游心新闻

当前位置: 首页 > 游心新闻

用户隐私,游心发起方三七互娱在捍卫!

发布时间:2020-04-17|作者:

互联网时代,数据是一把达摩克利斯之剑,既能带来创新与变革的力量,也让科技与商业伦理边界与定义不断变化,从而隐含风险。要驾驭大数据创新之力必须回归责任初心。


作为全球TOP25、中国第三的上市游戏企业,游心发起方三七互娱有着基数庞大的用户群体与因此带来的海量数据。三七互娱始终把个人可识别信息为核心的数据保护视为信息安全管理的重中之重。

公司以严谨的管理制度与流程体系为基础,采用行业领先技术对标国际标准,严控信息安全风险,确保数据安全。

1

顶层承诺,恪守原则

公司把信息安全视为战略性核心议题进行管理,技术中心是负责数据安全的执行管理部门,由集团副总裁朱怀敏先生领导,向董事长汇报工作,受到董事长的监督和管理。

公司在采集与管理用户隐私信息方面制定了6项原则,在整个业务经营过程中都严格遵从:

在公司领导层的重视与严谨的信息管理原则基础上,公司技术中心配备了优秀的管理团队和技术工程师,具备丰富的网络安全实战经验,防范各种数据安全隐患,为保护数据安全、用户隐私筑起了坚固的防火墙。

2

系统管理信息安全

公司依据《ISO 27001:2013信息安全管理体系》《GB/T 35273信息安全技术 个人信息安全规范(2017)》标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,以实现信息的机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility),最终保障以用户隐私为核心的数据安全。

信息安全管理体系遵循PDCA循环管理模式,制定了完备的数据安全管理流程制度,全方位完善隐私和数据安全相关的政策、措施、绩效。

1587119400977264.png


1) 范围与目标

公司的信息安全管理体系覆盖37网游、37手游、37Games三大游戏平台,并将平台所有的服务供应商也纳入整个体系之中进行管理,确保了体系的完整性,降低了体系之外的潜在风险。

2) 规划

公司制定有《信息安全风险评估控制程序》,识别信息资产、威胁与脆弱性,识别保密性、完整性和可用性损失可能对资产造成的影响。分析并评价风险,判定风险是否可接受或需采取措施,制定相应措施予以应对。

3) 支持

公司技术中心面向信息安全管理体系的操作人员实施有《人力资源控制程序》《员工聘用管理程序》《员工离职管理程序》《员工培训管理程序》,在聘用时对专业资格、专业能力进行严格把关,确保具备承担信息安全管理的能力要求;对所有在岗人员进行系统培训,建立信息安全意识和氛围、进一步提升在岗人员专业素养;对离职人员进行权限回收、保密文件回收,对重要岗位工作人员要求遵守保密协议,并签订竞业限制协议。

2019年,公司共组织开展安全法律法规及信息安全管理培训10次,技术中心全体员工150人均全部参加。

4) 访问控制

公司制定有《用户访问管理程序》《口令策略》,对公司各种应用系统的用户访问权限(包括特权用户及相关方用户)实施有效控制,对访问权限申请、访问权限变更、访问权限维护和评审做出规范,为用户鉴别机制建立创造、分发、保护、终止以及收回的规则,并7×24小时检测信息系统运行。

5) 数据资产保护

公司对数据资产的存储与传输全程加密。密钥加密采用具有抗强碰撞能力的sha256加密算法,能抵御生日攻击、彩虹表攻击、差分攻击等常见的Hash函数攻击,并此基础进行加盐处理,以增加额外的安全性。

公司采用隐私增强技术管理用户隐私数据,包括对用户个人信息进行去标识化和匿名化处理,采取技术和管理措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储,并加强访问和使用权限的管理。

6) 物理和环境安全、操作安全、通信安全

物理和环境安全:公司制定有《物理访问策略》,以防止对组织场所和信息的未授权物理访问、损坏和干扰。

操作安全:公司推出《恶意软件管理程序》确保对信息和信息处理设施进行恶意软件防护,开展《信息备份安全策略》《重要信息备份管理程序》防止数据丢失,建立《日志管理策略》记录用户活动、异常情况、故障和信息安全事态的事态日志并保持定期评审,制定《软件开发管理程序》确保运行系统的完整性,实施技术脆弱性管理。

