近日,由银川互联网+医疗健康协会联合网络安全行业门户FreeBuf共同开展了一场互联网医疗App个人信息保护直播沙龙。沙龙邀请了网络安全领域、互联网医疗领域内的相关专家,从监管检查、法律法规、企业实践、解决方案等不同视角,对App个人信息保护方面的工作重点、App违法违规案例解读、App数据合规之重点法律法规讲解、互联网医疗企业个人信息保护工作实践、App隐私检测要点与技术分析几个方面进行精彩解读。会上,爱加密研究院副院长魏超发表了《移动App隐私检测要点与技术分析》演讲。
众所周知,医疗乃民生之本,如今,国家大力推进“互联网+医疗健康”的发展,移动医疗行业发展迅猛。移动医疗App涉及的业务非常广泛,诸如在线药品电商、在线医生、在线服务工具等,都承载着用户大量的个人隐私数据。
在利益驱动及监管不严的情况下,移动医疗App可能会出现被不法分子篡改、植入恶意代码、泄露用户隐私等问题。此外,用户在使用移动医疗应用进行支付的时候,黑客可通过钓鱼网站或木马程序等途径窃取用户信息,并通过泄露用户的信息和冒用用户身份来实施消费或转账等操作,造成用户财产损失。
2020年5月,工信部点名通报了相关医药类App涉嫌私自收集用户信息的行为,并责令其尽快完成整改工作。此前,也有多款医疗App被爆违规收集用户隐私信息,存在较大的安全隐患。移动医疗App主要面临的安全风险包括App反编译破解,如系统键盘和输入法攻击、本地数据破解、WIFI钓鱼、网络监听、调试攻击、内存攻击等,因此,保障移动医疗的个人信息安全成为当务之急。
爱加密专注于移动应用安全领域多年,时刻关注我国医疗行业移动应用安全问题,不仅及时响应国家政策、解读行业规范,同时针对个人隐私安全合规问题,可提供完善的移动应用个人信息安全检测服务、个人信息保护合规评估服务以及合规测评等服务。
《信息安全技术个人信息安全规范》解读要点
规范对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。其中,个人信息从收集到最终的注销等一系列环节,都有相应需要遵守的原则及方法,以期通过评估、监督等多种方式,准确估计个人信息安全系数,最大程度避免个人信息的泄露及不当利用,从而确保个人隐私不被侵犯,同时个人的人身安全得到保障。
《工业和信息化部337号令》解读要点
规范重点对四个方面8类问题开展规范整治工作,对私自收集个人信息、超范围收集个人信息、私自共享给第三方、强制用户使用定向推送功能、不给权限不让用、频繁申请权限、过度索取权限、账号注销难这些方面进行了明确的规定。
「移动应用个人信息安全检测」
爱加密移动应用个人信息安全检测平台,是针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测平台。可针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。
「个人信息保护合规评估服务」
从App运营者和监管部门角度出发,多方面对个人信息的收集、使用、存储、传输、行为和权利保障等多个方面,严格按照国家标准规范和监管发文,对移动应用进行全面合规检查,率先将监管检测要求运用到合规评估服务中,强制授权、过度索权、不给权限不让用、私自收集使用个人信息等,为企业和机构提供面向移动应用程序的全方位合规评估服务。
爱加密个人信息保护合规评估服务支持Android、iOS、微信/支付宝小程序、SDK等多场景。报告将采用多种核心技术相结合,旨在帮助用户快速、准确地检测出其中存在的合规风险,针对分析过程中评估标准、评估要点、评估方法、评估结果以及问题解决建议均进行详细的描述。
来源:freebuf.com 0000-00-00 00:00:00 by: 爱加密123
请登录后发表评论
注册