首页
学习
活动
专区
圈层
工具
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
  • 来自专栏Android源码框架分析

    APP隐私审查现状与应对措施

    (二)Android的审查标准比较混乱 隐私主要是工信部、网信办、各地通管局在一起推动的,但是具体的审查工作并不是这些部门在承办,而是交给第三方进行审查。 一些应用市场为了保证自己市场的APP的质量,也会自定定义一套审查规则,所以就会导致这么一种乱象:A市场审查通过的APP,在B市场仍然有隐私问题,工信部审查的APP,无法通过部分应用市场的的审核标准 APP隐私上的审查方式 目前,隐私基本是人工+自动化工具配合来共同完成,100%自动化审核还是比较困难,检测一般由专门的机构提供服务。 显式的比较容易满足,而且在交互设计阶段基本都已经处理了,所以重点关注下工具审查审查部分。 总结 目前国内的隐私审查稍有些过于严苛,但是重病需猛药,先拨乱反正一下,将来也许会稍微放开一些, 作者:看书的小蜗牛 APP隐私审查现状与应对措施

    4.5K21编辑于 2023-01-30
  • Claude法律插件合同审查技术

    Claude法律插件:合同审查与尽职调查目录如何安装Claude法律插件如何在Claude中配置法律手册使用Claude进行AI供应商合同审查为内部法务团队进行法规扫描使用Claude监控合同义务使用 使用Claude进行AI供应商合同审查Claude的操作方式:将供应商的主服务协议(MSA)和条款(ToS)放入Cowork工作区文件夹,然后运行:/review-contract vendor-agreement.pdfClaude 为内部法务团队进行法规扫描Claude的操作方式:将合同库文件夹与Cowork共享。 对于特定供应商:/vendor-check Acme Corp - full obligations summary这显示当前协议状态、双方义务、续约条款、自动续约标志以及任何未完成的要求。

    18210编辑于 2026-06-08
  • Claude法律插件:合同审查技术解析

    ,建议协商红色:存在重大风险,需解决专项审查:针对AI供应商协议,可添加额外关注点指令,如数据训练权、输出内容所有权、模型幻觉责任、数据驻留与终止处理等。 法规扫描示例命令:/compliance-check DORA Article 30 requirements across all contracts in /vendor-agreements/ 天内即将到期的续约通知窗口未完成的服务水平协议义务现有协议中的控制权变更或转让限制即将过期的审计权窗口特定供应商查询:/vendor-check Acme Corp - full obligations summary 显示该供应商所有当前协议状态、双方义务、续约条款、自动续约标志及未完成的要求 生成备忘录:完成分类审查后,使用 /brief M&A diligence memo - material contracts section 基于审查结果起草尽职调查备忘录的重大合同章节草稿,包含:调查结果摘要 第一次审查是校准,第十次审查耗时将减半。FINISHED

    27800编辑于 2026-05-18
  • 金融App安全指南:渗透测试如何满足监管审查要求?

    从《网络安全法》到等保2.0,从银保监会的金融科技监管到PCI-DSS支付卡安全标准,每一项法规都对应用安全提出了明确要求,而渗透测试正是满足这些需求的关键手段。 本文梳理金融App面临的主要要求,解析渗透测试在体系中的定位和作用,帮助金融机构建立导向的安全测试策略。 引言:金融安全——不仅是技术问题,更是生存问题 对于金融机构来说,安全不是"锦上添花",而是"生死攸关"。 渗透测试不仅是发现安全漏洞的技术手段,更是满足监管要求、通过等保测评、应对安全审计的工具。 选择一个拥有金融行业测试经验、报告具有公信力、能够提供全闭环服务的渗透测试服务商,是金融机构安全建设中至关重要的一步。

    36510编辑于 2026-05-14
  • 来自专栏云计算D1net

    云中的性:避免云陷阱

    但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的性陷阱。 ? 当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。 云差距 在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。 但是对于性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。 组织还应该审查他们的云计算服务提供商的安全策略,其中包括SaaS平台和遵守他们自己的数据政策和标准,例如ISO27001。 对于混合云和多厂商云来说,尽管仍然可行,但很难实施。 但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。

