随着实时互动广泛应用于在线教育、社交直播、企业合作、在线医疗、金融保险等各行各业，很多利用开发者会抉择实时互动云（RTE PaaS）服务商帮忙其疾速构建功能丰富的利用。然而在抉择 RTE PaaS 服务商之前，你须要确切理解服务商在数据隐衷、安全性和规范合规方面所提供的保障。

01 为什么平安合规很重要？

开发者须要在服务条款中明确阐明如何存储、应用和共享开发利用的集体数据，并严格遵守相干服务条款。另外，当开发面向寰球市场的利用时，开发者须要理解本人是否恪守 GDPR、CCPA 等数据隐衷法规以及其余当地或区域性的政策法规。为保障应用程序能更加平安地治理用户数据，开发者须要理解 PaaS 合作伙伴解决其波及的任何数据的具体形式。

平安是业务的一种属性，其作用是通过无效的治理和技术措施来管制内外部危险，在恪守相干法律法规的前提下，为业务服务的机密性、完整性和可用性提供牢靠保障。

02 声网对开发者的倡议

对于开发者来说，平安且合规地解决用户个人隐私数据是应用程序的重中之重，声网 Agora 在设计、开发和部署 SD-RTN™、SDK 以及其余产品和服务时，都会严格执行外部的 SDLC（Secure Software Development Lifecycle）管制，并严格遵守相干政策法规，帮忙开发者构建合乎各类隐衷政策与法规的利用场景。

开发者须要明确本人的业务场景，以及相干的平安责任边界。

声网 Agora RTE 服务与客户的平安责任边界示意如下：

Agora 致力于为客户提供随时随地、无处不在的实时互动服务，咱们始终将数据安全和用户隐衷爱护作为首要平安准则，并将其作为理念融入平安能力建设当中，咱们负责 RTE PaaS 平台以及输入给客户 SDK 的安全性。

在明确平安责任边界的前提下，对于开发者来说，平安且合规的解决用户的隐衷数据是应用程序的首要关注点。开发者应全面浏览开发者手册相干文档，了解其服务在安全性方面的技术规格阐明，并进行开发最佳设置，强化本身音视频互动服务的安全性。

咱们提供了“最佳平安实际指南”（见「浏览原文」）来帮忙开发者在开发配置过程中，晋升音视频互动的安全性。

同时，咱们倡议开发者关注咱们 SDK 的公布动静，及时更新到最新版本 SDK。这样既能够确保开发者的 APP 能够第一工夫获取最新的性能与服务，还能确保安全相干缺点和破绽被及时修复。

03 开发者须要思考哪些内容？

无论开发者是与声网 Agora，还是与其余 PaaS 服务商单干，在签约之前都应征询并明确以下问题：

服务商是否严格落实了数据安全和隐衷爱护规范？

数据安全的可靠性，取决于服务商是否严格依照行业标准施行对数据的管制和治理。

声网 Agora 在信息和隐衷平安方面遵循行业标准 ISO 27001/27017/27018。咱们的网络架构和基础设施合乎 SOC2 规范，确保所有的物理和虚构拜访都失去无效治理、监控和管制。

声网 Agora 不会拜访或存储用户的个人身份信息（PII），只会收集提供服务中必要的经营信息——这些数据包含 IP 地址（辨认用户的地理位置以合乎区域法规和网络连接）、计量数据（因为声网是按应用时长免费的）和体验品质数据（通过水晶球帮忙客户进行体验品质监测）。声网不接触终端用户数据，更不会解决和存储终端用户数据，如明码和用户身份（如姓名、电子邮件地址、电话号码等）。这些信息由客户自行在应用程序中进行治理。

权威的第三方机构是否能够证实或监控服务商的平安合规性？

如果 PaaS 服务商对于平安规范的施行已失去权威机构的验证，则绝对更加可信。

声网与 Ernst&Young LLP 单干，后者监督咱们对 ISO 27001/27017/27018 等规范的执行状况。咱们的 ISO 审核流程和认证则由欧洲认证机构 DNV GL 提供。咱们的 SOC 2 合规性由 Deloitte LLP 审计实现。此外，咱们与包含 Trustwave Holdings 在内的寰球平安专家单干，已实现网络浸透、应用程序破绽和合规性评估等工作。

服务商是否可能提供爱护媒体流的能力和选项？

开发者在抉择是否对媒体流加密时，很重要的一点是要在性能和数据安全之间进行衡量，对数据进行平安爱护将对提早和性能等产生肯定影响，即使影响较小。

作为以开发者为核心的 API 平台，声网为利用开发者提供了身份验证、数据加密以及网络天文围栏等诸多缺省和可配置的平安选项，以爱护开发者的音视频媒体流数据。您能够针对特定的利用场景进行衡量和抉择。

如果您抉择为媒体内容加密，Agora SDK 提供内置 AES 加密算法供客户间接抉择应用。加密密钥由客户的应用程序治理，并在 Agora 网络内部的终端用户设施之间进行传输。

服务商是否有疾速响应安全漏洞的记录？

任何简单的软件都会有破绽存在，因而 PaaS 服务商必须保持警惕，以避免破绽被利用。开发者须要关注 PaaS 服务商发现并及时处理破绽的能力。

声网与多家寰球备受信赖的平安组织单干，从而保障及时发现破绽并告知客户，帮忙客户疾速发展必要的修复工作。

服务商是否符合国家或地区的法律？

任何一家全球化的公司都必须理解业务所在国家和地区的法律及条例。很多人都会呈现一个常识性的误会，认为相干法律和条例仅实用于该国家和地区的外乡企业，实际上这些法律和条例实用于在该国或该地区经营业务的所有公司。无论是欧盟的 GDPR 或中国的网络安全法律，任何想要在这些区域开展业务的公司，都要受到同样的法律法规束缚。

声网 Agora 合乎欧洲的 GDPR、美国加州的 CCPA 等国内法规，同时咱们还能够依据 BAA 向医疗行业的相干客户提供 HIPAA 合规选项。

服务商是否能提供高级且可配置的天文路由？

天文路由（有时也被称为天文围栏）容许开发人员定义一个天文区域，开发者的数据将被限度在该天文域内。

声网 Agora 在六个不同的地区施行了基于地理位置的路由，利用开发人员和平安团队能够依据其具体情况进行抉择。声网的客户能够通过设定区域，限度其终端用户的音视频媒体流的流转和解决在指定区域内。例如，如果开发者决定在其经营区域中限定某个特定的区域，那么媒体内容就只会途经这个区域进行传输。

服务商是否确保提供的音视频流不会造成窃听或泄露？

开发者利用如果呈现音视频数据泄露，造成的起因可能是利用自身的安全性或者服务商的安全漏洞等多重起因，所以开发者须要留神，第三方服务商如何保障提供的音视频流不会泄露？

声网 Agora 通过自研协定 AUT 进行传输爱护，自研协定蕴含密钥替换、身份认证，并应用 SSL/TLS 进行加密传输，从而爱护音视频数据不被窃听或泄露。

综上所述

作为寰球实时互动云服务商，面对利用开发者对数据安全性的迫切需要，咱们所施展的作用将十分要害。咱们致力于提供卓越的数据安全性，让开发者能够将精力专一于翻新和打造新利用，在安全性方面没有后顾之忧。

如果您对平安方面还有其余疑难或倡议，可随时通过邮件（security@agora.io）与咱们的平安团队取得联系，也可随时通过邮件（pr@agora.io）与咱们的 PR 团队取得联系。