阿里云云通信短信服务安全之安全责任共担与安全合规

本文涉及的产品
短信服务,100条 3个月
短信服务,200条 3个月
数据安全中心,免费版
简介: 阿里云云通信长久以来致力于为客户提供稳定可靠、安全可信、合法合规的通信服务,利用先进技术、建立产品体系、严格管理人员等不同手段以保护客户及合作伙伴数据的机密性、完整性、可用性,以数据安全、用户隐私保护作为阿里云云通信的最高准则。

1. 安全责任共担

 基于相关法律法规及阿里云云通信云平台对客户提供的相关应用及服务,在整个业务链路中其安全责任由相关方承担:阿里云云通信确保云服务平台的安全性;客户负责基于阿里云云通信提供的服务构建的应用系统、产生的数据、所从事业务的安全等;合作伙伴负责其为阿里云云通信提供服务及平台的安全性。

  image.png

1.1 阿里云云通信安全责任

阿里云云通信负责其所提供云服务及产品的应用安全、主机安全、网络安全、数据安全、业务安全等,并为客户提供保护云端应用及数据的技术手段,同时负责平台内部身份及访问控制,发现风险的平台安全监控和处理风险时的安全运营等。

 

•  建立健全安全管理相关岗位、管理制度、事件应急处置及培训等。

 

•  保障阿里云云通信短信服务平台数据中心物理安全。

 

•  保障阿里云云通信云平台硬件、软件和网络安全,如操作系统及数据库的补丁管理、网络访问控制、DDoS防护、灾难恢复等。

 

•  及时发现阿里云云通信云平台的安全漏洞并修复,修复漏洞过程不影响客户业务可用性。

 

•  通过与外部第三方独立安全监管与审计机构合作,对通信云平台进行安全合规与审计评估。

 

•  为客户提供安全审计手段。

 

•  为客户提供数据加密手段。

 

1.2 客户安全责任 

客户基于阿里云云通信提供的短信服务进行生产通知、营销,或构建自己的云端应用系统,需综合运用相关安全产品,构建相关安全机制流程等保护自己的业务系统安全,同时需保障正确、规范使用阿里云云通信云产品及服务,需负责应用安全、业务安全、基础安全、数据安全、账号安全等。

 

•  客户应保障其应用系统及其主机、网络、数据等安全,并对阿里云安全中心的安全预警相关问题及时进行处理和修复。

 

•  客户应保护其阿里云云通信云账号,为每个运维管理人员分配独立的RAM用户账号,授予完成运维管理工作需要的最小权限,通过群组授权实现职责分离。

 

•  客户应使用阿里云操作审计服务(ActionTrail)记录管理控制台操作及OpenAPI调用日志。

 

•  客户应保证其与阿里云云通信云平台交互的数据、内容等安全及合规。

 

1.3 合作伙伴责任

阿里云云通信合作伙伴主要是指与阿里云云通信合作,将其软件、服务承载在阿里云云通信平台,向客户提供服务的主体。阿里云云通信合作伙伴应遵循阿里云云通信相应的合作伙伴安全管理规范及标准,严格遵守国家相关法律、法规,保护用户信息安全。

 

•  阿里云云通信合作伙伴应保障其所提供服务的基础设施、物理设备、操作系统、服务产品等安全,及时发现系统的安全漏洞并修复,修复漏洞过程不影响客户业务可用性。

 

•  阿里云云通信合作伙伴应按照适用数据保护法律要求和与阿里云云通信签订的协议要求,建立相对应的数据安全能力,落实必要的管理和技术措施,为合作过程中相关数据提供充分的安全保障,防止数据遭受未经授权的获取、使用、泄漏、损毁、丢失等。同时应对保护技术和安全措施进行定期检查,以确保这些措施持续提供适当的安全水平。

 

2. 安全合规

2.1 合规

阿里云云通信积极履行法律法规及贯彻相关政策,推动企业利用云计算技术加快数字化、网络化、智能化转型,按照《网络安全法》、《个人信息保护法》、《数据安全法》等的相关要求,在产品/服务层面建立相关安全管理流程和制度,通过系统化的方式确保合规要求内部落地。

 

阿里云云通信在自身云平台满足监管合规要求外,致力于帮助客户以更小成本、更快捷方式、更高安全防护能力达到监管合规要求。

 

