App安全合规的思考(一):APP安全认证的工作流程梳理 – 作者:Moench

前言

近些年来各监管机构对于APP的监管越来越严格,企业对APP安全合规工作也来越重视。

从2019年我负责跟进公司参与的App安全认证的试点工作到现在,已经接触App安全合规工作近两年了,非常感谢这两年一起推进工作的法务老师和同事,让我从一开始的连GB/T 35273都不知道,到之后的了解。虽然现在还是对很多状况不知所措的,但是已经有了基本的认知和处理方法。

回想这两年,虽然自己在推进App安全合规工作上一直还处于摸索阶段,但也有很多可以沉淀输出的东西,由于自己太懒一直在拖延,最近睡前(失眠)总在想一些自己对App安全合规治理和整改的想法和实践,所以想形成文章和各位对App安全合规治理感兴趣的师傅们一起交流讨论~

目前想的这个系列的章节大概如下(列出来欢迎大家监督更新进度):

(1)APP安全认证的工作流程梳理
(2) 当前监管的重点变化梳理
(3)关于SDK合规的一些思考
(4)个人信息收集方面踩过的坑
(5)如何应对突如其来的监管机构的整改通知
(6)内部的App安全合规整改流程
(7)…………持续更新中…………

进入今天的Part1:APP安全认证的工作流程梳理
前阵子也有几位朋友也有问过我关于App安全认证的工作如何进行,所以梳理下关于推动认证的流程和重点整改项。

背景
下文中的《规范》为GB/T 35273《信息安全技术 个人信息安全规范》的简称;

2019年03月15日 ,市场监管总局及中央网信办发布《关于开展App安全认证工作的公告》

0 认证流程

整个流程涉及 安全、法务、业务[产品、开发、测试的同学共同努力完成。

第一步:提交认证申请及自评估材料,自评估材料主要是针对《规范》5-11的内容;

第二步:现场技术认证(主要针对APP及内置功能的是否符合《规范》5-9的内容),根据不合格问题进行整改;

第三步:现场审核(主要针对管理制度是否符合《规范》9-11的内容),根据不合格问题进行整改;

———–到此就可以拿到证书了——–

后续需要进行证书维持,包括版本迭代的信息更新、变化性评估等。
下图为《移动互联网应用程序(App)安全认证实施规则》中的流程图

image

1 自评估

《规范》中每一小节进行自评估,将不合规项总结出来进行整改。

1.1 自评估内容

因为公司产品功能比较单一,有些项可能未提及。大致分为:App端测试、后端及运营、隐私政策、内部管理制度四部分。具体检查内容详见下边的脑图,脑图这里就不放了,有些自己总结的东西和比较大的篇幅,主要对标35273各项的检测,从新做了归纳。适用于新手,需要的话可以来私聊~

1.2 自评估材料准备

申请书附录中的位置并不够展示证明截图,建议使用如下方法准备自评估资料(不得不说认证中心这里给的模板非常好,赞),包括:

image

1.3 自评估遇到的问题

  1. 由于对标准的理解问题,可能会出现多次修改的情况,建议不对外发版,只打测试包就ok

  2. 有些权限/收集信息未触发,可能是无权限进入,或者功能埋点较深,建议多和业务沟通。

  3. 不同渠道可能嵌入了不同的SDK,建议逐一测试。

2 技术验证

技术验证主要是针对APP及内置功能的是否符合《规范》5-9的内容进行的,一般测评人员也会进行现场审核。

2.1 重点关注内容

  • 7.1 个人信息访问控制措施

  • 5.5 个人信息保护政策

  • 个人信息收集情况(类型、频率、是否明示)

  • 注销功能

  • 个性化展示

  • 第三方SDK使用情况

  • 个人信息存储情况

2.2 技术验证环节问题

2.2.1 第三方SDK问题

  • 针对第三方接入管理的界定,嵌入第三方SDK是否属于第三方接入,是否需要进行适当接入评估、数据处理协议签订等等。(开始认为属于-后来不属于-针对目前情况来看还是属于,如果对这块有深入了解的大佬欢迎批评指正)

  • 第三方SDK应该是数据处理者?数据控制者?数据共享接收方????

    • 如果跳转到第三方平台授权(如使用微信登录、QQ登录等)有品牌露出,这事独立的数据控制者

    • 对于无品牌露出,用户无法感知的SDK应该为数据数据处理者,但因目前的形式都是第三方 SDK 提供者与 App 开发者往往通过第三方SDK 提供者的开放平台,在线签署开发者服务协议来约定双方的 权利义务,鲜少有关于委托处理数据方面的专门协议或特别规定,也就难以算作协议双方之间的有效“授权”。无法真正理清责任关系。——出自《2020年软件开发包sdk安全与合规报告》。

2.2.2 个人信息收集/存储的情况

  • 在同意隐私政策之前,不应存在敏感个人信息收集的情况

  • 敏感信息的收集频率不应过高,对应5.2.b

  • 用户输入个人敏感信息的页面,应做提示

2.2.3 其他

  • 注销流程要能跑通,符合用户注销相关要求

  • 投诉、举报、客服渠道有人响应:如客服电话能接听、QQ申请能同意、人工客服有回复等。

  • 个人信息访问控制措施

3 现场审核

3.1 重点关注内容

  1. 应急预案中是否制定了针对个人信息安全事件的

  2. 是否针对开发、设计等人员进行个人信息安全相关的专业化培训及考核,提供记录

  3. 安全审计情况

  4. 开展个人信息安全影响评估的情况

3.2 现场审核环节问题

3.2.1针对“明确个人信息保护负责人和个人信息保护工作机构”检查项

  1. 方法一: 个人信息保护负责人=业务负责人

  2. 方法二: 建立信息安全委员会,有机构负责个人信息保护工作。

3.2.2 开展个人信息安全评估

检查存在以下情况时,必须提供个人信息安全评估报告:

  1. 存在基于不同业务目的的所收集个人信息的融合汇聚

  2. 存在信息系统自动决策机制

  3. 存在委托处理、数据共享、个人信息公开披露情况

4 认证决定阶段需提供App漏洞测试报告

这里单独写出来主要是最近有在做的朋友问过我关于报告的问题,单独说一下。

通知准备材料如下:“此漏洞测试报告作为对标GB∕T 34975-2017检测报告中符合4.1.5.1要求的证明文件。漏洞测试工具建议选择专业主流的检测工具。”

选择市面上常见的漏扫工具即可,很多公司都有自己采购移动漏扫工具,或者使用一些在线服务如360的显危镜、腾讯的金刚等等,付费免费应该是没有太多要求。高危漏洞的处理法方法找了个比较清晰的文档http://appscan.360.cn/vulner/list/。

5 后期维护

5.1 何时需要提交自评价报告

(1)获证App的分发渠道发生变化;

(2)认证标志使用情况发生变化;

(3)获证App隐私政策发生变化;

(4)获证App收集、处理和使用个人信息的目的、类型、方式发生变化;

(5)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;

(6)获证App运营者收到获证App个人信息保护相关的投诉举报。

5.2 证书变更

出现下列情况之一时,获证App运营者应向认证机构提出变更申请:

(1)获证App名称、版本发生变更;

(2)认证范围扩大或缩小;

(3)获证App运营者名称、注册地址发生变更;

注:大版本变更、小版本新增功能新增涉及个人信息收集等情况会涉及变更费用、技术验证、现场审核费用。


第一次写东西,欢迎大佬们批评指正~

来源:freebuf.com 2021-04-12 16:16:36 by: Moench

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论