实时音视频
有奖捉虫:办公协同&微信生态&物联网文档专题 HOT
文档中心 > 实时音视频 > 协议与策略 > 信息安全说明

信息安全说明

最近更新时间:2023-02-09 17:52:41

我的收藏

本页目录:

特对本文做如下声明:
本文档意在向客户介绍腾讯云实时音视频(TRTC)产品、服务的安全概况,阐述如何进行信息管理和保护客户及终端用户数据安全。如您对此有强制要求,建议您与腾讯云以书面商业合同(SLA)进行约定。否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
安全特性范围较广,本文仅涉及“部分”技术安全要点。
本文档不作为国家或行业信息安全相关标准、要求参考文档。
本文经过可阅读性加工,若存在描述不准确的地方请参考第1点。
文档解释权归腾讯云所有。

1. 概述

腾讯云实时音视频库通过下列认证并符合下列认证的安全要求:
ISO 9001认证
ISO 20000认证
ISO 27001认证
ISO 27017认证
网络安全等级保护2.0
信息安全等级保护(三级)
CSA STAR 认证 ,更多安全合规认证

2. 信息安全保障说明

腾讯云实时音视频的管理安全与技术安全要求符合国家信息安全等级保护(三级),部分要求达到金融行业信息安全(四级)标准。

2.1 信息数据安全

用户与实时音视频服务器间的通讯将受到腾讯云私有传输协议、安全传输层协议和 Web Socket Secure 等协议的保护。实时音视频在传输过程中没有任何可对传输的信息进行解密的密钥。通话内容信息只能在终端设备上(如客户端 App 和本地服务端录制服务器)通过客户授权密钥才能解密。

2.2 数据可用性

海量数据中心:腾讯云实时音视频在全球区域有多个机房共同提供服务。任一机房遭受攻击,都不会影响其他机房的正常运转、不影响整体服务,具有分区隔离保障机制。
故障隔离修复:数据中心若遭遇拒绝服务(DoS)等难以防范的恶意攻击导致服务故障,腾讯云实时音视频会将故障机器做合理处理,确保整体服务稳定可用。
DDoS 攻击防护:腾讯云实时音视频在使用的数据中心配置了反 DDoS 防火墙,具备足够的能力和资源控制 DDoS 的风险。

2.3 数据分类存储

数据类别
类型说明
个人与企业用户数据
指实时音视频提供产品或服务过程中直接或间接采集的,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息,以及企业用户 (如政府机关、企事业单位、社会团体、民间组织等)的相关数据,例如企业基本资料、公司经营资质、交易记录等。
终端用户数据
指经客户收集的与终端个人用户设备、网络相关的信息,包括麦克风和摄像头信息、CPU 状态、内存状态、电池状态、系统版本、手机型号、手机信号等级、接收的信号强度指示(RSSI)、网络类型、用户属性、房间属性等。
音视频通话数据
客户在通话过程中通过录制产生的音视频数据。
系统运行与安全数据
指控制台功能服务配置、网络和信息系统运维及网络安全数据(不包括个人用户数据)。例如访问TRTC服务器时产生的网络性能数据、网络日志数据、网络监测预警信息等。
实时音视频为客户提供本地化录制和云端录制功能,客户可以对部分或全部通话内容进行录制。在使用云端录制服务时,所有音视频通话录音/录像均存放在客户提供的云存储服务中,实时音视频不会对您的音视频文件进行存储。
实时音视频将对国内站客户数据存储与中国大陆和国际站点,以符合数据安全合规存储的要求。

2.4 访问授权

终端用户进入实时音视频房间时,需要进行动态签名身份认证,阻止恶意攻击盗用您的云服务使用权,详情请参见安全保护签名 UserSig 说明

2.5 访问控制

实时音视频对内部的所有系统实行严格的访问控制管理,所有用户拥有独立内部账号和授权体系,且必须经过二步验证,任何访问记录都会有备案。
所有涉及用户数据服务的机器,均受到严格的审计和保护。实时音视频在非必要情况下不会访问用户的服务器;如因安全等必须访问用户服务器的场景下,实时音视频也会在获取临时授权后访问用户服务器,且这一过程将全程录屏,并保留所有操作记录。

2.6 内部安全审核

腾讯云实时音视频严格进行全面的安全审计和风控管理,审计范围覆盖到服务器上的每个房间和主播观众数据;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;审计记录保存1年以上,且存储在安全等级更高的位置,避免受到未预期的删除、修改或覆盖等。
数据库安全审核:对实时音视频所有业务数据库和数据库所有操作均经过安全审计。
管理系统操作审计:腾讯云实时音视频对内外管理系统的操作均记录详细操作日志,以便于风险追溯。
定期风险评估:腾讯云实时音视频定期对服务器运维管理进行安全评估,进行多地容灾演戏。

2.7 员工安全意识培训

腾讯云实时音视频对所有员工均定期开展信息安全意识及安全合规培训,并所有员工每年定期接受信息保密意识的讲座和培训。

2.8 违规处理

腾讯云实时音视频员工需按要求遵守保密协议及内部安全制度。若员工违反上述要求,会视情况严重程度采取相应的违规处理措施,包括但不限于加强培训教育、解除劳动关系以及追究其他法律责任等。

2.9 潜在安全漏洞

如果您发现实时音视频平台有潜在安全漏洞,请您直接提交工单反馈,我们的技术专家会在第一时间处理并反馈,非常感谢。
为便于验证和定位漏洞,请您提交以下相关内容:
您的联系方式。
您发现的潜在漏洞功能描述。
请结合提供必要的定位方法、问题重现的步骤。

中国站