通信安全:公司制定有《通信安全管理程序》,确保网络中信息的安全性并保护支持性信息处理设施。

7) 系统获取、开发和维护

公司制定有《信息系统安全要求》《公共网络应用服务安全要求》《应用服务交易安全要求》,防止欺骗行为、合同纠纷、未授权泄露和修改,保护涉及应用服务交易的信息。

8) 信息安全事件管理

公司采取了前瞻性信息安全事件预防措施,包括《信息安全事件管理规范》《预防措施控制程序》《事故事件薄弱点与故障管理程序》《信息安全奖惩管理程序》等程序,对信息安全事故进行系统管理,明确目的、职责、责任主体、事件界定、报告渠道和处理方式,并编制有完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。

《信息安全事件管理规范》对安全事件进行了界定和分级,针对不同等级的安全事件制定了不同的发现、响应和处理计划。

9) 信息安全事件响应

为有效和及时应对信息安全事件,公司建立了24小时值班制度。当信息安全事件发生时,技术中心会立即启动应急预案或采取有效措施,在事发或接到事发报告1小时内到达事发现场,全力而有序地组织抢救抢修,防止事件扩大,消除各种危险,尽快恢复系统,将各种损失减到最低程度。

对数据泄露安全事件,技术中心会在发现数据泄露后立即调查数据泄露的原因,影响范围,制定必要的纠正措施,并在必要时向公安机关报案。

全年无重大数据安全事件

对于用户数据管理,公司严格按照《GBT22239-2019信息安全技术网络安全等级保护基本要求》中的第三级安全要求标准执行。

在公司技术人员的努力下,迄今未发生一起数据泄露或威胁数据安全和用户隐私信息的事件。

10) 信息安全事件调查处理

对于信息安全事件,在故障排除或采取必要措施后,由技术中心召集、成立事件调查组,在事件现场收取证据,了解事件发生经过,收集相关资料,查明原因、危害程度及损失等情况,检查预防和控制事件发生的措施以及事件发生后应急预案是否得当并得到落实,确定事件级别和性质,查明相关责任并提出处理建议,提出防止类似事件再次发生的措施和建议。

11) 供应商管理

公司制定有《相关方信息安全管理程序》《安全区域管理程序》《物理访问策略》《用户访问管理程序》《第三方服务管理程序》,要求服务提供商、管理服务提供商、外来人员、客户等第三方遵守公司信息安全管理的各项规章制度,明确公司的信息安全管理要求,保证提供服务的质量和相关业务的信息安全,并与公司签订保密协议,防止信息泄露。

公司定期对供应商等第三方进行审查和检验,对不符合信息安全管理要求的第三方,整改后仍不符合要求或拒绝整改可能造成信息安全事件的第三方,做出限期整改、减少合作、经济扣罚、终止合同等决定意见。

如涉及用户隐私数据,公司在征得用户同意的基础上,在确保数据接收方无法重新识别个人信息主体的前提下,委托第三方对数据进行处理

12) 审核审计与外部评定

公司建立并实施《内部审核控制程序》《管理评审控制程序》进行内部信息安全管理体系审核,要求管理者按规定时间间隔评审信息安全管理体系,并每半年组织一次信息安全事件的安全审计。

除内部审核和管理评审之外,公司聘请第三方机构对信息安全管理体系进行第三方审计,相关报告预计将在2020年年内对外发布,并将在未来每年进行一次安全审计。

目前,公司用户中心系统已通过公安部信息系统安全等级保护三级备案,企业官网和游戏平台已通过公安部信息系统安全等级保护二级备案,涵盖物理安全、网络安全、主机安全、数据安全、管理安全等信息安全管理体系核心内容。

启动ISO 27001信息安全管理体系认证

公司已邀请国际权威认证机构SGS面向公司核心数据管理业务开展ISO 27001信息安全管理体系认证,以进一步提升信息安全管理水平,促进数据安全和用户隐私保护。预计该认证将在2020年底完成。

