点击蓝字丨关注我们
申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
2024年4月,国家金融监督管理总局重庆监管局、重庆市地方金融管理局、重庆市通信管理局三部门联合印发《关于促进金融服务类App个人信息保护合规经营能力提升的通知》,并梳理完成《重庆市金融服务类移动互联网应用程序个人信息保护合规指南(V1.0)》(以下简称“《指南》”)为辖地金融服务移动应用(App)的开发、运营提供安全合规宣导。
近年来,软件开发工具包(SDK)得到广泛应用,其安全合规问题引发关注。重庆市三部门在《指南》中明确提出加强软件开发包(SDK)接入管理,并参考现有SDK相关安全合规政策、标准要求,结合金融行业“强合规、重安全”特点,从SDK准入审核、权责划分、明示同意等方面切入,给出了“第三方SDK评估重点、接入开源SDK注意事项、明示SDK信息要点”等详细指引,为相关要求的落地实施提供了有益参考,助力金融服务App接入第三方SDK服务安全合规水平。
此前,工业和信息化部(以下简称“工信部”)于2023年曾发布《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》,其中不仅提出加强SDK使用管理,要求App开发运营者主动展开针对SDK个人信息保护能力相关评估,更就SDK提供者需履行的责任与义务进行了明确,提出规范SDK服务的三项举措,即“建立信息公示机制、优化功能配置、加强服务协同”。同年,我国首部SDK国家标准《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》发布,该标准从产品设计、开发、发布、运营、终止运营等生命周期视角出发,明确了SDK各阶段安全要求,其中在开发、运营阶段,标准规定SDK产品需开展相应评估,并应向App开发者提供安全能力说明。
此外,近年金融等行业也针对SDK安全合规接入、使用出台了多份标准。其中,2020年发布的行业标准《网上银行系统信息安全通用规范》对网上银行客户端接入第三方SDK提出了总体的安全管理要求,指出App开发过程中需规避SDK安全风险,并应在必要时要求开发者进行SDK选型安全测试。2021年发布的《银行业第三方软件开发工具包(SDK)安全接入指南》则进一步明确了App开发者集成“交互、无交互、推送”等不同类型SDK时应具备的安全措施,要求App开发者实施引入前审核、引入中监控、退出时审计追溯等全周期管理,确保引入第三方服务的安全性,保障业务服务及数据安全。
SDK相关政策、标准、指南文件梳理(部分)
|
名称 |
发布时间 |
相关内容 |
|
《重庆市金融服务类移动互联网应用程序个人信息保护合规指南》 |
2024年 |
1. 接入第三方SDK前应进行个人信息保护能力评估,给出第三方SDK评估重点 2. 应与SDK提供方确定双方个人信息保护责任和义务,明确接入开源SDK情形 3. 应明示接入SDK收集个人信息规则并征得用户同意,梳理明示SDK信息要点 |
|
《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》 |
2023年 |
1. App开发者、SDK提供者应通过合同等形式明确约定各方权利和义务,确保个人信息处理依法合规 2. App应集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息,侵害用户权益造成损害的,依法承担相应责任 |
|
《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》 |
2023年 |
1. 安全要求较高的SDK宜进行第三方安全测评 2. SDK运营者应向App开发者提供安全能力说明或安全评估报告 3. SDK运营者应在SDK热更新推送前向App开发者告知更新具体内容及可能造成的影响 |
|
《移动互联网应用程序SDK安全技术要求及测试方法》 |
2022年 |
规定移动互联网程序(App)软件开发工具包(SDK)的开发、运营中的基本安全要求、数据存储安全要求、数据交互安全要求、组件安全要求、代码及资源文件安全要求 |
|
《银行第三方软件开发工具包(SDK)安全接入指南》 |
2021年 |
1. 应开展技术检测,确保SDK个人信息收集、使用行为符合约定,并对收集个人金融信息或支付敏感信息的行为进行审计,发现超出约定的行为及时切断接入 2. SDK交付时宜提供安全测试报告 3. SDK发生变更时,及时评估影响并告知银行,配合制定变更方案和应急预案 4. SDK提供方配合银行进行问题、事件分析 |
|
《网上银行系统信息安全通用规范》 |
2020年 |
应注意规避各系统组件、第三方组件、SDK存在的安全风险,应对开发框架和技术路线进行严格的论证,必要时应进行选型安全测试 |
|
《移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》 |
2020年 |
1. App提供者应采取充分的安全措施保证使用SDK时不引入安全风险 2. SDK提供者应采取安全措施,并向App提供者提供有关安全能力的证明 |
通过对相关政策、标准的追踪不难发现,2020年以来,SDK安全合规要求已逐步明晰,配套标准日益完善,安全合规工作已逐步进入落地实施阶段。2020年,工信部发布《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》,明确将SDK提供者列为整治对象。2022年以来,相关监测巡查工作持续深化,工信部及地方行业主管部门针对SDK违法违规行为开展了多次通报。
作为移动互联网软件开发中不可或缺的一环,面对SDK安全合规要求的日益清晰与治理工作的不断深化,需从供、需两侧入手,提升行业整体安全合规水平。一方面,App开发者应加强安全意识,接入SDK前开展审慎的安全评估,针对广告、支付、认证、安全风控等对用户影响较大、安全要求较高的SDK开展选型测试与定期核查,把好第三方服务安全准入关。另一方面,SDK提供者应提升产品安全运营水平,在设计开发、运行维护等各环节坚持安全合规底线,持续追踪法律法规及标准要求,完善安全合规能力建设,努力营造能够“安全开发、规范集成、放心使用”的健康行业生态。
“SDK安全专项行动”是由中国信息通信研究院安全研究所大数据应用与安全创新实验室发起的技术测评工作,结合行业痛点、热点问题,围绕SDK产品基础配置、数据存储、数据交互,组件使用、代码资源文件等方面展开深入评估,为SDK运营者提升业务安全合规水平提供助力,为App厂商开展技术选型、准入核查提供参考。2021年,专项行动启动以来,得到业内积极反馈和广泛认可,已有近80款SDK通过测评并获颁证书,覆盖广告聚合、信息推送、数据分析、地图定位、安全防控等热门领域,为行业健康有序发展持续提供助力。
咨询电话:
钟老师18631643906
5.SDK安全 | 消息推送类SDK——业务功能及技术特点简析
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 (010) 5884 6840
解伯延 18631643906
联系人邮箱:[email protected]
原文始发于微信公众号(数据安全共同体计划):SDK安全 | 《重庆市金融服务类移动互联网应用程序个人信息保护指南》再谈SDK管理——近年SDK安全要求浅析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论