神策获得了哪些安全合规认证（等保、 ISO 认证等），如何获取相关信息？

神策获得了哪些安全合规认证（等保、 ISO 认证等），如何获取相关信息？

• 神策已获得信息安全管理体系认证（ISO 27001）、隐私信息管理体系认证（ISO 27701）、质量管理体系认证（ISO 9001）、CMMI 3 软件能力成熟度、SDK 专项安全测评，等级保护测评三级（神策分析云和营销云），如需了解详情，客户可以联系神策客户成功/项目经理获取相关信息。

神策软件产品如何保护客户的数据安全？

神策软件产品如何保护客户的数据安全？

• 基于数据安全生命周期，神策提供的安全措施包括但不限于：
• 收集：收集事件缓存加密，数据导入强校验；
• 传输：传输链路采用 HTTPS、埋点事件和属性支持数据加密传输；
• 存储：登录用户名、密码加密存储；
• 使用：最小化原则，脱敏展示，数据水印；
• 删除：支持批量删除数据、支持基于用户 ID 删除数据。

神策的 SDK 如何确保数据收集的合规性？

神策的 SDK 如何确保数据收集的合规性？

• 神策在进行数据收集时严格遵循“合法、正当、必要”的原则，通过隐私政策等方式告知并说明涉及个人信息的权限使用和个人信息处理的目的、方式和范围等规则，在获得最终用户授权同意后开始进行个人信息收集。
• 收集情况说明：神策 SDK 支持自定义设置事件和属性的收集方案。在使用神策全埋点进行数据收集时，用户可根据自己的业务需求开启或者关闭事件收集，具体收集及权限申请情况可参考：https://manual.sensorsdata.cn/sa/latest/page-22252692.html
• 延迟初始化：神策 SDK 提供了延迟初始化的方式来满足合规要求，可以在客户明确同意《隐私政策》后，通过初始化 SDK 方式，开始进行数据收集。如果某些控件包含个人敏感信息，神策产品提供 API 可以忽略控件的点击事件，不收集相关信息。延迟初始化可参考：https://manual.sensorsdata.cn/sa/latest/page-22252692.html#id-合规说明-数据收集安全说明
• 收集缓存加密：通过 SDK 进行信息收集时，在传输至服务端前神策 SDK 通过本地加密方式对收集信息中的敏感信息进行保护。

客户根据业务需要将手机号、身份证号作为属性上传，是否满足合规要求？

客户根据业务需要将手机号、身份证号作为属性上传，是否满足合规要求？

• 手机号、身份证号不属于神策产品预置属性收集的信息，这些信息能否收集，需要客户根据自己具体场景判断，由客户自己埋点收集获得。神策的产品会针对敏感信息提供展示脱敏、存储加密等手段，确保信息的安全性。

神策是否会定期对产品开展安全测试？

神策是否会定期对产品开展安全测试？

• 神策安全团队在产品发版前 SDL 阶段和产品发版后会定期开展产品的安全测试工作，测试发现的漏洞会按照内部漏洞管理规定的要求及时进行修复。