- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
App安全合规的思考:监管的重点变化梳理
前言 关于App安全合规的监管要求很多地方都可以找到,这里就不一一赘述了。本文的重点内容是通过对监管机构发出来的通报进行统计。 获取敏感个人信息、敏感权限时,未同步告知其使用目的(1、5)的问题一直居首位。 建议:业务认真查找敏感个人信息收集和敏感权限获取触发点,整理目的并找合规法务角色给出文案。 未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型的问题依旧很多,但是目前已经看到很多App列了第三方SDK列表,并且很多常用的第三方SDK也给出了安全合规指南。 问题小项:SDK梳理全了吗? 5. 1.3 其他猜测 除了上述监管机构的检查项,猜测可能后续检查重点还可能包括以下问题: 静默权限/个人信息获取问题 App个人信息获取使用问题 数据接口安全问题(如数据冗余、前端“脱敏”等) 2 有意思的不合规理由
1.5K20发布于 2021-05-20 市场监管AI人工智能服务系统:让合规不费力,监管不缺位
对市场监管来说,面对海量商家、繁杂数据,传统“人查、眼看、手写”的模式早已力不从心。而AI的加入,就像给监管装上了“智慧大脑”和“千里眼”,用技术让监管更精准、合规更简单。 这种“未雨绸缪”的监管,比事后补救更有价值。更重要的是,AI让合规对企业更友好。很多小商家不是故意违规,而是不清楚政策要求。 同时,AI还能给企业做“合规体检”,定期扫描经营数据,提前指出潜在问题,让企业少走弯路。有人担心AI会取代监管人员?其实不然。AI的作用是“减负”而非“替代”。 市场监管的核心是“护公平、保安全”,AI人工智能服务系统正是用技术实现这一目标的有力工具。它既让违规行为无处遁形,保护消费者权益;也让合规企业少跑腿、少踩坑,降低经营成本。 未来,随着AI与监管场景的深度融合,或许我们会看到更智能的监管模式:AI自动对接企业系统,实时监测合规情况;智能机器人协助现场核查,同步上传证据——但不变的是,技术始终为市场公平保驾护航,让我们在消费、
41610编辑于 2025-11-25- 来自专栏浅聊区块链
全球监管新政策下,加密企业如何满足合规要求?
合规为加密世界带来了什么? 近年来,各大交易平台均在合规上不吝成本。有数据表明,crypto 业务的合规成本可能超过总时间和人工成本的 50%。CEX、资管、钱包等各赛道的合规需求愈发强烈。 大量机构投资者、传统资本不断入局加密行业,行业规模在「合规」的加持下生长迅猛。 如何更好地帮助加密世界走入合规?KYC、AML 是进入合规的第一步。 正如研究和行业领导者所表明的那样,监管合规性,尤其是区块链和虚拟货币的反洗钱 (AML) 和反恐融资 (CTF) 一直是其整体大规模采用的巨大障碍。 FATF 的「旅行规则」,为加密合规带来了多大困难? 对加密的监管从无到有、演进至今,监管框架不断迭代。 ADVANCE.AI 可帮助加密企业借鉴 Web2 的经验完成合规所必需的部分流程,构建完善的合规监管体系,帮助整个区块链和加密货币生态系统更好地融入传统经济中,被更广泛的金融市场接纳。
1.1K20编辑于 2022-09-02 - 来自专栏科技云报道
全球监管趋严,企业出海安全合规如何“避坑”?
