫助開發(fā)者在開發(fā)配置過程中，提升音視頻互動的安全性。

同時，我們建議開發(fā)者關(guān)注我們SDK的發(fā)布動態(tài)，及時更新到最新版本SDK。這樣既可以確保開發(fā)者的APP可以第一時間獲取最新的功能與服務(wù)，還能確保安全相關(guān)缺陷和漏洞被及時修復(fù)。

三、開發(fā)者需要考慮哪些內(nèi)容？

無論開發(fā)者是與聲網(wǎng)Agora，還是與其他PaaS服務(wù)商合作，在簽約之前都應(yīng)咨詢并明確以下問題：

服務(wù)商是否嚴(yán)格落實了數(shù)據(jù)安全和隱私保護(hù)標(biāo)準(zhǔn)？

數(shù)據(jù)安全的可靠性，取決于服務(wù)商是否嚴(yán)格按照行業(yè)標(biāo)準(zhǔn)實施對數(shù)據(jù)的控制和管理。

聲網(wǎng)Agora 在信息和隱私安全方面遵循行業(yè)標(biāo)準(zhǔn) ISO 27001/27017/27018。我們的網(wǎng)絡(luò)架構(gòu)和基礎(chǔ)設(shè)施符合SOC2標(biāo)準(zhǔn)，確保所有的物理和虛擬訪問都得到有效管理、監(jiān)控和控制 。

聲網(wǎng)Agora不會訪問或存儲用戶的個人身份信息(PII)，只會收集提供服務(wù)中必要的運營信息——這些數(shù)據(jù)包括IP地址(識別用戶的地理位置以符合區(qū)域法規(guī)和網(wǎng)絡(luò)連接)、計量數(shù)據(jù)(因為聲網(wǎng)是按使用時長收費的)和體驗質(zhì)量數(shù)據(jù)(通過水晶球幫助客戶進(jìn)行體驗質(zhì)量監(jiān)測)。聲網(wǎng)不接觸終端用戶數(shù)據(jù)，更不會處理和存儲終端用戶數(shù)據(jù)，如密碼和用戶身份(如姓名、電子郵件地址、電話號碼等)。這些信息由客戶自行在應(yīng)用程序中進(jìn)行管理。

權(quán)威的第三方機(jī)構(gòu)是否可以證明或監(jiān)控服務(wù)商的安全合規(guī)性？

如果PaaS服務(wù)商對于安全標(biāo)準(zhǔn)的實施已得到權(quán)威機(jī)構(gòu)的驗證，則相對更加可信。

聲網(wǎng)與Ernst&Young LLP合作，后者監(jiān)督我們對ISO 27001/27017/27018等標(biāo)準(zhǔn)的執(zhí)行情況。我們的ISO審核流程和認(rèn)證則由歐洲認(rèn)證機(jī)構(gòu)DNV GL提供。 我們的SOC 2合規(guī)性由Deloitte LLP審計完成。 此外，我們與包括Trustwave Holdings在內(nèi)的全球安全專家合作，已完成網(wǎng)絡(luò)滲透、應(yīng)用程序漏洞和合規(guī)性評估等工作。

服務(wù)商是否能夠提供保護(hù)媒體流的能力和選項？

開發(fā)者在選擇是否對媒體流加密時，很重要的一點是要在性能和數(shù)據(jù)安全之間進(jìn)行權(quán)衡，對數(shù)據(jù)進(jìn)行安全保護(hù)將對延遲和性能等產(chǎn)生一定影響，即便影響較小。

作為以開發(fā)者為中心的API平臺，聲網(wǎng)為應(yīng)用開發(fā)者提供了身份驗證、數(shù)據(jù)加密以及網(wǎng)絡(luò)地理圍欄等諸多缺省和可配置的安全選項，以保護(hù)開發(fā)者的音視頻媒體流數(shù)據(jù)。您可以針對特定的應(yīng)用場景進(jìn)行權(quán)衡和選擇。

