信息安全措施 最后更新时间: 2022年09月08日
高德地图开放平台(以下称“我们”或“高德”)一直非常重视信息安全体系的建设,重要信息系统已经通过网络安全等级保护的测评和ISO27001、ISO27701等认证,从组织建设、制度流程、技术工具和人员能力等多个方面综合对全数据生命周期实施保护,保障数据的可用性、保密性和完整性。
一、基础设施安全
高德的计算基础设施及架构安全如机房安全、服务器安全、网络设备安全等由阿里云提供保障。阿里云是全球领先的云计算服务提供商,具有强大的技术实力和良好的口碑,同时拥有国内外最完备的信息安全合规认证资质。
高德实时获取各个云服务的日志消息,对云服务进程进行实时监控,确保服务的正常稳定运行。
二、数据安全
1、数据收集安全
高德制定了数据分类分级的原则、方法和操作指南,按照数据类型、敏感程度和数据价值制定不同的访问控制、加密解密、脱敏及变更等安全策略,尽力确保只有授权人员才可访问个人信息。
高德制定了包括业务、法务、安全等多部门协同的数据采集内容审核机制,确保采集的数据符合“最小必要原则”。
2、数据传输安全
高德通过HTTPS进行数据传输,在您的浏览器与服务器之间交换数据时受 SSL协议加密保护,保证数据传输过程中的安全。
3、数据存储安全
高德采用多副本冗余存储,保证数据的完整性。
根据数据分类分级标准,对敏感数据进行加密、脱敏处理。
采用多因素登录,包括但不限于密码、随机token、手机短信验证、人脸生物识别等认证方式,确保账号持有者登录成功后才可接触数据。
通过网络隔离,确保员工只有在内网环境下才能访问数据存储。
按时间顺序记录存储系统发生的一系列活动,确保数据被正常访问,并对异常访问进行报警和事后追溯分析。
在可接入内网的员工及访客设备(包括但不限于PC、手机等)上部署安全软件,保证终端设备不受外部入侵,同时对设备上存储的内部数据复制转移至非受控介质的行为进行实时监控和提醒。
4、数据使用安全
在服务端应用层面,必须统一接入权限管理系统,访问主体必须根据权限、角色和风险级别按需申请,并详细说明访问内容、访问理由、访问时长等相关信息,获得的访问权限定期复核,离职转岗后权限自动关闭;
在数据库操作层面,增删改查的操作命令全程监控,操作日志集中存储,操作流量实时分析,一旦发现高危SQL语句、批量违规操作、危险时段异常操作等违背安全管理要求的行为,及时告警并可实时在线拦截。
数据处理环境需在可信设备和可信网络环境中进行。
5、数据提供安全
高德制定了数据对外披露规范和审核制度,确保披露数据在《网络安全法》、《数据安全法》、《个人信息保护法》的许可范围内,以保护用户个人隐私数据为首要前提。所有对外披露数据的行为均需经过统一线上审批流程才可实施。
6、数据销毁安全
任何存储过用户数据的存储介质,在数据删除后,会遵照 DoD 5220.22-M、NIST 800-88 标准进行清除数据、磁盘消磁以及物理销毁,避免数据泄露风险。