# FinClip 安全守则
本版本生效日期:2021年7月14日
本版本更新日期:2023年10月19日
FinClip 始终致力于构筑安全可信的数字化产品与服务,不断优化端到端保障体系,确保在产品各功能中的网络安全与隐私保护工作都能够得到实际的落地。我们始终以软件行业最高的安全标准保护用户数据,所使用的安全模型与安全策略全部都基于国际标准和行业最佳实践。
我们将严格保护您的信息的安全。使用各种安全技术和程序来保护您的信息不被未经授权的访问、使用或泄漏。如果您对我们的安全承诺有任何置疑,发现了相关的可疑情况,请立即发送邮件 wangzi@finogeeks.com。
请注意
以下正文中 FinClip 及相关安全说明均代表使用 FinClip 线上环境 (opens new window) 时的状态。如您使用的是社区版或私有化版本,则以实际部署环境为准。
# 1. 合规与证书
我们始终关注国内外相关的信息安全政策与相关规范,并且始终以软件行业的最高安全标准保护用户数据,主动对产品进行系统性安全管理建设,并完成合规认证。
# 1.1 信息安全等级保护三级认证
按照 信息安全等级保护管理办法 (opens new window) 等相关规定,我们对 FinClip 的整个系统进行了专门的安全加固,在 2020 年顺利通过了国家网络与信息系统安全产品质量监督检验中心(公安部第三研究所)的测评,标志着我们从在物理环境、主机、网络、业务应用系统、安全管理制度和人员等方面,均具有被权威机构认可的安全防护能力,并且达到了行业内较高水平,并于 2021 年 3 月取得了证书。
信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,共分为五个等级。 目前四大国有银行(总行)的一二级分行(省行、市行)等重要金融机构一般是第三级认证。
# 1.2 ISO 9001:2015 质量管理体系
按照 ISO 9001:2015 (opens new window) 的各项标准,我们建立了产品质量管理体系且通过了认证机关的审核,在 2021 年通过了认证机关的审核,并于 2021 年 5 月取得了证书。
在 FinClip 产品设计,开发测试的各阶段的输出都会经过严格的评审。在产品部门完成详细功能描述和系统模型后, 研发部门会进行软件结构设计、编程和单元测试、集成测试,然后测试部门会对软件进行功测试、性能测试、环境测试、回归测试等,最终还会组织公司内产研人员与内测用户一起进行产品质量测试,直到无误后才会产出最终版本,至此软件开发流程才算完成。
# 1.3 ISO 27001:2013 质量管理体系
按照 ISO 27001:2013 (opens new window) 的各项标准,我们建立了信息安全管理体且通过了认证机关的审核,在 2022年通过了认证机关的审核,并于 2022 年 8 月取得了证书。
FinClip 针对如何识别关键信息基础设施范围、如何保护关键信息基础设施、如何实施监测预警、应急处置和检测评估、理清各相关方的职责等等问题都设定了相关的管理条例与规范,可以有效地保护产品设计、开发过程中的数据和保密信息,从而将非法获取相关资料的风险降至最低。该项认证能够证明我们具有充分的信息安全⻛险识别和控制的能力,并且能够为全球开发者及用户提供安全可靠的产品服务。
# 1.4 信通院 SDK 专项评测
2021 年 6 月,中国信息通信研究院安全研究所大数据应用与安全创新实验室发起“SDK安全专项行动”。实验室紧跟信息技术发展趋势,依托数据安全、移动安全等领域深厚积累,通过前瞻研究和实践探索,形成了完整的 SDK 评测方案和指标体系。
2021 年 9 月至 10 月间,中国信通院安全研究所持续聚焦 SDK 产业安全热点、痛点,开展 SDK 安全专项行动第二期评测工作,内容覆盖产品基础安全、数据存储安全、数据交互安全、重要组件安全、代码及资源文件安全 5 大方面。
我们已经于 2021 年通过中国信息通信研究院的 SDK 安全专项评测,并于同年 10 月取得了评测证书,您可以点击这里 (opens new window)查看相关信息。
# 2. 数据物理安全
FinClip 的云服务资源是由行业头部的分布式数据中心或头部的公有云供应商的云服务组成,用以构建一个统一、高可用、高扩展、高效率、高安全的基础资源环境。
# 2.1 基础设施
FinClip 的数据全部托管在 亚马逊中国(AWS) (opens new window) 宁夏区域和 腾讯云 (opens new window) 广州区域的多个数据中心的可用区中,采用多副本冗余存储。
亚马逊中国(AWS)与腾讯云都是中国顶尖的云服务提供商之一,将数据托管在他们的基础设施上,可以避免硬盘被盗或失效、甚至整个区域故障所导致的数据丢失风险。
