奇安信网神WEB应用安全云防护系统隐私政策

欢迎您使用奇安信网神WEB应用安全云防护系统!

我们充分理解隐私对您的重要性,并会采取充分、适当的措施保证您的个人信息安全。

我们希望通过本隐私政策向您说明,在使用奇安信网神WEB应用安全云防护系统(以下简称“本系统”)时,我们如何收集、使用、存储、分享和转让用户信息,以及我们如何保护用户信息。请在使用本系统前,务必仔细阅读并了解本隐私政策,在确认充分理解并同意后使用我们的产品或服务。一旦您开始使用本系统,即表示您已充分理解并同意本政策,并同意我们按照本隐私政策收集、使用、储存和分享用户信息。如对本政策内容有任何疑问、意见或建议,您可通过本隐私政策提供的联系方式(见下文第七部分)与我们联系。

本隐私政策将帮助您了解以下内容:

一、我们如何收集和使用用户信息

二、我们如何存储用户信息

三、我们如何共享、转让、公开披露用户信息

四、我们如何保护用户信息

五、隐私政策的适用范围

六、隐私政策的变更和修订

七、如何联系我们

八、 隐私政策的生效

一、 我们如何收集和使用用户信息

我们会出于本隐私政策所述的以下目的,收集和使用用户信息:

(一)云防护系统的接入功能

1、防护网站的接入功能

云防护系统需要客户将自身的网站业务流量配置解析至云防护节点,才能达到攻击流量清洗、Web攻击防护的目的。因此,为了防护网站接入,同时,基于合法、合规等要求和确定客户唯一标识等目的,我们将使用在线或离线填写的方式向客户获取其合法网站的以下信息,包括但不限于:用户及其员工的基本信息,如员工姓名/职务,手机,邮箱,账号及注册密码,公司名称;网站基本信息,如域名,协议,源站ip/端口,机房归属地,主域名权限归属,SSL证书及私钥;网站业务信息,如网站使用的云端代理,安全软件,本地防火墙/WAF,API接口及网站出口带宽等。以上信息将用于网站接入配置、判断网站是否合法和初始化网站安全配置。
此外,奇安信网神WEB应用安全云防护系统产品系列中的网站卫士和云防护产品,因其在线注册、支付等特性,我们还将收集和保留客户的身份证、支付结果等信息,作为客户身份和购买行为的合法凭证。接入防护的网站可以关闭防护功能,但以上信息仍将保存,以备再起开启防护时能快速生效。
我们产品和服务的个别特定功能可能需要您提供特定的个人敏感信息来实现。收集个人敏感信息前,我们会以弹窗或类似显著方式获取您的同意。若您选择不提供该类信息,则可能无法正常使用对应功能,但不影响您使用服务中的其他功能。若您主动提供您的个人敏感信息,即表示您同意我们按本政策所述目的和方式来处理您的个人敏感信息。

2、网站安全防护配置调优功能

由于被防护网站的业务类型、带宽大小、源站属性等差异,其安全配置也可能产生较大的差异,云防护提供的缺省安全配置可能不并适合所有网站的防护需求。在防护策略的调优过程中,需要了解客户网站的业务情况。云防护的特征,客户的业务流量都经由云防护节点,因此云防护系统能获取所有客户网站的访问信息,包括但不限于:访问源IP,访问频次,访问目标URL,Cookie,网站PV数等。云防护平台对单个用户的攻击数据分析,可能被应用于全平台用户,包括但不限于:攻击IP,攻击特征等。同时,云防护的运营人员在处理安全事件时,可能会向用户询问防护网站的技术架构、Web组件及版本、出口IP、可信IP地址(加白)等信息。以上这些信息,将被云防护系统用于进行攻击行为的判断和处理、安全策略选择和放行,并持续性的进行单个用户及全平台用户安全配置的调优。多种防护策略都提供开启、关闭按钮,但以上信息仍将保存,以备再起开启防护时能快速生效。

3、网站缓存加速功能

云防护系统能为客户提供CDN加速、缓存、重保只读功能。此类功能都基于分布式缓存机制,即在云防护的多个节点,缓存用户配置的网站资源,如具体的URL,达到近源访问速度更快、网站不可被篡改的目的。网站缓存机制的运用,将基于用户自身的配置,也可在云防护配置建议的基础上根据自身需求调整缓存资源,甚至禁止缓存即全流量回源访问。缓存功能将提供关闭按钮,一旦没关闭后,我们将停止收集、保存相关资源信息。

4、配置告警功能

网站安全的闭环性管理要求能快速及时地告知客户当前正在发生的安全事件及其处理结果,为了满足此类需求云防护系统提供了告警配置功能。此项功能基于用户自主配置,可填写的隐私信息保留包括但不限于:用户名称,部门归属,手机号,邮箱等,云防护系统将基于用户的配置将安全时间及其处理结果用短信或邮件的客户及时告知用户。配置告警功能有关闭按钮,但功能被关闭后以上信息仍将保存,以备再次开启防护时能快速生效。

