蛮犀科技
全面检测移动应用中存在的不合规项,包含APP收集使用个人信息行为、个人信息存储方式、第三方SDK行为分析、境外数据传输分析、APP运营者对用户权益保障、应用脆弱性等其他违规违法进行评测。
特点
1.对标依据广
系统评测主要国内法规为主,包含App违法违规收集使用个人信息自评估指南、信息安全技术个人信息安全规范、个人金融信息保护技术规范等,全面参考时下相关法律以及行业标准进行对标评测
2.全面的基础数据支撑
系统过全方面的数据搜集,系统中具备大量第三方SDK清单、离线IP位置库、离线代理IP位置库、离线IPV6位置库、离线代理IPV6位置库、精细化的权限数据清单,可保证第三方SDK行为分析、境外数据传输分析拥有海量的数据支撑。
3.深入的评测过程
通过使用模拟用户操作的形式,针对操作过程中产生的缓存、通信以及代码数据进行分析,并以白帽子的思维对APP逻辑进行渗透,全面发现其中不符合项。
4.公开的评测过程
出具的专业报告中,每一个评测点都会详细的描述评测过程,使阅读者可根据过程进行复现、排除,并包含对应的解决方案,使阅读者高效、低成本的进行整改。
《规范》主要从个人信息的收集、存储、使用、委托处理、共享、转让、公开披露、安全事件的处置,个人信息的主体权利,组织的个人信息安全管理要求等方面规定了测评的实施过程和测评方法。
其中《规范》对个人生物识别信息的相关测评做出了详细要求。如:App收集个人生物识别信息的,应将其与收集的个人身份信息分开存储;应采取恰当措施以避免存储原始个人生物识别信息;不得公开披露个人生物识别信息。
根据《信息安全技术 个人信息安全规范》,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,属于个人敏感信息,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。
其中不存储原始个人生物识别信息可采取的措施包括:1) 仅存储摘要信息;2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3) 实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
此外,《规范》还要求,不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。