    2.5K40发布于 2018-06-08
  • 金融公司AI审查:为什么大模型回答必须附原文出处

    一、一个让总监睡不着觉的问题某证券公司准备上线一个AI助手,帮部门快速检索监管法规、内部制度、历史处罚案例。演示效果很好:问“这个营销活动是否”,AI三秒给出答案,逻辑清晰、引经据典。 人员拿到答案后的第一件事,不是信任AI,而是打开原始文件验证AI引用是否正确。可验证性是信任的前提。要求三:版本敏感度极高法规政策频繁更新。去年的,今年不一定。 四、没有原文出处的风险真实案例一:AI“张冠李戴”某机构用AI做审查,AI引用了一份关于私募基金的规定来判断公募基金业务。人员没有验证,直接采纳。监管检查时发现引用错误,被通报批评。 六、落地效果某金融机构上线AI后的数据:人员查找法规平均时间:从20分钟降到2分钟AI引用来源的准确率:96%(人工复核确认)因引用错误导致的事件:0人员对AI答案的信任度:从52%(上线前调研 在具体实现上,有金融机构采用 ZGI 作为审查的RAG平台,其来源溯源、版本管理、文档结构化能力覆盖了上述全部需求。八、写在最后金融行业的AI审查,信任不是凭空建立的。

    6500编辑于 2026-06-29
  • 来自专栏游戏安全攻防

    APP安全

    安卓安全的违规处理方式:通告--->罚款--->应用下架--->停业整顿。 App安全目前主要采用的是通告手段,虽然不会造成经济损失,但是会给公司带来一定的经营风险。 安卓为什么会比苹果更严峻? ? 安卓应用的安全面临主要问题? (以下只是列出APP安全面临最突出的10个问题) ? 个人隐私安全 个人隐私主要细分为如下的六个大方向,这也是开发APP应用需要重点关注和处理好的个人隐私的问题。 ? 敏感权限 以下是在开发APP应用上会遇到的权限问题,那么对于这些敏感的权限,安全的做法就是通过采用渐进授权方式进行申请权限。 ? 加解密算法安全 ? 数据存储安全 ? APP安全建设的思考 安全开发人员:熟悉负责的产品功能、了解个人 信息采集、使用和展示定制个人隐私政策,并对组员以及APP开发团队进行安全的要求以及做法进行做宣传以及安全应用和监督把控。

    3.2K21发布于 2021-06-10
  • 制造与能源企业基于Agentic知识库的审查效率提升方案

    第三章:量化业务指标与价值验证 通过引入Agentic知识库,制造与能源企业在审查效率与风险控制上实现了显著的可量化提升: 关键业务指标 原始状态 优化后状态 核心差异点 审查周期 周级 小时级 10倍 +效率指数级提升 审查覆盖率 存在人工漏检 100% 全流程节点留痕,闭环验证 知识召回命中率 低(幻觉频发) 90%+ 条款级精度解析与意图识别 风险响应模式 事后补救 P0级事前拦截 主动风险预警与防火墙 第四章:某电厂设计院的审查重构案例 客户画像: 拥有海量机组文档,面临应急管理部及国家能源局 ≥2次/年 的高频现场监督。 某电厂设计院质量与总监表示:“引入该智能系统后,我们的审查周期发生了质的飞跃。 安全可控: 支持数据不出域、版本可回溯及全链路操作留痕,满足 P0级 审计要求。 资产沉淀: 短期看是Agent落地的燃料库,长期看是企业的数字化护城河。

