合规性

《个人信息保护法》（PIPL）

IDaaS CIAM 提供了全面的功能和机制，帮助企业满足中国《个人信息保护法》（PIPL）的要求。

1. 用户隐私保护

   1. 数据加密：敏感字段（如密码、邮箱等）采用 AES-256 加密算法进行存储；密码字段采用 SHA256+salt 算法进行哈希处理，防止暴力破解。

   2. 用户同意条款管理：

      1. 支持多应用条款的统一管理，允许法务工作者集中编辑和发布条款内容。

      2. 提供用户侧条款同意记录和管理功能，确保用户清楚了解并同意条款内容。

2. 数据跨境合规：对于涉及跨境数据传输的企业，IDaaS CIAM 提供了数据出境安全评估的支持，帮助企业满足国家网信部门的数据出境要求 。

等保三级认证

IDaaS CIAM 获得了公安部网络安全等级保护 2.0 三级认证，标志着其在架构安全、数据安全、基础设施安全等方面达到国家标准。

安全防护措施：

• 微服务多可用区部署：IDaaS CIAM 的各个微服务均部署在阿里云不同可用区的 ECS 上，通过 SLB 实现高可用负载均衡 。

• 独立 VPC 隔离：IDaaS CIAM 部署在阿里云独立的虚拟私有云（VPC）中，通过隧道技术实现数据链路层隔离，提供独立且安全的网络环境。

GDPR（通用数据保护条例）

IDaaS CIAM 符合 GDPR 的要求，为跨国企业提供全球化的合规支持。

1. 用户数据访问与管理：用户可以通过自助门户查看和管理自己的数据，包括查看已授权的条款内容、撤销授权等。

2. 数据最小化原则：系统仅收集实现业务目的所需的最小范围数据，并通过严格的权限控制限制数据访问范围 。

HIPAA（健康保险流通与责任法案）

IDaaS CIAM 支持医疗行业的合规需求，确保敏感健康信息的安全性。

数据加密与访问控制：所有敏感数据均使用 AES-256 算法进行加密存储；通过严格的权限管理策略，限制敏感数据的访问范围，防止数据泄露。

ISO 27001 & ISO 27018

IDaaS CIAM 获得了 ISO 27001 和 ISO 27018 认证，确保系统具备完善的信息安全管理流程和个人可识别信息（PII）保护能力。

信息安全管理体系：

• ISO 27001：确保系统具备完善的信息安全管理流程。

• ISO 27018：确保云服务提供商对个人数据的保护符合国际最佳实践

PCI DSS（支付卡行业数据安全标准）

IDaaS CIAM 通过 PCI DSS 认证，保障支付信息安全。

支付数据保护：

• 数据加密：所有支付相关信息均采用强加密算法进行存储和传输。

• 日志审计：记录所有支付操作的日志，确保支付过程透明可追溯。

SOC 2

IDaaS CIAM 通过 SOC 2 审计，在安全性、可用性和保密性方面达到国际标准，并支持生成涵盖用户行为、数据访问和权限变更的合规性报告，符合监管要求。

IDaaS CIAM 提供了全面的日志审计功能，帮助企业实现操作透明化和合规性管理。

1. 管理日志：记录管理员的操作记录，包括操作者、操作环境、事件、操作对象等。

2. 用户日志：记录用户的登录、注册、密码修改等行为，便于后续追溯和分析。

3. 同步日志：记录数据同步的相关信息，确保数据处理过程可追踪。