5、日志的收集、分析及展示功能

很多时候,安全防护的攻击分析及结果展示依赖于客户网站的Web访问日志与云防护的防护日志(包括但不限于Web攻击日志、CC攻击日志、爬虫攻击日志、DDoS攻击日志)。云防护系统对于这两类日志的存储内容也存在区别,比如:云防护系统只会记录Web访问日志中的源IP、源端口等网络层信息;HOST、URL、Referer等请求头数据;响应码、是否来自缓存等相应头内容;而不会记录完整Cookie内容、请求体、响应等详细交互信息。而防护日志可能记录部分触发防护策略的请求或响应的详细内容,访问行为统计特征等。奇安信网神云防护平台对于以上两类日志的存储都基于在合法、合规的原则,仅在需要配合网络安全执法的过程中可能被司法机关调取,其他情况下均不会被非授权用户获得。基于本产品的特点,相关攻击审计日志的收集、分析及展示功能不能被关闭。

(二)我们如何使用Cookie技术

1. Cookie为了辨别用户身份保持用户登录会话状态;在网站客户方配置要求下,借助 Cookie 对用户请求进行跟踪,可能会向Cookie中加入用于请求跟踪的信息,但不会修改用户的Cookie字段内容,确保访问行为正常; 加入的信息包含但不限于加密后的用户 IP 地址,端口号,定制化配置。
2. 我们不会将Cookie用于本隐私政策所述目的之外的任何用途。您可以通过改变浏览器附加程序的设置,或通过访问提供商的网页,来关闭或删除浏览器附加程序使用的类似数据。但如果您这么做,则需要在每一次访问我们的网站时更改用户设置, 而且您之前所记录的相应信息也均会被删除,并且可能会对您所使用服务的安全性有一定影响。

(三)解决您反馈的问题

您可以通过奇安信用户热线向我们反馈您使用本系统中遇到的问题,我们会努力解决您的问题。您在反馈意见中所提供的联系方式,仅将用于我们的用户热线与您沟通与反馈,除征得用户明确同意和/或法律明确规定外,我们将不会向任何第三方提供您的上述信息。

(四)安全保障

为提高您使用我们及我们关联公司、合作伙伴提供服务的安全性,保护您、其他用户或公众的人身以及财产安全免遭侵害,更好地预防钓鱼网站、欺诈、网络漏洞、计算机病毒、网络攻击、网络侵入等安全风险,更准确地识别违反法律法规或奇安信相关协议规则的情况,我们可能使用或整合您的设备信息、软件使用信息以及我们关联公司、合作伙伴取得您授权或依据法律共享的信息,用于进行身份验证、检测及防范安全事件,并依法采取必要的记录、审计、分析、处置措施。

(五)征得授权同意的例外

根据相关法律法规规定,以下情形中收集您的用户信息无需征得您的授权同意:
1. 与国家安全、国防安全有关的;
2. 与公共安全、公共卫生、重大公共利益有关的;
3. 与犯罪侦查、起诉、审判和判决执行等有关的;
4. 出于维护信息主体或其他个人的生命、财产等重大合法权益但又无法得到您明确同意的;
5. 所收集的用户信息是您自行向社会公众公开的;
6. 从合法公开披露的信息中收集用户信息的,如合法的新闻报道、政府信息公开等渠道;
7. 根据您的要求签订合同所必需的;
8. 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
9. 为合法的新闻报道所必需的;
10. 学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的信息进行去标识化处理的;
11. 法律法规规定的其他情形。

二、 我们如何存储用户信息

我们在中华人民共和国境内收集和产生的用户信息将存储在中华人民共和国境内。
若为处理跨境业务,确需向境外机构传输境内收集的相关用户信息的,我们会另行征求您的同意,并按照法律、行政法规和相关监管部门的规定执行。我们会确保用户信息得到足够的保护,例如匿名化、加密存储等。
我们仅在本政策所属目的所必须的期间和法律法规要求的时限内存储用户信息。
如我们停止运营本系统,我们将及时停止继续收集用户信息,并将停止运营的通知以逐一送达或公告的形式通知您,并对我们存储的用户信息进行删除或匿名化处理。

