系统安全
安全保护措施
在 GIS 服务器系统安全层面,采取了常规的系统保护措施,并在此基础上,通过防火墙来阻止恶意的 Internet 用户访问局域网络,通过 HTTPS 进行加密通信,支持固定端口、反向代理等,保障产品系统安全性。
抵御攻击方法
文件上传漏洞、XSS(跨站脚本攻击)、服务访问控制风险、DDOS(应用层拒绝服务攻击)、点击劫持等网络攻击,产品安全团队定期进行软件web漏洞检测、病毒检测、端口安全检测、协议测试等安全测试。例如,使用 Web 服务器安全扫描工具进行安全漏洞扫描,发现并解决了如SQL注入,跨站点脚本编制,传输层保护不足等安全问题。
加密机制
a.所有接口调用方根据约定的密钥对报文进行签名;
b.系统后端对签名验签,如果验签通过则正常响应,否则拒绝访问;
c.签名方式默认采用RSA,使用SHA256摘要算法。
服务安全
访问安全措施
在服务安全方面,支持基于角色的访问控制,通过对用户身份认证和授权,实现对服务和服务管理器的访问控制。针对用户身份认证,提供了基于 Token (令牌)和基于HTTP Form两种用户身份验证机制。
数据安全措施
a.我们会采用符合业界标准的安全防护措施,包括建立合理的制度规范、安全技术来防止您的个人信息遭到未经授权的访问使用、修改,避免数据的损坏或丢失。
b.我们只会在达成本合同所述目的所需的期限内保留您的个人信息,除非需要延长保留期的允许。
c.互联网并非绝对安全的环境,而且电子邮件、即时通讯、社交软件等与其他用户的交流方式无法确定是否完全加密,我们建议您使用此类工具时请使用复杂密码,并注意保护您的个人信息安全。
安全事件处置
发生个人信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们同时将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您,同时上报个人信息安全事件的处置情况。
个人信息的保存
您的个人信息将全被存储于中华人民共和国境内,如果我们终止服务或运营,我们会至少提前三十日向您通知,并在终止服务或运营后对您的个人信息进行删除或匿名化处理。
