数据安全体系建设
公司建立了由公司董事长兼总经理领导的网络安全专项保卫领导小组,全面负责公司数据安全与隐私保护工作的监督与决策,确保所有运营实践符合国内外监管要求。小组成员持有注册信息安全专业人员认证(CISP)、信息安全保障人员认证(CISAW)、国际信息安全认证专家(CISSP)、网络与信息安全应急人员认证(CCSRP)、注册渗透测试工程师(CISP-PTE)、ISO 27001信息安全管理体系审核员等安全领域权威认证。
公司采用分层管理模式,安全部、技术中台部、信息技术中心等部门各司其职,安全质量中心、客服团队和法务团队紧密协作,构建全链条安全管理体系,全面保障公司合法合规运营。
构建数据安全闭环
公司依据数据类型及重要性实行分级分类管理,制定专项安全策略,确保数据全生命周期的安全。
1、数据收集
公司严格遵守《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022),确保数据收集合规透明,杜绝非必要数据采集。采集用户个人隐私数据前,需将所采集的数据类型、数据用途、数据销毁方式等做出明确告知,同时赋予用户自主查阅、修改或删除个人信息的权利,在数据收集过程秉持合法、公开、最小化原则,最大限度地减少数据收集和保留。
2、数据传输
公司采用高防服务器、网络防火墙及流量监控,实时识别并拦截异常流量,防范黑客攻击。所有数据传输通道均经过加密,并严格限制访问权限,确保数据的安全性、完整性、保密性。
3、数据处理
公司对用户个人信息实施脱敏处理,严格限制用户信息用途,数据使用完成后集中归档处理。为进一步确保数据处理过程的安全,公司根据实际的业务工作分岗设限,最大程度保护数据隐私安全,如在生产网络中的加密数据由研发部门员工负责编写加、解密程序,但其无法直接访问到加密后的数据库;程序的加、解密密钥由运维员工单独配置。
4、数据存储
公司高度重视敏感个人信息的加密存储与访问控制。根据不同数据类型、私密程度采用不同的存储策略储存,不断提升自身加密存储、数据备份和恢复能力。公司采用安全的加密算法及密钥机制对用户数据进行加密存储,加密算法及密钥由不同部门单独管理,保证数据无法单独进行解密分析。
5、数据使用与共享
公司在用户隐私政策中披露用户个人信息的使用目的及方式,将其限定在产品运营必需范围内并征求玩家的同意。同时,公司内部人员访问数据时须遵守相关规则:公司在用户隐私政策中披露用户个人信息的使用目的及方式,将其限定在产品运营必需范围内并征求玩家的同意。同时,公司内部人员访问数据时须遵守相关规则:

6、数据销毁
公司依据法规制定严格的数据销毁流程,定期审查并清除或匿名化处理过期数据,确保数据全流程安全闭环管理,杜绝残留风险。