据《埃森哲2022中国企业国际化调研》报告显示,多重因素正在推动中国企业加速出海步伐,95%受访的中国“出海”企业认为自己未来3年海外业务的增长可以超过5%。 然而,企业出海依然面临着严峻的挑战——“合规、增长、全球化”。 当一系列如此宏大的命题被放在出海者面前时,安全合规显然是第一道必须迈过的门槛。 出于国家利益的考量,如今全球各国政府普遍加强了在数据安全和隐私合规领域的监管和执法力度,这无疑也给中国企业的出海征程带来了更多挑战和考验。 那么,企业出海安全合规应该如何“避坑”? 因此,企业出海要符合区域之间双向合规甚至是多边合规的要求,而数据隐私保护首当其冲。 而从网络安全的角度看,企业也应在出海过程中保障自身业务安全,不仅仅是出于合规问题,同时也是业务所需。 结语 面对复杂多变的国际形势,安全合规建设成为出海企业的“必修课”。
95240编辑于 2023-08-03 - 来自专栏云计算D1net
云中的合规性:避免云合规陷阱
但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。 ? 当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。 云合规差距 在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。 多云也是多重挑战 组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。 但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。 锁定数据 幸运的是,组织可以采取措施解决云合规问题。 首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。 但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。
2.2K40发布于 2018-06-08 - 来自专栏《C++与 AI:个人经验分享合集》
《区块链与监管合规:在创新与规范之间寻求平衡》
然而,随着其应用的不断拓展,如何应对监管和合规性要求成为了区块链发展道路上一个至关重要的问题。 再者,由于区块链技术的跨境性质,不同国家和地区的监管法规存在差异,这使得区块链应用在全球范围内的合规性变得复杂。例如,某些国家对数字货币的态度较为开放,而另一些国家则对其进行严格限制或禁止。 此外,建立行业自律组织也是推动区块链合规发展的重要途径。行业自律组织可以制定行业标准和规范,对成员企业进行监督和管理,促进区块链行业的健康发展。 同时,通过行业自律,可以在一定程度上弥补监管的不足,提高整个行业的合规水平。 在具体的应用场景中,区块链企业应当根据不同的业务类型和监管要求,建立完善的合规管理体系。 随着技术的不断进步和监管环境的不断完善,相信区块链与监管合规的融合将会越来越成熟,为数字经济的发展注入新的动力。
79510编辑于 2024-12-09 - 来自专栏游戏安全攻防
APP安全合规
背景介绍 APP安全合规的监管机构:APP违法违规收集使用个人信息治理工作组(APP治理小组)、工业和信息化部信息通讯管理局(工信部)、国家移动互联网应用安全管理中心(病毒中心)、地方通信局、地方网安 安卓合规为什么会比苹果更严峻? ? 安卓应用的安全合规面临主要问题? (以下只是列出APP安全合规面临最突出的10个问题) ? 个人隐私安全合规 个人隐私合规主要细分为如下的六个大方向,这也是开发APP应用需要重点关注和处理好的个人隐私合规的问题。 ? 敏感权限合规 以下是在开发APP应用上会遇到的权限问题,那么对于这些敏感的权限,安全合规的做法就是通过采用渐进授权方式进行申请权限。 ? 加解密算法安全合规 ? 数据存储安全合规 ? APP安全合规建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全合规的要求以及做法进行做宣传以及安全合规应用和监督把控。
2.9K21发布于 2021-06-10 跨境AI业务如何应对全球差异化监管与数据合规挑战
