,Р 跨境传输前应进行安全评估;Р d) SDK提供者关于个人信息收集、存储、使用、委托处理、共享、转让、公开披露、Р 个人信息主体权利保障等行为应遵循GB/T 35273—2020中的要求;Р e) SDK提供者和App提供者应通过合同等形式共同约定双方在防止恶意行为、安全漏Р 洞响应、数据安全防护、个人信息安全保护方面各自应承担的责任和义务,并做Р 到信息披露及时、准确。РР7 生命周期安全要求РР7.1 设计РР 设计阶段的具体要求包括:Р a) 功能设计:SDK应仅包含与其声明功能相符合的功能,宜进行模块化开发,便于提Р 供功能裁剪方案;不应强制捆绑无关功能;在非服务所必需或无合理场景下,不应Р 进行后台唤醒,或唤醒其他App;Р b) 传输设计:SDK在数据传输过程中应使用安全的传输协议;SDK提供者和App提供Р 者的服务器之间存在数据通信的,应保障服务器间通信安全;SDK在传输敏感数据Р 前宜对敏感数据单独进行加密;Р c) 存储设计:SDK单独处理的数据如在本地存储,应保存在单独的目录下。РР7.2 开发РР 开发阶段的具体要求包括:Р a) SDK提供者应通过代码审计、安全加固、完整性校验、本地数据加密存储等方式,Р 增强SDK安全性,确保SDK不包含病毒、木马以及已知安全漏洞,避免因SDK安全Р 漏洞被恶意攻击者利用,导致数据泄露、程序异常、SDK被恶意篡改等问题;Р b) SDK与服务端之间的接口应通过传输加密、数字证书双向校验、签名校验等方式进Р 行保护,避免因攻击导致数据泄露、篡改等问题;РР4
全文预览
