信息安全说明

特对本文做如下声明:
1. 本文档意在向客户介绍腾讯云实时音视频(TRTC)产品、服务的安全概况,阐述如何进行信息管理和保护客户及终端用户数据安全。如您对此有强制要求,建议您与腾讯云以书面商业合同(SLA)进行约定。否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
2. 安全特性范围较广,本文仅涉及“部分”技术安全要点。
3. 本文档不作为国家或行业信息安全相关标准、要求参考文档。
4. 本文经过可阅读性加工,若存在描述不准确的地方请参考第1点。
5. 文档解释权归腾讯云所有。

1. 概述

腾讯云实时音视频库通过下列认证并符合下列认证的安全要求:
ISO 9001认证
ISO 20000认证
ISO 27001认证
ISO 27017认证
CSA STAR认证
GDPR
单击查看更多 安全合规认证

2. 信息安全保障说明

腾讯云实时音视频的管理安全与技术安全要求符合GDPR标准。

2.1 信息数据安全

用户与实时音视频服务器间的通讯将受到腾讯云私有传输协议、安全传输层协议和 Web Socket Secure 等协议的保护。实时音视频在传输过程中没有任何可对传输的信息进行解密的密钥。通话内容信息只能在终端设备上(如客户端 app 和本地服务端录制服务器)通过客户授权密钥才能解密。

2.2 数据可用性

海量数据中心:腾讯云实时音视频在全球区域有多个机房共同提供服务。任一机房遭受攻击,都不会影响其他机房的正常运转、不影响整体服务,具有分区隔离保障机制。
故障隔离修复:数据中心若遭遇拒绝服务(DoS)等难以防范的恶意攻击导致服务故障,腾讯云实时音视频会将故障机器做合理处理,确保整体服务稳定可用。
DDoS 攻击防护:腾讯云实时音视频在使用的数据中心配置了反 DDoS 防火墙,具备足够的能力和资源控制 DDoS 的风险。

2.3 数据分类存储

个人信息
用途
法律依据
控制台配置数据: TRTC 应用程序 ID、应用程序名称、记录是否开启、是否启用旁路功能、选择的计费方式
出于计费目的,我们使用此类信息来确定您对本功能的使用情况。
请注意,此类数据存储在我们的 Elasticsearch Service (ES) 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。
后端日志数据: 与直播活动的任何参与者相关的用户 ID、房间号、与直播活动的任何参与者相关的客户端 IP、客户端 SDK 版本、与直播活动的任何参与者相关的操作系统类型
我们使用此类信息来确保本功能按要求运行,并进行故障排除。
请注意,此类数据存储在我们的 ES 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。

仪表板信息: 有关通话期间音频和视频质量的信息:最终用户的 APPID、有关最终用户控制的功能的数据(启用视频、禁用视频、启用音频、禁用音频)、进入房间、离开房间、房间 ID、静音功能、CPU 使用率、内存使用情况、网络延迟、数据包丢失、分辨率、比特率、帧速率、 音量
我们使用此类信息来确保本功能按要求运行,并进行故障排除。
请注意,此类数据存储在我们的 ES 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。

(最终用户的)SDK 日志数据: 用户 ID、房间号、客户端 SDK 版本号、TRTC 房间的操作系统类型
我们使用此类信息来确保本功能按要求运行,并进行故障排除。
请注意,此类数据存储在我们的 ES 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。

UIN
我们使用此类信息来确定您对本功能的使用情况。
请注意,此类数据存储在我们的 ES 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。

SDK APPID (使用您的 UIN 为不同的应用程序创建)
作为本功能的一部分,我们使用此类信息来确定您的 应用程序的使用情况。
请注意,此类数据存储在我们的 ES 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。

故障排除数据: 最终用户的 APPID、有关最终用户控制的功能的数据(启用视频、禁用视频、启用音频、禁用音频)、进入房间、离开房间、静音功能、房间 ID、 CPU 使用率、内存使用情况、网络延迟、数据包丢失、分辨率、比特率、帧速率、音量
我们使用此类信息来检测和定位最终用户遇到的问题,以进行故障排除。
请注意,此类数据存储在我们的 ES 功能中。
我们会处理此类信息,因为这对于我们履行与您签订的合同向您提供本功能而言必不可少。

实时音视频为客户提供本地化录制和云端录制功能,客户可以对部分或全部通话内容进行录制。在使用云端录制服务时,所有音视频通话录音/录像均存放在客户提供的云存储服务中,实时音视频不会对您的音视频文件进行存储。
实时音视频针对国内站的客户将以上数据存储于中国大陆,针对国际站的客户将以上数据存储于新加坡数据中心,以符合数据安全合规存储的要求。

2.4 访问授权

终端用户进入实时音视频房间时,需要进行动态签名身份认证,阻止恶意攻击盗用您的云服务使用权,详见安全保护签名UserSig说明

2.5 访问控制

实时音视频对内部的所有系统实行严格的访问控制管理,所有用户拥有独立内部账号和授权体系,且必须经过二步验证,任何访问记录都会有备案。
所有涉及用户数据服务的机器,均受到严格的审计和保护。实时音视频在非必要情况下不会访问用户的服务器;如因安全等必须访问用户服务器的场景下,实时音视频也会在获取临时授权后访问用户服务器,且这一过程将全程录屏,并保留所有操作记录。

2.6 内部安全审核

我们将存储因本功能而处理的个人数据,具体如下所述:
个人信息
保留政策
客户临时密钥信息: SDK APPID、用户名、私钥
我们会在您使用本功能期间保留此类数据。若您对本功能的使用被终止或您的帐户被删除,我们将在 7 天内删除此类数据。
与应用程序相关的客户日志数据: SDK APPID、应用程序名称、标签、服务状态、创建时间、操作
我们会在您使用本功能期间保留此类数据。若您对本功能的使用被终止或您的帐户被删除,我们将在 7 天内删除此类数据。
您可以根据 DPSA 请求删除此类个人数据。

2.7 员工安全意识培训

腾讯云实时音视频对所有员工均定期开展信息安全意识及安全合规培训,并所有员工每年定期接受信息保密意识的讲座和培训。

2.8 违规处理

腾讯云实时音视频员工需按要求遵守保密协议及内部安全制度。若员工违反上述要求,会视情况严重程度采取相应的违规处理措施,包括但不限于加强培训教育、解除劳动关系以及追究其他法律责任等。

2.9 潜在安全漏洞

如果您发现实时音视频平台有潜在安全漏洞,请您直接提交工单反馈,我们的技术专家会在第一时间处理并反馈,非常感谢。
为便于验证和定位漏洞,请您提交以下相关内容:
您的联系方式。
您发现的潜在漏洞功能描述。
请结合提供必要的定位方法、问题重现的步骤。