# FinClip 安全守则
本版本更新日期:2021年7月14日
FinClip 始终致力于构筑安全可信的数字化产品与服务,不断优化端到端保障体系,确保在产品各功能中的网络安全与隐私保护工作都能够得到实际的落地。我们始终以软件行业最高的安全标准保护用户数据,所使用的安全模型与安全策略全部都基于国际标准和行业最佳实践。
我们将严格保护您的信息的安全。使用各种安全技术和程序来保护您的信息不被未经授权的访问、使用或泄漏。如果您对我们的安全承诺有任何置疑,或者发现了相关的可疑情况,请立即发送邮件 product@finogeeks.com。
请注意
以下正文中 FinClip 及相关安全说明均代表使用 FinClip 线上环境 (opens new window) 时的状态。如您使用的是社区版或私有化版本,则以实际部署环境为准。
# 1. 合规与证书
我们始终关注国内外相关的信息安全政策与相关规范,并且始终以软件行业的最高安全标准保护用户数据,主动对产品进行系统性安全管理建设,并完成合规认证。
# 1.1 信息安全等级保护三级认证
按照 信息安全等级保护管理办法 (opens new window) 等相关规定,我们对 FinClip 的整个系统进行了专门的安全加固,在 2020 年通过了认证机关的审核,并于 2021 年 3 月取得了证书。
信息系统安全等级保护,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,共分为五个等级。 目前四大国有银行(总行)的一二级分行(省行、市行)等重要金融机构一般是第三级认证。
# 1.2 ISO 9001:2015 质量管理体系
按照 ISO 9001:2015 (opens new window) 的各项标准,我们建立了产品质量管理体系且通过了认证机关的审核,在 2021 年通过了认证机关的审核,并于 2021 年 5 月取得了证书。
在 FinClip 产品设计,开发测试的各阶段的输出都会经过严格的评审。在产品部门完成详细功能描述和系统模型后, 研发部门会进行软件结构设计、编程和单元测试、集成测试,然后测试部门会对软件进行功测试、性能测试、环境测试、回归测试等,最终还会组织公司内产研人员与内测用户一起进行产品质量测试,直到无误后才会产出最终版本,至此软件开发流程才算完成。
# 1.3 ISO 27001:2013 质量管理体系
按照 ISO 27001:2013 (opens new window) 的各项标准,我们建立了信息安全管理体且通过了认证机关的审核,在 2022年通过了认证机关的审核,并于 2022 年 8 月取得了证书。
FinClip 针对如何识别关键信息基础设施范围、如何保护关键信息基础设施、如何实施监测预警、应急处置和检测评估、理清各相关方的职责等等问题都设定了相关的管理条例与规范,可以有效地保护产品设计、开发过程中的数据和保密信息,从而将非法获取相关资料的风险降至最低。
# 2. 数据物理安全
# 2.1 基础设施
FinClip 的数据全部托管在 亚马逊中国(AWS) (opens new window) 宁夏区域和 腾讯云 (opens new window) 广州区域的多个数据中心的可用区中,采用多副本冗余存储。
亚马逊中国(AWS)与腾讯云都是中国顶尖的云服务提供商之一,将数据托管在他们的基础设施上,可以避免硬盘被盗或失效、甚至整个区域故障所导致的数据丢失风险。
# 2.2 数据灾备与恢复
FinClip 每天都会在多个异地服务器进行数据备份,备份的数据经过 AES-256 加密后会储存在不同的服务器中,防止不可预见的事故发生。
# 2.3 网络安全
所有的账户信息都在终端用户与 FinClip 之间使用 256 位安全套接层(TLS)加密数据传输。无论您的账户级别如何,私有的小程序与项目信息都无法被他人访问,也不能被外部的搜索引擎或爬虫脚本索引。
FinClip 的所有系统都由 AWS 和腾讯云提供的防火墙与网络访问控制保护,采用多个交换机和安全网关来确保网络冗余,防止内部网络的单点故障。
# 2.4 DDoS 防御
我们使用 WAF(Web 应用防火墙)技术来防止对服务器的 DDoS 攻击,通过策略规则保证正常的流量顺利通过,恶意流量将被阻挡用来防止攻击造成的业务中断,确保网站和 API 具备高可用性和高性能。
# 2.5 服务器强化
FinClip 服务器中的未使用的端口、帐户均被禁用,安全团队会定期对云服务器进行合规检查与漏洞扫描。此外我们还通过负载均衡设备、防火墙与 VPN 来界定网络数据,借此控制我们的公开服务,并区分正式环境与其他运算基础架构。
根据业务需求,我们对正式环境的基础设施和限制数据存取进行严格把关,用以保护数据及网络安全。
# 2.6 服务灾难恢复和业务连续性
FinClip 的服务均采用多副本冗余机制,通过将服务分布在多个不同区域的操作,保证在单个区域发生故障时,其他区域也可以接管服务并进行平稳地切换。
此外,我们还基于业务连续性要求对基础架构进行了持续监控,从而保证我们的各项服务能够正常运行。
# 2.7 代码安全性管理
FinClip 的研发团队负责保证并改善代码的安全性,通过定期评价应用程序和服务是否出现常见的安全性问题,包括CSRF、注入攻击(XSS、SQL injection)、会话管理、URL重定向和点击劫持等。
此外我们也与云服务供应商达成了紧密合作,确保可获得足够的数据安全支撑。
# 3. 软件服务安全
# 3.1 代码安全
FinClip 的所有代码在部署上线之前均会经过严格的安全检验,与静态检测工具扫描,用来防止漏洞出现。研发人员也会定期进行安全培训,确保能够掌握业界推荐的安全实践,防止隐患出现。
# 3.2 通信加密
当用户访问 FinClip 时,数据会在传输时会进行加密传输。我们配置了多重安全机制保护用户数据的安全传输:强制要求所有与服务器的连接使用 TLS 1.2/1.3 协议;强制要求浏览器通过 HTTPS 协议与我们建立连接。
# 4. FinClip 小程序 SDK 信息收集内容
FinClip 小程序 SDK 及其收集信息的相关内容如下:
| SDK 名称 | 功能类型 | 收集数据类型 | 隐私政策链接 |
|---|---|---|---|
| FinClip 小程序 SDK | 小程序 SDK | 手机终端标识信息、IP、MAC地址;系统类型、系统版本、手机厂商、手机型号 | /operate/privacy-policy.html |
请注意
以上数据在 SDK 收集后还需要由开发者自行设定是否上报,数据仅会上传至开发者私有化部署环境中(即所有数据实质上依然留存在 APP 方数据库与 IT 环境内)。FinClip 小程序 SDK无法获得任何数据或用户数据。
