合规方案
合规方案
2024年5月22日修改
🎁
针对英国PSTI以及其他有关IOT网络安全要求的一个基本合规方案。该类要求也可同样视情况对国内产品提出,是一些基本要求。持续更新ing
针对英国PSTI提供给业务的合规方案
根据法案的最低要求给业务提了3点需求及方案
1.高强度用户密码
不得使用默认密码,应使用以下方式:
•
每个设备独有的预安装密码
•
要求用户在初始化时选择遵循最佳实践的密码。长度为8-14位,包含大、小写字母,数字和特殊字符其中三类字符的
•
使用其他不使用密码的方法来实现。可以使用多因素身份验证,如一次性密码
2.公开提供漏洞披露政策。
可在APP展示隐私政策的部分,新增展示漏洞披露政策。具体内容可参考:
3.应在产品说明书和安全报告页面告知产品的软件更新期限(建议以组件为单位)
更新期限需要为10年及以上,并在产品说明书和安全报告页面告知。产品说明书可参照一些大厂的海外产品说明书
一般性的物联网IOT设备合规要求
1.IOT设备与APP之间的连接需要有匹配机制
IOT设备与APP之间需要有匹配机制(无论通过蓝牙、同处于一个wifi下、或则IOT设备自身的wifi模块),避免出现误连接情形。常用的验证机制,手机上终端上进行确认操作、数字验证码等形式。
2.IOT设备本身收集处理个人信息的情况也需向用户告知
一般IOT设备本身无交互展示隐私政策的屏幕情况下,会在APP隐私政策中一并展示设备本身处理个人信息的情况。
3.现在IOT设备大多配有APP,IOT设备本身和APP需要符合数据合规相关要求。
4.其他IOT设备的要求可以依照标准ETSI EN 303645的要求向业务与开发提出要求
公司内基本合规方案
•
初步评估下,海外欧盟RED、欧洲弹性法案等一些关于IOT设备的网络安全要求,其中部分要求,一般公司内不具备相应工具去落实或验证相关要求,宜找相应认证机构检测并获得有关ESTI EN 303645 等认证。
•
合规人员宜在产品开发的时候便介入,向产品提出相关IOT网安要求,并贯彻到产品开发全过程。ETSI EN 303645的相关要求,公司可能并不具备工具去落实和验证,可以在产品开发基本完成后,引入外部进行验证。