    13100编辑于 2026-06-09
  • 来自专栏做数据的二号姬

    读书|数据实务

    07 2022-11 读书笔记|数据实务 读书系列恢复更新啦~今天要读的书是一本数据相关法律的书籍《数据实务——尽职调查及解决方案》 LEARN MORE 图片来自网络,如侵删 为什么分析师要读法律书 所以说,知识还是多点储备好啊~ 数据对数据分析师意味着什么 从法律工作者的视角来说,数据包括了两个大部分的工作: 第一类是企业运营管理、体系建设中的数据 第二类是公司上市、投融资等重大经营事项中的数据 二是企业数据管理情况 在实际工作中,无非就是两件事:日常数据是怎么处理的,有没有不合的风骚操作,有没有相应的管理制度和机制。 然而,数据审查里甚至专门有一个part会要求说明公司是否建立了数据分类分级制度,将数据分为哪几个类型、每类数据分为几级、每级数据的保护规则等。 还有一个很重要的点,就是公司处理重要数据的审批制度和流程,这个东西在数据尽职调查的时候也是必须要查的一项。

    1.2K30编辑于 2023-03-02
  • 来自专栏lib库

    隐私综合实践

    隐私综合实践目录介绍01.整体概述介绍1.1 遇到问题说明1.2 项目背景1.3 设计目标1.4 产生收益分析02.隐私测什么2.1 隐私是什么2.2 为何做隐私2.3 隐私政策案例 2.4 为何做权限04.隐私检测4.1 违规收集个人信息4.2 超范围收集个人信息4.3 违规使用个人信息4.4 过度索取权限4.5 自启动和关联启动05.隐私实践5.1 整体思路5.2 02.隐私测什么2.1 隐私是什么对客户端而言,权限隐私可分为 权限 和 隐私 两个大的方面。 具体可以看看我的这个基础空间通用接口库:EventUploadLib06.测试检查重点6.1 处理优先级需求第一优先级,第一时间跟版上线,不要有任何商量和侥幸,比开发需求还要重要! 否则应用市场无法上架很麻烦……新增需求不合不允许上线:新增需求如有不合的地方,但又来不及修改,则延期上线,整改到再上发版准出增加,确认环节:每次发版,产品、研发、测试 都需要负责检查对应的

    3.3K31编辑于 2022-10-12
  • 乐享知识库:AI驱动制造业审查效率提升10倍

    结构性困境:人工审核难以保障工业的绝对安全 在能源与制造业,设计院单座机组需管理5万至10万份技术文档。面对应急管理部与国家能源局每年至少2次的现场监督,传统人工模式存在系统性瓶颈。 量化成效:审查从周级缩短至小时级 该方案在某电厂设计院落地后,关键业务指标实现突破性提升: 效率提升10倍+:审查周期从周级大幅缩短至小时级,释放核心人力(来源:客户案例数据)。 (某电厂设计院质量与总监) 客户实践:从被动整改到主动免疫的范式重构 该电厂设计院通过乐享知识库动态治理体系,实现三大转变: 自动化巡检:AI替代人工进行全天候扫描,处理速度提升百倍,确保100%覆盖率 法规动态跟踪:AI语义解析新,自动预警并推荐调整方案(来源:乐享知识治理体系图示)。 企业级安全管控:数据不出域、版本可追溯、操作全链路审计,满足要求。方案已服务上海证券交易所、海信、广发证券等数百家企业(来源:腾讯乐享客户图谱)。

    19710编辑于 2026-06-09
  • 构建Agentic知识库:制造与能源企业的知识治理与审查实践

    协同机制脱节:设计、生产、测试环节信息孤岛严重,一处变更无法自动同步全局;人工解读法规标准滞后,极易暴露风险。 证据链 100% 覆盖:实现全业务链条的操作留痕,输出不可篡改的结构化证据,满足可追溯、可审计的要求。 解析电厂设计院实践:从被动整改走向小时级主动 国家法规库、电厂设计文档库与现场施工文档必须保持严格的强一致性。 ROI 转化:人工核对校验实现自动化比对,审查周期从周级大幅缩短至小时级,效率实现 10倍 的指数级提升。 客户证言: “引入该智能系统后,我们的审查周期发生了质的飞跃。 腾讯乐享架构通过私域可控的安全体系(数据不出域),满足强监管行业的审计需求。