全球AI监管呈现显著地域分化,合规复杂度急剧攀升 当前AI技术已深入各行业,但全球监管仍处于碎片化初期。 这种监管差异导致企业出海需应对144个不同法域的合规要求,其中数据隐私违规处罚频率与力度持续增强(来源:腾讯高级法律顾问田展)。 腾讯云提出“全生命周期合规赋能”解决方案 针对跨境AI业务面临的监管挑战,腾讯云整合法律与技术能力,提供三项核心解决方案: 属地化牌照与许可自动化诊断:通过规则引擎自动识别目标市场准入要求(如印尼PSE 监管处罚规避率提升68%:依托实时法规解读与动态合规审查 牌照申请周期缩短至45天:利用属地化合规知识库与本地协作网络 (数据来源:腾讯云出海合规白皮书2025) 腾讯医疗出海项目验证合规方案有效性 该项目最终在90天内完成全部准入流程,较行业平均周期缩短60%,且运营期间零监管处罚(案例来源:腾讯医疗出海合规团队)。
28620编辑于 2026-04-06- 来自专栏FreeBuf
网络安全监管体系下的合规管理工作简述
个人信息保护法》等相关法律,《关键信息基础设施安全保护条例》《网络安全审查办法》等一系列的法规的出台,企业用户,特别是大型集团企业在建设和规划自己的网络安全体系的时候就更需要有一个全局性的视角来看待网络安全合规问题 网络安全是个成本投入的工作,疫情以来,很多用户都缩减了不少安全经费,在应对网络安全检查方面,我这里分享两种方式,仅供参考: 1.单纯被动式的合规应对。 ctrl+f 将网络安全替换成网络和数据安全.......).这种方式虽然看起来好笑,也没有解决实际的问题,但是对于一个没钱、没人,网络安全检查还特别多的单位来说,可能是最合适的... 2.主动性质的合规应对 因此在编制自身网络安全管理制度文件和要求时,可形成如下图所示简单的映射关联: 当外部法律法规或者相关标准发生变更时,能够参照该关联关系进行对照,及时修订,实现一套制度多项合规的管理模式。 以上,就是关于网络安全合规体系建设相关的介绍,欢迎大家多多指正。
2K20编辑于 2023-02-10 破解AI出海合规雷区:全球监管风向及风险阻断量化指南
核心专家指导:文含章(腾讯高级法律顾问) 洞悉全球监管趋严态势与出海合规瓶颈 当前,欧美监管机构对中国出海企业的审查标准显著收紧,信任成本急剧上升。合规已从附加选项转变为迫在眉睫的生存条件。 部署AI出海全链路风险阻断策略 针对上述合规雷区,企业必须将合规前置,构建包含数据、产权与内容的安全防线: 实施数据本地化与权限最小化:优先评估并落实数据本地处理机制。 管控核心业务与商业授权量化指标 为衡量风险敞口并确保系统合规运营,企业需在架构设计与业务拓展中严格监控以下三项核心量化指标: 合规违约最高财务风险:7% 全球营收 或 3500万欧元 欧盟AI法案对违反禁止性 客诉响应与风险阻断时效:24小时 快速响应 针对平台审核责任及深度伪造、侵权内容的传播风险,企业系统必须建立 24小时 快速响应与下架机制,及时阻断风险传播,满足各大辖区对平台内容治理的合规要求。 依托腾讯云原生合规底座保障业务出海 在全球合规日新月异的背景下,选择具备全球化合规资质与技术保障的基础设施是实现业务平稳出海的前提条件: 物理层面的数据合规隔离:依托提供欧洲节点的云服务提供商,企业可直接实现
39410编辑于 2026-04-02金融行业数据湖平台选型:实时风控与监管合规的双重奏
摘要 在金融行业数字化转型中,数据湖平台成为平衡实时风控与监管合规的核心基础设施。 腾讯云数据湖计算(DLC)凭借其云原生架构、高性能计算能力及全链路安全设计,为金融机构提供“实时处理+合规管控”的一体化解决方案,助力企业在风险预警与合规审计之间找到最优解。 ##导语 随着金融业务线上化加速,实时反欺诈、动态信用评估等场景对数据处理时效性提出更高要求,而监管机构对数据存储、流转的合规性审查也日趋严格。 二、监管合规:数据全生命周期的“紧箍咒” 金融监管合规涉及三大核心场景: 数据存储合规:需满足数据分类分级、加密存储要求; 审计追溯:完整记录数据访问、修改、删除操作; 跨域协同:在满足“数据不出域 ##结语 金融行业数据湖选型需兼顾“实时风控”与“监管合规”双重目标。
39810编辑于 2025-11-03- 来自专栏TEL18600524535
药品 GMP 证书识别技术:为药品监管与行业合规注入强大动能
药品 GMP 证书识别技术应运而生,它融合人工智能与图像处理,实现证书信息的自动化、精准化提取与核验,为药品监管与行业合规注入强大动能。 药品 GMP 证书识别技术广泛应用场景:赋能全链条合规药品生产企业自查与管理:便捷管理自身及分子公司的 GMP 证书电子档案。及时监控证书有效期,提前预警续证。快速向客户或合作伙伴提供合规证明。 日常监管:高效处理企业提交的 GMP 证书电子材料,自动化录入监管系统。证书信息统计与分析:自动化汇总区域或全国 GMP 持证企业信息,进行合规性分析。 医药流通与供应链管理:供应商资质审核:在采购药品或物料前,快速、准确地审核供应商(药厂)的 GMP 证书真伪及有效性,确保供应商合规,降低供应链风险。 该技术的广泛应用,不仅赋能企业高效合规管理,更成为药品监管部门实施智慧监管、保障公众用药安全的强大工具,对构建更透明、高效、安全的医药生态环境具有重要意义。