# 2.2 数据灾备与恢复
FinClip 每天都会在多个异地服务器进行数据备份,备份的数据经过 AES-256 加密后会储存在不同的服务器中,防止不可预见的事故发生。
# 2.3 网络安全
所有的账户信息都在终端用户与 FinClip 之间使用 256 位安全套接层(TLS)加密数据传输。无论您的账户级别如何,私有的小程序与项目信息都无法被他人访问,也不能被外部的搜索引擎或爬虫脚本索引。
FinClip 的所有系统都由 AWS 和腾讯云提供的防火墙与网络访问控制保护,采用多个交换机和安全网关来确保网络冗余,防止内部网络的单点故障。
# 2.4 DDoS 防御
我们使用 WAF(Web 应用防火墙)技术来防止对服务器的 DDoS 攻击,通过策略规则保证正常的流量顺利通过,恶意流量将被阻挡用来防止攻击造成的业务中断,确保网站和 API 具备高可用性和高性能。
# 2.5 服务器强化
FinClip 服务器中的未使用的端口、帐户均被禁用,安全团队会定期对云服务器进行合规检查与漏洞扫描。此外我们还通过负载均衡设备、防火墙与 VPN 来界定网络数据,借此控制我们的公开服务,并区分正式环境与其他运算基础架构。
根据业务需求,我们对正式环境的基础设施和限制数据存取进行严格把关,用以保护数据及网络安全。
# 2.6 服务灾难恢复和业务连续性
FinClip 的服务均采用多副本冗余机制,通过将服务分布在多个不同区域的操作,保证在单个区域发生故障时,其他区域也可以接管服务并进行平稳地切换。
此外,我们还基于业务连续性要求对基础架构进行了持续监控,从而保证我们的各项服务能够正常运行。
# 2.7 代码安全性管理
FinClip 的研发团队负责保证并改善代码的安全性,通过定期评价应用程序和服务是否出现常见的安全性问题,包括CSRF、注入攻击(XSS、SQL injection)、会话管理、URL重定向和点击劫持等。
此外我们也与云服务供应商达成了紧密合作,确保可获得足够的数据安全支撑。
# 3. 软件服务安全
# 3.1 代码安全
FinClip 的所有代码在部署上线之前均会经过严格的安全检验,与静态检测工具扫描,用来防止漏洞出现。研发人员也会定期进行安全培训,确保能够掌握业界推荐的安全实践,防止隐患出现。
# 3.2 通信加密
当用户访问 FinClip 时,数据会在传输时会进行加密传输。我们配置了多重安全机制保护用户数据的安全传输:强制要求所有与服务器的连接使用 TLS 1.2/1.3 协议;强制要求浏览器通过 HTTPS 协议与我们建立连接。
# 4. SDK 安全
FinClip 提供了 iOS、Android、macOS、Windows、Linux、国产操作系统等平台的 小程序 SDK 支持,以满足开发者及用户的各类小程序运行与安全容器需求。FinClip 小程序 SDK 不仅仅为开发者及用户提供简单、易用、统一、可信、安全的小程序开发与编译套件,也竭尽全力为开发者及用户提供合规、安全的配置选项,以提升开发者及用户在小程序应用开发场景和应用中合规监管和应对信源数据安全威胁的能力。
# 4.1 SDK 的合规与安全保证
FinClip 在为开发者提供 SDK 时,SDK 的可信和安全是我们首要保证的内容之一。在评审 SDK 新增或迭代的功能时,会充分评估功能需求在合规隐私以及安全上的风险点,确保与 FinClip 合规和隐私政策的一致性。功能实现时,FinClip 会在进行充分的质量保证(QA)测试时对代码进行安全审计,在涉及引用或集成第三方 SDK、库文件时进行安全检测,尤其是合规性确认,例如,是否存在恶意代码或后门,是否遵守版权或使用协议。如果检测出存在风险,SDK 只有在修复并确认无风险后,才允许进入下一阶段。在分发环节,FinClip 会在官方渠道更新。
# 4.2 对开发者及用户的安全与合规支持
FinClip 始终秉持“服务与连接客户”的初心,我们希望自身在安全上的能力也能对开发者及用户有所帮助。如您有需要,可以联系您的专属售后经理,以获得“SDK 质量检测证书”协助您完善自有产品的数据安全及隐私合规。
# 5. FinClip 小程序 SDK 信息收集内容
FinClip 小程序 SDK 及其收集信息的相关内容如下:
| SDK 名称 | 功能类型 | 收集数据类型 | 隐私政策链接 |
|---|---|---|---|
| FinClip 小程序 SDK | 小程序 SDK | 手机终端标识信息、IP、MAC地址;系统类型、系统版本、手机厂商、手机型号 | https://www.finclip.com/mop/document/operate/privacy-policy.html |
请注意
以上数据在 SDK 收集后还需要由开发者自行设定是否上报,数据仅会上传至开发者私有化部署环境中(即所有数据实质上依然留存在 APP 方数据库与 IT 环境内)。FinClip 小程序 SDK无法获得任何数据或用户数据。