互聯網企業出海數據安全挑戰與應對-李廣林.pdf

《互聯網企業出海數據安全挑戰與應對-李廣林.pdf》由會員分享，可在線閱讀，更多相關《互聯網企業出海數據安全挑戰與應對-李廣林.pdf（23頁珍藏版）》請在三個皮匠報告上搜索。

1、李廣林互聯網業務出海數據安全挑戰與應對安世加安世加安世加安世加安世加安世加01.業務出海數據安全概述02.03.04.目錄CONTENTS出海面臨的安全挑戰應對方案探討與實踐未來展望安世加安世加安世加安世加安世加安世加不同地區的互聯網安全環境對比 成熟市場 法律嚴格 基礎設施完善 對安全重視北美歐洲 重視隱私 相對北美更具多樣性 罰款最多 監管挑戰更多 整體偏保守中東 文化敏感性 地緣政治復雜性 關鍵基礎設施高風險 網絡攻擊頻繁 政府行動積極 人口結構年輕化 文化多元 基礎設施參差不齊 大國博弈主戰場 數字經濟發展迅速東南亞安世加安世加安世加安世加安世加安世加國際數據安全法律與隱私政策的多樣性

2、國家或地區主要法律特點北美CCPA SHIELD HIPPA GLBAAPRAAPRA嘗試建立國家層面的隱私權歐洲GDPR 英國DPA 德國BDSG愛爾蘭DPA 各個國家在GDPR框架內提供額外的指導和要求，愛爾蘭DPC監管力度較強中東阿聯酋FDL 沙特PDPL埃及 巴林PDPL 科威特PDPL公開執法案例少中東地區的立法進程在不斷加速東南亞/印度新加坡 馬來西亞 泰國 PDPA越南PDPD 印度 DPDP 2023新加坡的立法與執法體系最為成熟共性特點 數據主體權利進行DPIA數據控制者和處理者的義務數據泄漏通知設置DPO充分同意獲取數據本地化要求數據跨境傳輸安全要求單獨的監管機構較為高額的

3、處罰立法更新與適應性安世加安世加安世加安世加安世加安世加全球數據安全法規對比安世加安世加安世加安世加安世加安世加02 出海的面臨的問題與挑戰安世加安世加安世加安世加安世加安世加業務出海帶來的數據安全威脅 數據類的安全攻擊比國內同等規模業務多70%以上 海外勒索挖礦等類型的攻擊環境更為嚴峻 地緣政治復雜帶來的安全威脅 對海外辦公區及員工的數據安全控制力問題 挑戰內外網隔離為基準的安全原則安世加安世加安世加安世加安世加安世加跨境數據安全與隱私合規問題 多數國家的法案要求數據本地化 海外合規成本整體較高，ROI比國內低，業務投入意愿低 CCPA GDPR等法案要求嚴格，處罰力度高 多數法案均限制敏感

4、數據跨境流動 出海APP經常需要搭載業務分析SDK 業務發展經常需要分析用戶PII數據 海外基礎設施成本整體較高安世加安世加安世加安世加安世加安世加GDPR 罰款統計273249365857151866838250100200300400500600700800900 0 500,000,000 1,000,000,000 1,500,000,000 2,000,000,000 2,500,000,000 3,000,000,000 愛爾蘭 盧森堡法國意大利 西班牙英國德國希臘瑞典荷蘭GDPR罰款國家排列罰款總額罰款次數5866383801922051111844122101002003004

5、00500600700-500,000,000.00 1,000,000,000.00 1,500,000,000.00 2,000,000,000.00 2,500,000,000.00 不遵守一般數據處理原則數據處理的法律依據不足技術和組織措施不足以確保信息安全信息義務履行不足數據主體權利履行不足其他與監管機構合作不足數據泄露通報義務履行不足數據處理協議不足數據保護官參與不足GDPR罰款類型排列安世加安世加安世加安世加安世加安世加海外支付安全問題 與國內相比，虛擬交易中存在幣商，交易占比大對抗性強。VISA Mastercard 等允許180天甚至更久的拒付，造成直接資損 拒付原因可能包括

6、服務類拒付、欺詐類拒付 拒付原因可能是服務未讓持卡人滿意，會直接造成經濟損失 欺詐類拒付率升高會受到卡組織警告，罰款甚至支付通道關閉 海外黑信用卡產業鏈成熟，欺詐風險是國內的萬倍以上安世加安世加安世加安世加安世加安世加業務發展與數據安全風險之間的平衡 業務嘗試階段數據安全合規需求是否要滿足 業務發展到什么階段，需要完全滿足安全合規需求安世加安世加安世加安世加安世加安世加03 應對方案探討與實踐安世加安世加安世加安世加安世加安世加數據安全攻擊風險MRREDIS數據存儲處理GitLabWebhookHASH存儲AST解析 噪音去除API 提取API狀態更新更新Hash一致性判斷自動化監控代碼倉庫中

