企点安全白皮书框架
企点产品部 | 安全管理部
声明
【版权声明】
©️2016-2021 腾讯企点版权所有
本白皮书框架著作权归腾讯企点所有,未经企点事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分内容。
【商标声明】
及其 它企点服务相关的商标均为腾讯公司所有。本白皮书框架涉及的第三方主体的商标,依法由权利人所有。
【服务声明】
本白皮书框架仅供参考,对于本文档中的信息,企点不作明示、默示的保证。本白皮书框架基于现状编写,本白皮书框架中的信息和意见,包括网址和其他互联网网站参考,均可能会改变,不另行通知,您将自行承担使用它的风险。
本白皮书框架未授予您任何腾讯产品的任何知识产权的法律权利,您仅可以复制和使用本白皮书框架内容作为您内部以参考为目的的使用。
版本记录 | ||
版本 | 生效时间 | 说明 |
V1.0 | 2017年8月11日 | 版本创建 |
V1.1 | 2018年12月29日 | 增加“声明”,修改SNG为CSIG,修订第二章第(四)项和第三章第(四)项第5点。 |
目录
企点(以下称“服务方”)是腾讯公司云与智慧产业事业群(以下简称 CSIG)企业产品部研发运营的企业级服务平台,为企业提供与其客户互动沟通进而促进客户转化的服务功能。
(一) 服务方严格遵守相关的个人可识别信息(Personally Identifiable Information,以下简称PII)保护法律和法规,主要包括:
法律:
《中华人民共和国民法通则》第一百零一条;
《中华人民共和国刑法》第二百五十三条第三款、第四款、第五款;
《中华人民共和国网络安全法》第二十二条、第四十一条、第四十二条、第四十三条、第四十四条、第四十五条;
《中华人民共和国侵权责任法》第二条、第三条;
《中华人民共和国未成年人保护法》第三十九条;
《全国人民代表大会常务委员会关于维护互联网安全的决定》第四条;
《全国人民代表大会常务委员会关于加强网络信息保护的决定》;
《最高人民法院 最高人民检察院 关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
法规:
《中华人民共和国计算机信息系统安全保护条例》;
《中华人民共和国电信条例》。
行政规章:
《电信和互联网用户个人信息保护规定》(2013年7月16日中华人民共和国工业和信息化部令 第 24号公布);
《规范互联网信息服务市场秩序若干规定》(2011年12月7日中华人民共和国工业和信息化部令 第 20号公布) 。
(二) 根据国家法律和腾讯相关规定,服务方不会在未获得客户明确授权的情况将PII用作其他用途。
(三) 使用第三方服务商处理客户的PII时,应向客户明确告知,并确保在与第三方服务商的协议中包含敏感信息保密要求。客户如委托第三方向服务方提交PII,客户也应确保第三方遵守相关的保密规定。
(四) 根据国家相关法律法规要求,服务方不会向未经客户授权或未经国家司法机关授权的第三方披露客户的PII。如经法律授权或具备合理事由确需公开披露时,我们会向客户告知此次公开披露的目的、披露信息的类型及可能涉及的敏感信息,并征得客户的明示同意。
(五) 服务方对外提供的服务为SAAS服务。
(六) 服务方的安全策略和规程文件,将长期保留以备客户参考。
(七) 客户PII存储于中华人民共和国大陆地区。
(八) 服务方在安全实践上遵守的标准为ISO/IEC 27001和ISO/IEC 27018。
(一) 人员安全和供应商安全
(二) 数据安全
客户PII在存储介质中加密保存;
不允许PII保存到移动介质中,也不允许包含PII的存储设备转移出IDC。
(三) 访问控制
(四) 运维安全
ISO/IEC 27001是当今国际上最具有权威性且被广泛接受、应用的信息安全领域的体系认证标准。ISO/IEC 27018是第一个指导公有云服务供应商如何保护云用户个人信息安全的国际标准,其目的是将云服务的数据保护措施透明化,以增强企业对云服务的信任度。
随着国家网络安全法的落地实施,各监管部门单位的安全审查将更加严格和频繁,其配套的审查标准和方法也在不断完善,其中对个人身份及隐私信息保护提出了重点要求。ISO/IEC 27001、ISO/IEC 27018的框架及管理要求被大量借鉴至国家标准及行业标准。
我们服务方在面临当前针对企业的信息安全风险方面,以标准为基础,同时学习业界先进经验,采取积极的手段去防止出现重大安全事件和PII泄露事件。