32900编辑于 2025-07-30 - 来自专栏做数据的二号姬
读书|数据合规实务
07 2022-11 读书笔记|数据合规实务 读书系列恢复更新啦~今天要读的书是一本数据相关法律的书籍《数据合规实务——尽职调查及解决方案》 LEARN MORE 图片来自网络,如侵删 为什么分析师要读法律书 所以说,知识还是多点储备好啊~ 数据合规对数据分析师意味着什么 从法律工作者的视角来说,数据合规包括了两个大部分的工作: 第一类是企业运营管理、合规体系建设中的数据合规 第二类是公司上市、投融资等重大经营事项中的数据合规 二是企业数据合规管理情况 在实际工作中,无非就是两件事:日常数据是怎么处理的,有没有不合规的风骚操作,有没有相应的管理制度和机制。 然而,数据合规性审查里甚至专门有一个part会要求说明公司是否建立了数据分类分级制度,将数据分为哪几个类型、每类数据分为几级、每级数据的保护规则等。 还有一个很重要的点,就是公司处理重要数据的审批制度和流程,这个东西在数据合规尽职调查的时候也是必须要查的一项。
1K30编辑于 2023-03-02 - 来自专栏网络安全技术点滴分享
监管如何塑造加密货币全球排行榜:技术视角下的合规博弈
监管模式的技术影响分析A. 成功亲加密监管体系阿联酋:轻许可制+反洗钱规则吸引Binance、Bybit及家族办公室资金,居民加密投资活跃新加坡:稳定币储备金框架保持银行通道开放的同时过滤高风险交易所瑞士:代币化资产交易系统获全面监管批准 失败监管案例巴哈马:沙盒监管吸引FTX,2022年崩溃导致2024年法律重构萨尔瓦多:比特币法币化尝试遇冷,政府今年悄然回调政策C. 2000亿美元,新法案要求银行级储备审计和黑名单程序央行数字货币技术特性从中国数字人民币到欧洲央行数字欧元试点,均内置可追溯性和守门人机制交易所合规技术迪拜、新加坡、香港要求实时交易监控和链下身份验证系统技术悖论与未来展望虽然加密货币总量 监管清晰度与可信度平衡的国家将成功吸引加密流量、开发者和生态系统,过于激进或模糊的监管将错失金融科技浪潮。
26210编辑于 2025-08-30 - 来自专栏lib库
隐私合规综合实践
隐私合规综合实践目录介绍01.整体概述介绍1.1 遇到问题说明1.2 项目背景1.3 设计目标1.4 产生收益分析02.隐私合规测什么2.1 隐私合规是什么2.2 为何做隐私合规2.3 隐私合规政策案例 2.4 为何做权限合规04.隐私合规检测4.1 违规收集个人信息4.2 超范围收集个人信息4.3 违规使用个人信息4.4 过度索取权限4.5 自启动和关联启动05.隐私合规实践5.1 整体合规思路5.2 交互层面合规6.4 服务端敏感收集6.5 隐私协议筛查07.其他说明介绍7.1 参考博客链接7.2 相关demo链接01.整体概述介绍1.1 遇到问题说明国内对应用程序安全隐私问题监管变的越来越严格。 App修复该问题,可以统一管理敏感信息采集入口,缓存敏感信息数据,可以设定缓存过期时间(建议设置超过5分钟)。获取android_id,缓存下来,下次调用先拿缓存,避免频繁调用系统api。 否则应用市场无法上架很麻烦……新增需求不合规不允许上线:新增需求如有不合规的地方,但又来不及修改,则延期上线,整改到合规再上发版准出增加,合规确认环节:每次发版,产品、研发、测试 都需要负责检查对应的合规项
3K31编辑于 2022-10-12 - 来自专栏运维入门时间
出海合规技术思考
如果有关联性立刻想办法进行业务分析 如果进入名单内,可能业务就会再见了 时间点上:本月底做好业务合规性及跟禁用APP名单无关联性 — 3 — 技术禁令细节及解读 技术禁令细节 一、禁止在美国提供任何支持上述移动应用程序运行或优化的网络托管服务 用不同的公司,如果可以用海外的BVI VIE子公司处理运营 云服务厂商被迫无奈zz选型 数据本地化落盘操作(怎么个落盘 欢迎大家一起探讨) 早期合理多Transit 连接部署(成本的上升) — 5 — 合规的痛点 额外的外部顾问的费用 内部员工的额外的费用 技术成本额外的维护成本 资源运维的增加 最后 由于作者在一线努力拼(ban)搏(zhuan).过程思考的问题不是很全面,也欢迎大家一起探讨 如何合理的做合规的操作。 我们能做除了让技术合规工作就是锻炼身体 为祖国母亲奋斗六十年!!! 良好的体魄能让我们在艰辛的生活中提供持久力,让我们更好的为祖(zi)国(ji)母亲奉献自己!
