1. 安全责任共担

 基于相关法律法规及阿里云云通信云平台对客户提供的相关应用及服务，在整个业务链路中其安全责任由相关方承担：阿里云云通信确保云服务平台的安全性；客户负责基于阿里云云通信提供的服务构建的应用系统、产生的数据、所从事业务的安全等；合作伙伴负责其为阿里云云通信提供服务及平台的安全性。

1.1 阿里云云通信安全责任

阿里云云通信负责其所提供云服务及产品的应用安全、主机安全、网络安全、数据安全、业务安全等，并为客户提供保护云端应用及数据的技术手段，同时负责平台内部身份及访问控制，发现风险的平台安全监控和处理风险时的安全运营等。

•  建立健全安全管理相关岗位、管理制度、事件应急处置及培训等。

•  保障阿里云云通信短信服务平台数据中心物理安全。

•  保障阿里云云通信云平台硬件、软件和网络安全，如操作系统及数据库的补丁管理、网络访问控制、DDoS防护、灾难恢复等。

•  及时发现阿里云云通信云平台的安全漏洞并修复，修复漏洞过程不影响客户业务可用性。

•  通过与外部第三方独立安全监管与审计机构合作，对通信云平台进行安全合规与审计评估。

•  为客户提供安全审计手段。

•  为客户提供数据加密手段。

1.2 客户安全责任 

客户基于阿里云云通信提供的短信服务进行生产通知、营销，或构建自己的云端应用系统，需综合运用相关安全产品，构建相关安全机制流程等保护自己的业务系统安全，同时需保障正确、规范使用阿里云云通信云产品及服务，需负责应用安全、业务安全、基础安全、数据安全、账号安全等。

•  客户应保障其应用系统及其主机、网络、数据等安全，并对阿里云安全中心的安全预警相关问题及时进行处理和修复。

•  客户应保护其阿里云云通信云账号，为每个运维管理人员分配独立的RAM用户账号，授予完成运维管理工作需要的最小权限，通过群组授权实现职责分离。

•  客户应使用阿里云操作审计服务（ActionTrail）记录管理控制台操作及OpenAPI调用日志。

•  客户应保证其与阿里云云通信云平台交互的数据、内容等安全及合规。

1.3 合作伙伴责任

阿里云云通信合作伙伴主要是指与阿里云云通信合作，将其软件、服务承载在阿里云云通信平台，向客户提供服务的主体。阿里云云通信合作伙伴应遵循阿里云云通信相应的合作伙伴安全管理规范及标准，严格遵守国家相关法律、法规，保护用户信息安全。

•  阿里云云通信合作伙伴应保障其所提供服务的基础设施、物理设备、操作系统、服务产品等安全，及时发现系统的安全漏洞并修复，修复漏洞过程不影响客户业务可用性。

•  阿里云云通信合作伙伴应按照适用数据保护法律要求和与阿里云云通信签订的协议要求，建立相对应的数据安全能力，落实必要的管理和技术措施，为合作过程中相关数据提供充分的安全保障，防止数据遭受未经授权的获取、使用、泄漏、损毁、丢失等。同时应对保护技术和安全措施进行定期检查，以确保这些措施持续提供适当的安全水平。

2. 安全合规

2.1 合规

阿里云云通信积极履行法律法规及贯彻相关政策，推动企业利用云计算技术加快数字化、网络化、智能化转型，按照《网络安全法》、《个人信息保护法》、《数据安全法》等的相关要求，在产品/服务层面建立相关安全管理流程和制度，通过系统化的方式确保合规要求内部落地。

阿里云云通信在自身云平台满足监管合规要求外，致力于帮助客户以更小成本、更快捷方式、更高安全防护能力达到监管合规要求。

2.2 能力认证

阿里云云通信产品（含短信服务）的安全流程机制已经得到国内外相关权威机构的认可，我们将基于互联网安全威胁的长期对抗经验融入到云平台的安全防护中，将众多的合规标准融入云平台合规内控管理和产品设计中，同时广泛参与各类云通信和云平台服务相关的标准制定并贡献最佳实践，通过独立的第三方验证阿里云云通信产品如何符合标准。至目前为止，阿里云云通信先后通过了权威机构的认证和审计，获得了3项认证资质。

2.3 个人信息保护

长期以来，阿里云云通信服务致力于保护每个客户和用户的个人信息，保证客户对提供给阿里云云通信的个人信息拥有所有权和控制权。与此同时，阿里云云通信产品积极响应国家监管部门对企业承担个人信息保护责任的号召，持续完善内部的个人信息管理保护体系，在客户和用户权力保障方面持续优化，建立了内部整体的数据安全管理体系，落地数据安全保护的核心技术，为用户个人信息提供安全可靠的保护能力。

2.4 透明度

阿里云云通信长期致力于通过多种渠道向客户透明服务相关情况。客户一般可通过阿里云官网提出对阿里云云通信相关资质、服务使用情况、产品说明等信息，我们将7*24小时不间断处理您的建议与咨询。对于客户合理的要求，阿里云云通信服务团队均会及时响应客户的需求。同时，阿里云云通信也在探索更多增加透明度的方式，如对公邮箱、线上查询接口、钉钉服务客户群等。