7、與數據相關的API用戶權限與訪問數據的對應(路徑/特權/范圍）elasticsearchURL去重引擎/SOC API 檢測監測頁請求參數類型識別核心接口列表核心接口合規配置異常檢測引擎業務數據關系請求鏈路分析QueueAPI Gateway route ruleRequest Response body安世加安世加安世加安世加安世加安世加全球化辦公安全方面 將需要全球化辦公訪問的系統置于遠程瀏覽器中 對海外員工和辦公地進行準入限制與終端安全檢測 替代傳統VPN員工外包合作伙伴訪問內部系統本地系統云上系統遠程訪問流量代理與防護基于身份和行為的訪問策略RBI類方案安世加安世加安世加安世加安世加安

8、世加數據生命周期安全客戶端 和 服務端分別生成一對公私鑰客戶端登錄或者注冊前調用服務端接口彼此交換公鑰客戶端和服務端 分別拿到對方的公鑰和自己的私鑰，使用 ECDH 算法協商共同的密鑰后續客戶端和服務端 使用協商的密鑰進行后續通信加密對流量進行參數級加密安世加安世加安世加安世加安世加安世加數據生命周期安全客戶端埋點服務端日志數據庫文件業務后臺存儲用戶終端數據傳輸數據集成數據存儲中心數據倉庫數據應用數據加工數據加工數據流通數據服務數據流通大數據 數據分類分級管理 數據分類：用戶隱私敏感數據通用數據 數據分級：機密加密重要普通 流通范圍：團隊部門業務整體 審批流程：業務部門-安全部門-數據部門 用

9、戶隱私 脫敏 敏感數據 整體機密 整體性加密 部分機密 字段加密 部分重要 分區，分字段權限 通用數據 表級別權限 所有數據表權限均需流程審批安世加安世加安世加安世加安世加安世加數據生命周期安全個人信息處理的必要性評估處理規范性評估處理過程安全性評估處理合法性處理必要性不可或缺性是否獲得同意是否單獨同意委托處理情況更正權利撤回權利權利行使便捷性數據所在平臺平臺所在環境涉及人員構成采集安全存儲安全去標識化銷毀安全邊界防護API防護身份安全使用審計事件應急業務場景數據種類合法性處理目的數據量用戶群體處理方式數據來源三方共享情況跨境流動情況查閱權利間接獲取合法性安世加安世加安世加安世加安世加安世加出

10、海隱私合規風險應對隱私知識庫隱私合規客訴處理隱私合規培訓數據跨境監測差距分析風險分級APP分級功能合規推進違反cookie同意管理未經同意收集PIIPII數據跨境傳輸隱私政策有效性及時性數據傳輸與共享中的問題三方合規認證安世加安世加安世加安世加安世加安世加出海隱私合規風險應對充分告知個人信息收集系統權限申請數據使用共享合規個性化算法合規廣告類合規隱私政策內容合規性、彈窗提醒合規性、隱私授權充分性PII收集必要性、一般信息收集必要性、PII跨境監測權限申請是否必要、權限申請是否充分告知、權限是否可撤回第三方SDK安全檢測、SDK數據收集與跨境監測、SDK是否充分聲明個性化推薦是否可關閉且是否生效

11、、個性化算法是否充分告知網頁端cookie使用合規性、廣告彈出及展示合規性安世加安世加安世加安世加安世加安世加VISA VFMP VDMP/Master Card EFM 與ECP 完善與嚴格的kyc準入流程 收集營業執照，證件照片，銀行流水 非PEP聲明，以及交易誠信聲明 完善商戶信息收集 部分策略 設備登錄異常 算法建模應用LSTM等支付安全問題應對設備網絡環境異常檢測 換卡異常 歷史充值風險行為 安世加安世加安世加安世加安世加安世加支付安全問題應對 數字風控工作流Ios充值谷歌充值幣商代充checkoutstripepaypal充值方式前置風控設備ip賬號活躍特征注冊特征歷史充值送禮特征所在地區充值貨幣外界反饋設備檢測輿情檢測交易頻率限制用戶屬性判斷情報運營風控處理充值阻斷隱藏入口驗證碼短信圖形驗證銀行卡驗證退款處罰退款賬號賬戶凍結扣除金幣賬號封禁關聯退款風險賬號支付id關聯設備id關聯銀行卡關聯收益賬號處罰收益賬戶凍結扣減違規收益單獨補款活動限制銀行卡設備風控黑名單庫人工審核安世加安世加安世加安世加安世加安世加04 未來展望安世加安世加安世加安世加安世加安世加未來展望安世加安世加安世加安世加安世加安世加