1.1K20编辑于 2022-05-29 - 来自专栏全栈工程师修炼之路
【网安合规】使用 Promtail - 快速过滤收集Windows事件日志,合规利器!
描述:在上一篇文章中,已经将 Windows Server 业务服务器通过 syslog 的方式将系统日志转发到 远程 rsyslog 日志服务器中,但是由于 rsyslog windows agent 诸多限制(太贵了),所以最终放弃了此方法,从而继续查看是否有其他更好的收集Windows 事件日志的方法,通过搜索引擎,最终找到 Promtail 采集 Windows Server 事件日志的配置方法,这里不得不说到国内关于使用 Promtail 采集 Windows Server 事件日志的资料很少,大多只是只言片语,所以作者在实践中遇到的许多的坑,最终是靠着Loki官方日志、和issue以及不断的尝试,这里记录下以便后续有需求的童鞋,也希望各位看友能多多支持《#网络安全攻防实践》专栏,收获一定大于付出。
1.9K10编辑于 2024-04-17 - 来自专栏FreeBuf
安全合规践行者之路
这是典型的针对关键信息基础设施进行攻击的网络安全事件,产生的影响不言而喻,也为我们国家监管部门及关键信息基础设施运营单位的网络安全保护工作敲响了警钟。 2018年,《网络安全等级保护条例(征求意见稿)》(以下简称“《等级保护条例》”)提出“国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管”,并阐述了相关工作原则、网络等级、技术要求等内容。 如数据业务是移动运营商的关键业务之一,主要为手机上网用户提供2G/3G/4G/5G的上网业务,从数据产生到传输再到接收的完整业务链中可能会涉及到的所有系统及设备间的级联风险,如数据业务会涉及本地分组域、 由于关键信息基础设施行业与领域承载着国家金融、能源、交通、水利、医疗卫生等关系国计民生的关键信息通信基础设施,直接威胁到国家安全、社会稳定和民众利益,所以基于合规性的检测方法基础上,关键信息基础设施同时应以行业关键业务为基础
1.4K20编辑于 2023-03-30 - 来自专栏云计算D1net
云计算的合规性
具体要求包括异地备份的安全性,其复原点目标RPO和复原时间目标RTO合规,安全的数据中心,加密,用户访问控制,漏洞传播计划,以及可核查的灾难恢复计划。 灾难恢复计划应该提供自动化测试及合规性报告,以满足灾难恢复监管的具体要求。寻找那些不仅可以测试数据恢复,而且还可以恢复到机器水平的供应商。 ·当前的合规性。作为一个受监管的公司,其最终停留在当前不断变化的法规责任。你的备份供应商/MSP也应该这样做。许多中等规模符合市场服务也可能跟不上监管的变化。 可以获得定期访问审核是验证合规性报告的目的。 数据保护供应商地址的HIPAA云计算合规 数据保护供应商通常为他们的客户服务提供云存储选项,以补充其现有的硬件/软件产品。 而确保正在使用一个供应商的云产品的所有方面保持适当的合规性水平是很重要的。云计算可能是符合用于数据存储的HIPAA,而不是灾难恢复。
2.2K100发布于 2018-03-26 合规时代来临!2026年主流ES服务商合规能力横向评测
摘要 随着全球数据安全法规日益严格,Elasticsearch(ES)服务商的合规能力成为企业选型的关键指标。 本文从合规认证、数据处理、安全防护、成本效益四大维度,对Elastic官方、AWS Elasticsearch、阿里云ES、腾讯云ES四大主流服务商进行深度评测,并附赠最新优惠活动指南。 正文 2026年,全球数据合规市场规模预计突破1200亿美元,各国纷纷推出《个人信息保护法》《通用数据保护条例》等强监管政策。 在此背景下,ES作为企业级搜索与数据分析的核心基础设施,其合规能力直接关系到企业数字化转型的成败。本文基于最新市场调研,为您解析主流ES服务商的合规能力差异。 ,ES服务商的竞争已从单一性能比拼转向全生命周期合规能力的较量。
31410编辑于 2026-01-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号