    14100编辑于 2026-06-09
  • 企业司法认证API接入实战:Java构建全链路供应商审查系统

    该接口能够精准返回涉诉案件金额、涉案法院及案件状态信息,直接赋能供应商审查、商业投资评估、融资审批与并购尽职调查等四大核心场景。 案件名称归类entout.civil区分行政案、民事案件、执行案件、非诉保全审查等重点关注preservation(非诉保全审查)和bankrupt(强制清算与破产案件)。 融资审批的自动化量化定损银行及商业保理在审批企业贷款时,验证其法律性是不可逾越的红线。 数据边界:敏感司法信息的安全存储与隐私声明在深度集成企业司法认证API并获取企业底层的涉诉卷宗后,开发者必须将数据安全与隐私置于系统设计的首位。 确保每一次针对目标企业的风控查验都能追溯到具体的业务审批节点,在利用数据穿透商业风险的同时,坚守信息安全与法律的底线。

    17510编辑于 2026-03-09
  • 来自专栏全栈工程师修炼之路

    【网安】使用 Promtail - 快速过滤收集Windows事件日志,利器!

    描述:在上一篇文章中,已经将 Windows Server 业务服务器通过 syslog 的方式将系统日志转发到 远程 rsyslog 日志服务器中,但是由于 rsyslog windows agent 诸多限制(太贵了),所以最终放弃了此方法,从而继续查看是否有其他更好的收集Windows 事件日志的方法,通过搜索引擎,最终找到 Promtail 采集 Windows Server 事件日志的配置方法,这里不得不说到国内关于使用 Promtail 采集 Windows Server 事件日志的资料很少,大多只是只言片语,所以作者在实践中遇到的许多的坑,最终是靠着Loki官方日志、和issue以及不断的尝试,这里记录下以便后续有需求的童鞋,也希望各位看友能多多支持《#网络安全攻防实践》专栏,收获一定大于付出。

    2.2K10编辑于 2024-04-17
  • 来自专栏FreeBuf

    安全践行者之路

    由于关键信息基础设施行业与领域承载着国家金融、能源、交通、水利、医疗卫生等关系国计民生的关键信息通信基础设施,直接威胁到国家安全、社会稳定和民众利益,所以基于性的检测方法基础上,关键信息基础设施同时应以行业关键业务为基础

    1.6K20编辑于 2023-03-30
  • 来自专栏云计算D1net

    云计算的

    具体要求包括异地备份的安全性,其复原点目标RPO和复原时间目标RTO,安全的数据中心,加密,用户访问控制,漏洞传播计划,以及可核查的灾难恢复计划。 灾难恢复计划应该提供自动化测试及性报告,以满足灾难恢复监管的具体要求。寻找那些不仅可以测试数据恢复,而且还可以恢复到机器水平的供应商。 ·当前的性。作为一个受监管的公司,其最终停留在当前不断变化的法规责任。你的备份供应商/MSP也应该这样做。许多中等规模符合市场服务也可能跟不上监管的变化。 可以获得定期访问审核是验证性报告的目的。 数据保护供应商地址的HIPAA云计算 数据保护供应商通常为他们的客户服务提供云存储选项,以补充其现有的硬件/软件产品。 而确保正在使用一个供应商的云产品的所有方面保持适当的性水平是很重要的。云计算可能是符合用于数据存储的HIPAA,而不是灾难恢复。