2.2 能力认证

阿里云云通信产品(含短信服务)的安全流程机制已经得到国内外相关权威机构的认可,我们将基于互联网安全威胁的长期对抗经验融入到云平台的安全防护中,将众多的合规标准融入云平台合规内控管理和产品设计中,同时广泛参与各类云通信和云平台服务相关的标准制定并贡献最佳实践,通过独立的第三方验证阿里云云通信产品如何符合标准。至目前为止,阿里云云通信先后通过了权威机构的认证和审计,获得了3项认证资质。

 

范围

资质

简介

全球认可

ISO27001

信息安全管理体系国际认证是被广泛采用的全球安全标准,阿里云云通信产品作为国内审核通过此项认证的产品,从数据安全、网络安全、通信安全、操作安全等各个方面证明云通信平台履行的安全职责。

ISO20000

国际上首个公认的IT服务管理标准,阿里云云通信产品获得了新版ISO/IEC20000-1:2011的认证,意味着阿里云云通信产品建立了标准的服务流程,并严格执行,云平台服务规范化,提高效率并降低IT整体风险。

ISO9001

质量管理体系用于证实组织具有提供满足用户要求和适用法规要求的产品能力的权威认证。

  image.png

image.png

  image.png

2.3 个人信息保护

长期以来,阿里云云通信服务致力于保护每个客户和用户的个人信息,保证客户对提供给阿里云云通信的个人信息拥有所有权和控制权。与此同时,阿里云云通信产品积极响应国家监管部门对企业承担个人信息保护责任的号召,持续完善内部的个人信息管理保护体系,在客户和用户权力保障方面持续优化,建立了内部整体的数据安全管理体系,落地数据安全保护的核心技术,为用户个人信息提供安全可靠的保护能力。

 

2.4 透明度

阿里云云通信长期致力于通过多种渠道向客户透明服务相关情况。客户一般可通过阿里云官网提出对阿里云云通信相关资质、服务使用情况、产品说明等信息,我们将7*24小时不间断处理您的建议与咨询。对于客户合理的要求,阿里云云通信服务团队均会及时响应客户的需求。同时,阿里云云通信也在探索更多增加透明度的方式,如对公邮箱、线上查询接口、钉钉服务客户群等。

相关文章
|
2月前
|
API
阿里云短信服务文档与实际API不符
阿里云短信服务文档与实际API不符
|
3月前
|
数据采集 监控 安全
阿里云短信服务+图形认证,有效降低验证码盗刷概率
阿里云短信服务+图形认证服务,有效降低验证码盗刷概率。
314 3
阿里云短信服务+图形认证,有效降低验证码盗刷概率
|
10天前
|
安全 小程序
|
27天前
|
API
如何使用控制台群发短信 | 阿里云短信服务
操作指南|通过控制台群发短信
|
1月前
|
安全 Java API
【三方服务集成】最新版 | 阿里云短信服务SMS使用教程(包含支持单双参数模板的工具类,拿来即用!)
阿里云短信服务提供API/SDK和控制台调用方式,支持验证码、通知、推广等短信类型。需先注册阿里云账号并实名认证,然后在短信服务控制台申请资质、签名和模板,并创建AccessKey。最后通过Maven引入依赖,使用工具类发送短信验证码。
【三方服务集成】最新版 | 阿里云短信服务SMS使用教程(包含支持单双参数模板的工具类,拿来即用!)
|
4月前
|
数据采集 存储 监控
99%成功率背后:阿里云短信服务有何优势?
为什么短信会发送失败,如何提高短信发送成功率,本文将为您介绍短信发送成功率和阿里云短信服务如何保障企业短信稳定送达等相关知识。
216 1
99%成功率背后:阿里云短信服务有何优势?
|
3月前
|
存储 NoSQL Java
|
4月前
|
存储 安全 网络安全
|
7月前
|
云安全 安全 API
阿里云——OpenAPI使用——短信服务
阿里云——OpenAPI使用——短信服务
343 0
|
安全
阿里云短信服务是可以发送包含下载链接的文本内容的,
阿里云短信服务是可以发送包含下载链接的文本内容的,但是需要注意以下几点:
680 1