实人认证基于阿里巴巴自主研发的安全技术,为您提供从设备终端、数据传输、服务器端、数据管理等全链路环节的数据安全保障。本文档介绍了实人认证提供的数据安全和合规能力。

说明 本文档为实人认证产品的安全与合规说明,不适用于金融级实人认证产品。

数据加密

  • 数据传输加密

    实人认证默认对客户端和服务端之间的认证数据进行HTTPS加密传输,保证数据在传输过程中不被泄露、篡改和劫持。

  • 数据存储加密

    使用实人认证专用OSS Bucket来存储认证相关文件和数据。OSS服务端会通过KMS托管密钥和OSS完全托管加密方式对默认收到的认证数据进行存储加密,并且数据会被脱敏存储,为您的认证数据提供高安全性和高合规性的保证。有关对象存储OSS的加密原理请参见OSS加密方式

数据防伪、防攻击

通过客户端活体检测与云端活体检测相结合,可有效防御照片、视频、3D模型、注入式等黑产攻击。结合阿里云安全的风险识别技术能力,提供全链路可靠的安全保障服务。

阿里云实人认证服务会将认证数据与权威数据源进行比对,确保认证结果的真实性和准确性。

数据存储

实人认证默认存储180天(自然日)内的认证数据,支持自定义存储期限,最少可设置1天。您可以在实人认证控制台通用设置页面修改数据存储期限。

数据备份与恢复

实人认证数据默认存储180天,180天后数据会自动清除,您将无法通过实人认证控制台和查询接口查看、获取之前的认证数据。如果您后续需要查看或使用这些数据,建议您在数据清除前通过查询接口获取并转存这些数据。

数据删除与账号注销

阿里云账号注销后,认证数据将无法恢复。实人认证支持在控制台自定义数据存储期限,超出设置的期限后,认证数据将自动删除。

合规&认证

实人认证获得的权威认证包括:ISO 27001、ISO 27017、CSA STAR、ISO 27018、ISO 27701、ISO 29151、ISO 9001、ISO 20000、ISO 22301、BS 10012、PCI-DSS、SOC 1/2/3报告。详细认证资质请参见信任中心

实人认证SDK收集和使用个人信息的说明

阿里云实人认证SDK将获取使用阿里云实人认证服务的客户的终端用户的如下设备权限,包括:访问电话状态、读取外部存储空间的文件、写入外部存储权限以及访问摄像头权限,以用于实现与用户的动作交互和照片采集,从而判断是否为真实用户操作、验证用户的身份,以及验证用户是否存在欺诈或作弊行为。需要收集最终用户的设备信息(包括设备型号、操作系统版本、设备设置、MAC地址及IMEI、IDFA等设备识别符、设备环境等特征信息),上述信息在客户使用阿里云实人认证服务时可通过SDK临时调用,阿里云不会存储上述信息。SDK采集的照片数据将根据使用实人认证服务的客户的指令进行存储和删除。