三、 我们如何共享、转让、公开披露用户信息

(一)共享
我们不会与任何公司、组织和个人共享用户信息,但以下情况除外:
1. 在获取您明确同意的情况下,我们会与其他方共享用户信息。
2. 我们可能会根据法律法规规或者诉讼争议解决需要,按行政、司法机关依法提出的要求,对外共享用户信息。
3. 在法律法规允许的范围内,为维护奇安信、奇安信的关联方或合作伙伴、您或其他奇安信用户或社会公众利益、财产或安全免遭损害而有必要共享用户信息。
4. 在我们的关联方向您或向我们提供服务的情况下,我们可能与我们的关联公司共享用户信息。但我们仅共享必要的用户信息,且关联方对您信息的处理受本隐私政策的约束。关联公司如要改变您用户信息的处理目的,将再次征求您的授权和同意。
5. 除非获得您的明确授权和同意,否则我们不会与第三方广告商、应用程序开发者、开放平台或其他合作伙伴共享用户信息。我们可能会为这些合作伙伴提供汇总后的信息、匿名化后的信息或者其他不会识别到您身份的信息。
6. 仅为实现本隐私政策中声明的目的,我们可能会与我们的供应商、服务提供商、顾问或代理人共享用户信息(或用户举报的短信或来电号码),以提供更好的用户服务和用户体验。这些供应商、服务提供商、顾问、代理人可能为我们提供技术基础设施服务,分析我们服务的使用方式,衡量广告和服务的有效性,提供客户服务和支付服务,进行学术研究和调查,或提供法律、财务与技术顾问服务。
对我们与之共享用户信息的公司、组织和个人,我们会与其签署严格的数据保护协定,要求其按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理用户信息。
(二)转让
我们不会将用户信息转让给其他任何公司、组织和个人,但以下情形除外:
1. 随着奇安信业务的发展,我们及我们的关联公司有可能进行合并、收购、资产转让或其他类似的交易。如相关交易涉及到用户信息转让,我们会要求新持有用户信息的公司、组织和个人继续受此政策约束,否则我们将要求该公司、组织和个人重新征得您的授权同意。
2. 在获得您明确同意的情形下转让,亦即获得您明确同意后,我们会向其他方转让我们已经获取的用户信息。
(三)披露
我们仅会在以下情况下,公开披露用户信息:
1. 已经获得您明确同意。
2. 在法律规定、诉讼程序或政府主管部门强制性要求的情况下,我们可能会公开披露用户信息。
3. 在法律法规允许的范围内,为维护奇安信、奇安信的关联方或合作伙伴、您或其他奇安信用户或社会公众利益、财产或安全免遭损害而有必要披露用户信息。
4. 法律法规规定的其他情形。
根据法律规定,共享、转让经去标识化处理的用户信息,且确保数据接收方无法复原并重新识别信息主体的,不属于用户信息的对外共享、转让及公开披露行为。请您知悉对此类数据的保存及处理将无需另行向您通知并征得您的同意。
四、 我们如何保护用户信息
我们已采取符合业界标准的安全防护措施保护您提供的用户信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的用户信息。
1. 我们通过发布隐私政策,实现用户信息处理的透明化,并建立用户意见反馈渠道,接受社会公众监督。
2. 我们会对可识别的个人身份信息进行加密传输和存储,以确保数据的保密性。
3. 我们在服务端部署访问控制机制,对可能接触到用户信息的工作人员采取最小够用授权原则,并定期核查访问人员名单和访问记录。
4. 我们存储用户信息的服务器系统均为安全加固后的操作系统。我们会对服务器操作进行账户审计及监控。如果发现外部公告有安全问题的服务器操作系统,奇安信会在第一时间会进行服务器安全升级,确保奇安信所有服务器系统及应用安全。
5. 我们为工作人员定期举办隐私保护相关法律法规培训,以加强工作人员的隐私保护意识。
6. 如果不幸发生我们的物理、技术或管理防护措施遭到破坏的事件,我们会及时启动应急预案,防止安全事件扩大,按照法律法规的要求上报国家主管机关,并及时采取推送、公告等合理、有效的方式向您告知安全事件的基本情况、可能的影响、已经采取的措施或将要采取的措施等。

五、 隐私政策的适用范围

本隐私政策仅适用于本系统。本隐私政策不适用以下情况:
1. 将本系统嵌入到第三方产品(或服务),第三方产品(或服务)收集的信息。
2. 在本系统中接入的第三方服务、广告或其他公司、组织或个人所收集的信息。

六、 隐私政策的变更和修订

我们的隐私政策可能变更。未经您明确同意,我们不会限制您按照本隐私政策所应享有的权利。
对于本隐私政策的重大变更,我们还会提供显著的通知(例如,在软件改版或升级、或您重新登录时,以弹窗形式对您进行及时通知)。
本政策所指的重大变更包括但不限于:
1. 我们的服务模式发生重大变化。如处理用户信息的目的、处理的用户信息类型、用户信息的使用方式等;
2. 我们在控制权等方面发生重大变化。如并购重组等引起的所有者变更等;
3. 用户信息共享、转让或公开披露的主要对象发生变化;
4. 您参与用户信息处理方面的权利及其行使方式发生重大变化;
5. 我们负责处理用户信息安全的责任部门、联络方式及投诉渠道发生变化时;
6. 用户信息安全影响评估报告表明存在高风险时。

七、 如何联系我们

如果您对我们的隐私政策及对用户信息的处理有任何疑问、意见、建议或投诉,请通过以下方式与我们联系:
用户热线:400-930-3120
联系邮箱:kefu@qianxin.com

八、隐私政策的生效

本隐私政策版本更新及生效日期为2020年 【 05 】月。