只接收必要数据
先确认能否去除姓名、地址、联系方式、自由文本和全量数据。优先从少量匿名化样本开始。
Security & Data Handling
哪些数据、为了什么目的、由谁、在哪里、保留多久,都先定义清楚。从数学原型到生产运维,先确定边界和责任,并留下可确认的资料。
Our position
安全不能只由产品名或单一功能决定。我们会结合数据性质、使用目的、组织、运维和委托对象进行设计,并重视让实施范围可被确认。
先确认能否去除姓名、地址、联系方式、自由文本和全量数据。优先从少量匿名化样本开始。
在接收数据或转入生产前,先约定保存位置、查看者、外部服务、AI 使用、保留期限和删除方式。
将数据流、访问权限、委托对象、备份、删除和事件联系人等整理成可确认的成果物。
Data journey
同样的数据,在诊断、原型和生产运维中需要不同管理。我们区分接收内容、事前决定事项和留下的证据。
INTAKE
PROTOTYPE
DEVELOPMENT
OPERATION
DELETION
Security profile builder
这不是审计或保证,而是用于首次会议整理确认事项的设计辅助工具。不需要输入联系方式。
Step 01 / Data class
设计案以需要最谨慎处理的数据类别为基准。可多选。
Step 02 / Delivery phase
即使是同样的数据,短期验证和生产运维也需要不同管理。
Step 03 / External processing
除外部 AI 外,云、邮件、地图、分析、通知服务也按同样的数据流思路确认。
Step 04 / Operational needs
可多选。即使未确定,也会作为会议确认事项纳入设计案。
Design draft / not an audit
以最小数据和短期保存为前提,从分离的验证环境开始。
这是根据输入生成的事前设计案。实际法律义务、合同条件、威胁、云架构和运维体制确认后才会定案。
Control model
将 NIST Cybersecurity Framework 2.0 的六项功能作为项目确认视角参考。这不是认证或完全合规声明。
明确负责人、方针、合同、委托对象和可接受风险。
例:责任分担表、服务列表把握资产、数据、依赖关系、威胁和影响。
例:数据流、资产台账设计认证、最小权限、加密、秘密管理和安全实现。
例:权限表、实现检查确定必要日志、监控、告警和异常判断标准。
例:监控项目、日志保存准备初动、遏制、调查、联系和防止再发流程。
例:联系网、初动流程设计备份完整性、恢复顺序、业务恢复和事后确认。
例:恢复流程、测试记录Application security
参考 OWASP ASVS 5.0 整理应用安全要求和确认项目。根据重要度和预算组合评审、自动检查、手动确认和外部测试。
Prototype vs production
以下是推荐设计比较,不是固定保证值,而是按项目确定的基准。
| 确认项目 | P0 数学原型 | P1 生产系统 |
|---|---|---|
| 目的 | 验证可行性和指标 | 持续业务处理 |
| 数据量 | 优先少量、匿名化、必要列 | 正式定义业务所需范围 |
| 环境 | 分离短期验证环境 | 考虑开发、验证、生产分离 |
| 访问 | 限定负责人 | 角色权限、认证、盘点 |
| 外部AI | 先考虑不发送不必要数据的设计 | 约定目的、对象、合同、设置、日志 |
| 保存期限 | 先确定结束日 | 考虑目的、法律、运维、备份 |
| 删除 | 确认交付后的删除或继续使用 | 设计退会、合同结束、法定保存、备份 |
| 恢复 | 评估能否重新生成 | 确定恢复目标和备份测试 |
Shared responsibility
使用云并不会自动安全,开发公司也不能单独管理全部风险。需要区分客户、Finite Field 和使用服务的角色。
根据合同范围,负责系统侧措施和开发期间的数据处理。
数据能合法使用、用户和终端运维、内部规则是客户侧的重要责任。
物理设施、基础平台和托管服务范围遵循各服务合同和共同责任模型。
AI & third parties
当数据传递给生成 AI、地图、邮件、分析、通知、支付等外部服务时,会把目的和范围纳入数据流。
不向外部 AI 发送业务数据。使用普通算法、本地处理或匿名化固定数据。
最先考虑的选项去除识别符后,只向约定服务发送必要项目。也确认能否记录发送内容。
以匿名化和最小化为前提确认服务条件、保存设置、区域、再利用条件和权限,并明确对象数据。
需要个别风险判断EXTERNAL SERVICE CHECK
Incident response
生产运维前定义对象事件、联系人、初报方式、遏制、恢复和防止再发责任。
从监控、用户联系、服务通知掌握事件。
抑制影响扩大,并保全必要证据。
确认对象数据、原因、影响和报告必要性。
根据法律、合同和情况联系相关方。
确认安全后恢复,并反映防止再发措施。
Evidence pack
根据项目重要度和合同范围,可以创建或更新以下资料。并非全部都是标准交付物,需要在报价时选择。
项目、目的、敏感度、保存位置、责任人。
下载 CSV / 02发送源、发送方、目的、方式、外部委托。
下载 CSV / 03角色、环境、操作、批准、盘点。
下载 CSV / 04服务、用途、数据、保存位置、合同。
下载 CSV / 05保存理由、期限、删除方式、证据、例外。
下载 CSV / 06事件类别、一次联系、备用联系、判断者。
下载 CSV / 07对象、恢复点、所需时间、结果、课题。
下载 CSV / 08设计、实现、测试、运维、结束处理。
下载 CSV / 09目的、发送项目、保存条件、批准、停止流程。
下载在确认实际情况和项目范围后,回答客户指定的安全检查表。未实施项目会注明未实施,并区分替代措施和应对方案。
References
参考法律、公务指南和开放标准,为项目选择必要控制措施。参考不等于认证或完全合规声明。
作为确认安全管理措施、处理规则、组织、人员、物理、技术措施和外部环境的基础。
打开官方资料将六项功能作为确认风险和运维遗漏的共同语言。
打开官方资料作为整理 Web 和应用安全要求及验证项目时的参考。
打开官方资料仅凭本页面并不意味着以下内容。
ISO/IEC 27001 认证取得隐私标志认证取得完全符合 NIST CSFOWASP ASVS 认证保证不会发生事故所有项目采用同一措施FAQ
原则上先确认能否用最小化的匿名化或假名化样本验证。若需要真实数据,会事前约定对象、保存位置、查看者和删除时间。
是否使用外部 AI、发送对象、目的和保存条件按项目决定。也可以选择不向外部 AI 发送业务数据的构成。
在所用云或外部服务支持范围内,于设计时确认保存位置要求。涉及跨境转移时,会明确使用服务和数据流。
根据合同、运维方式和维护范围,明确所有权、保存、访问、备份和删除的责任分担。
本页不表示取得特定认证。采用的控制措施和确认资料按项目定义,必要时可回答客户检查表。
生产运维前确定联系人、对象事件、初报方式和更新频率。实际通知依据法律、合同和事件内容进行。
需要确认数据必要性、法律要求、访问范围、保存位置、日志、删除和委托对象,并采用比普通业务数据更严格的设计。按项目判断可否。
根据对象和所需级别,可组合设计评审、自动检查、手动确认和外部专业公司。范围和成果物在报价时明确。