13) 持续改进

公司制定并实施《纠正和预防措施管理程序》,针对发现和潜在的不符合现象,采取措施,消除不符合的原因,并防止再次发生,保证信息管理体系获得持续改进。


3

注重保护个人可识别信息

公司历来注重用户信息安全,出台了《三七互娱隐私政策》,将关切并保护用户个人信息安全作为政策制定的核心指导思想,并确保符合国家法律法规的要求。

公司还于2019年11月专门发布了《三七互娱隐私政策(儿童适用)》,以强化对未成年人的保护。

1) 适用范围

除某些特定产品和服务外,公司所有的产品和服务均适用《三七互娱隐私政策》。这些特定产品和服务将适用特定的隐私政策。

2) 最小化信息收集

对于个人信息的集,公司遵循最少够用原则,通常是基于中国法律法规的要求,购买使用公司产品和服务而需提供的相匹配的相关信息,包括:

1587119377572155.png

3) 个人可识别信息加密与保护

公司为保护用户个人信息采取合理可行的安全措施,公司对数据传输使用TLS/SSL加密技术,对存储的敏感数据采取了SHA256/AES加密算法以实现敏感数据的匿名化与不可逆,保证其安全性。

此外,公司会定期对安全策略和数据保护措施采取风险评估,确保产品和服务不会受到数据泄露或侵犯隐私等风险的威胁。

4) 用户权利

用户有权访问、管理、修改个人信息,有权要求公司删除或更正个人信息,并可通过登录后进入“客服中心”,在“自助服务”功能项下选择“注销账号”。《三七互娱隐私政策》也规定了依据法律法规和公司政策可以响应用户请求和无法响应请求的若干情况。

5) 个人信息的共享、转让与公开披露

仅在以下情况下,公开披露用户个人信息,例如获得用户明确同意;与国家安全、国防安全相关;公共安全、公共卫生、重大公共利益有关的;与犯罪侦查、起诉、审判和判决执行等有关的;以及按照法律法规规定的其他情形等。公司还规定,在中华人民共和国境内收集和产生的个人信息,将存储在中华人民共和国境内,不会在全球范围内转移或传输用户的个人信息。

6) 泄露应对

在不幸发生个人信息安全事件后,公司有应急预案等措施采取必要措施以阻止安全事件扩大,并以推送通知、公告等形式告知用户。

7) 技术利用

公司积极采用去识别化技术、TLS/SSL加密技术,以增强用户隐保护的成效。

8) 负责部门

涉及用户隐私的任何问题,用户都可以联系公司的指定部门和服务热线:三七互娱官网客服中心,或拨打三七互娱客服中心热线0553-8125237、4008585237。

1587119350470335.png

4

加强网络文化建设

营造晴朗网络空间

为贯彻落实党中央、国务院关于建设网络强国的战略部署,三七互娱第一时间响应《推进互联网协议第六版(IPv6)规模部署行动计划》。

按照IPv6国家专委会的部署要求,三七互娱官网及部分游戏已实现全面支持IPv6。公司旗下移动游戏明星产品《永恒纪元》是第一批通过国家IPv6支持度评定的TOP100移动互联网应用,以综合评定总分第3的优秀成绩通过检测。这标志着公司顺利完成2019年国家部署的IPv6支持计划。

公司其他游戏的升级改造工作也在继续推动,并积极推进下游供应商进行IPv6升级改造,为IPv6大规模商业应用打好基础。网络文化建设方面,公司以社会主义核心价值观作为文化安全导向,始终坚持社会主义领导下的意识形态方向,高度重视互联网产品的内容导向,确保积极健康的网络文化产品面向大众。2019年相关工作获得了政府主管部门的高度认可,为营造晴朗的网络空间贡献一份力量。

网络安全方面,公司与网安部门制定联动机制,在配合网安部门政企工作基础上,特别设立了企业警务工作室,确保有足够的力量应对网络安全突发事件。

2019年,公司已完成互联网大数据安全测评,进一步加强企业网络安全管理综合治理能力。