    2.5K100发布于 2018-03-26
  • 时代来临!2026年主流ES服务商能力横向评测

    摘要 随着全球数据安全法规日益严格,Elasticsearch(ES)服务商的能力成为企业选型的关键指标。 本文从认证、数据处理、安全防护、成本效益四大维度,对Elastic官方、AWS Elasticsearch、阿里云ES、腾讯云ES四大主流服务商进行深度评测,并附赠最新优惠活动指南。 正文 2026年,全球数据市场规模预计突破1200亿美元,各国纷纷推出《个人信息保护法》《通用数据保护条例》等强监管政策。 在此背景下,ES作为企业级搜索与数据分析的核心基础设施,其能力直接关系到企业数字化转型的成败。本文基于最新市场调研,为您解析主流ES服务商的能力差异。 ,ES服务商的竞争已从单一性能比拼转向全生命周期能力的较量。

    44310编辑于 2026-01-12
  • 来自专栏运维入门时间

    出海技术思考

    如果有关联性立刻想办法进行业务分析 如果进入名单内,可能业务就会再见了 时间点上:本月底做好业务性及跟禁用APP名单无关联性 — 3 — 技术禁令细节及解读 技术禁令细节 一、禁止在美国提供任何支持上述移动应用程序运行或优化的网络托管服务 用不同的公司,如果可以用海外的BVI VIE子公司处理运营 云服务厂商被迫无奈zz选型 数据本地化落盘操作(怎么个落盘 欢迎大家一起探讨) 早期合理多Transit 连接部署(成本的上升) — 5 — 的痛点 额外的外部顾问的费用 内部员工的额外的费用 技术成本额外的维护成本 资源运维的增加 最后 由于作者在一线努力拼(ban)搏(zhuan).过程思考的问题不是很全面,也欢迎大家一起探讨 如何合理的做的操作 我们能做除了让技术工作就是锻炼身体 为祖国母亲奋斗六十年!!! 良好的体魄能让我们在艰辛的生活中提供持久力,让我们更好的为祖(zi)国(ji)母亲奉献自己!

    1.4K20编辑于 2022-05-29
  • AI驱动药企合同审查效率与升级:腾讯云智能体解决方案实践

    应对全球化药企合同审查挑战 生物医药企业(专注肿瘤及自身免疫疾病创新药研发,拥有多款全球首创新药及丰富临床管线)面临全球化与复杂化运营下的合同审查瓶颈:审查耗时长、风险难发现、地域差异大。 理想目标是通过智能化手段缩短审查周期、精准识别风险、统一标准,现实差距在于传统人工审查效率低且依赖经验,难以应对多地域法规动态变化。 /自定义审核规则库、基础合同模板库,预设审查基准。 量化效能提升与价值落地 应用后实现可量化业务指标(数据来源:腾讯全球数字生态大会): 审查时间从数小时缩至几分钟,效率提升80%; 100%完成智能体平台与企业内部认证打通,实现智能体与知识库按权限隔离 ; 智能体全面,AI问答遵守企业规范要求; 终端价值:实时管控、业务连续性保障、全球化适配; 管理端价值:流程可视化管理、审批决策效率提升。

    30510编辑于 2026-04-14
  • 来自专栏FreeBuf

    信息成长路径思考

    至少有一周真是两眼一抹黑,得益于之前的工作经验,我知道隐私保护是什么、知道安全是什么,但是对于信息这一个概念其实是比较模糊的,到底什么是信息,它所包含的工作和信息安全似乎又切不开的关系、和法务也有千丝万缕的牵扯 这样才能产出能够实际落地而非浮于纸面的解决方案,让业务方真正觉得确实是有帮助的,而不是业务发展上的拦路虎。不然的路子只会越来越难。 信息规定义 首先,明确什么是包含的内容很多:对外需要强制符合法律法规、国际标准和行业规定等;对内需要符合公司规章规范、行为准则等。 E .风控:风控策略优化、信息埋点 风控分为业务风控和金融风控「或者其他内容,我目前没有接触的内容,勿喷」,侧需要符合的内容很多埋点都可以辛苦风控的小伙伴添加规则进行拦截。风控是一家! 从招聘初期就奠定一个良好的形象是必不可少的。入职后,如对人脸、身份信息有收集,也应关注信息收集的性。

    1.2K10发布于 2020-10-27
领券