如果您選擇為媒體內(nèi)容加密，Agora SDK 提供內(nèi)置 AES 加密算法供客戶直接選擇使用。加密密鑰由客戶的應(yīng)用程序管理，并在Agora網(wǎng)絡(luò)外部的終端用戶設(shè)備之間進(jìn)行傳輸。

服務(wù)商是否有快速響應(yīng)安全漏洞的記錄？

任何復(fù)雜的軟件都會有漏洞存在，因此PaaS服務(wù)商必須保持警惕，以防止漏洞被利用。開發(fā)者需要關(guān)注PaaS服務(wù)商發(fā)現(xiàn)并及時處理漏洞的能力。

聲網(wǎng)與多家全球備受信賴的安全組織合作，從而保障及時發(fā)現(xiàn)漏洞并告知客戶，幫助客戶快速開展必要的修復(fù)工作。

服務(wù)商是否符合國家或地區(qū)的法律？

任何一家全球化的公司都必須了解業(yè)務(wù)所在國家和地區(qū)的法律及條例。很多人都會出現(xiàn)一個常識性的誤解，認(rèn)為相關(guān)法律和條例僅適用于該國家和地區(qū)的本土企業(yè)，實際上這些法律和條例適用于在該國或該地區(qū)經(jīng)營業(yè)務(wù)的所有公司。無論是歐盟的GDPR或中國的網(wǎng)絡(luò)安全法律，任何想要在這些區(qū)域開展業(yè)務(wù)的公司，都要受到同樣的法律法規(guī)約束。

聲網(wǎng)Agora符合歐洲的GDPR、美國加州的CCPA等國際法規(guī)，同時我們還可以根據(jù)BAA向醫(yī)療行業(yè)的相關(guān)客戶提供HIPAA合規(guī)選項。

服務(wù)商是否能提供高級且可配置的地理路由？

地理路由(有時也被稱為地理圍欄)允許開發(fā)人員定義一個地理區(qū)域，開發(fā)者的數(shù)據(jù)將被限制在該地理域內(nèi)。

聲網(wǎng)Agora在六個不同的地區(qū)實施了基于地理位置的路由，應(yīng)用開發(fā)人員和安全團(tuán)隊可以根據(jù)其具體情況進(jìn)行選擇。聲網(wǎng)的客戶可以通過設(shè)定區(qū)域，限制其終端用戶的音視頻媒體流的流轉(zhuǎn)和處理在指定區(qū)域內(nèi)。例如，如果開發(fā)者決定在其運營區(qū)域中限定某個特定的區(qū)域，那么媒體內(nèi)容就只會途經(jīng)這個區(qū)域進(jìn)行傳輸。

服務(wù)商能否確保提供的音視頻流不會造成竊聽或泄露？

開發(fā)者應(yīng)用如果出現(xiàn)音視頻數(shù)據(jù)泄露，造成的原因可能是應(yīng)用本身的安全性或者服務(wù)商的安全漏洞等多重原因，所以開發(fā)者需要注意，第三方服務(wù)商如何保障提供的音視頻流不會泄露?

聲網(wǎng)Agora通過自研協(xié)議AUT進(jìn)行傳輸保護(hù)，自研協(xié)議包含密鑰交換、身份認(rèn)證，并使用SSL/TLS進(jìn)行加密傳輸，從而保護(hù)音視頻數(shù)據(jù)不被竊聽或泄露。

綜上所述

作為全球?qū)崟r互動云服務(wù)商，面對應(yīng)用開發(fā)者對數(shù)據(jù)安全性的迫切需求，我們所發(fā)揮的作用將非常關(guān)鍵。我們致力于提供卓越的數(shù)據(jù)安全性，讓開發(fā)者可以將精力專注于創(chuàng)新和打造新應(yīng)用，在安全性方面沒有后顧之憂。

如果您對安全方面還有其他疑問或建議，可隨時通過郵件(security@agora.io)與我們的安全團(tuán)隊取得聯(lián)系，也可隨時通過郵件(pr@agora.io)與我們的PR團(tuán)隊取得聯(lián)系。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）