安全与合规

确保联网产品及其收集的数据、以及相关应用的安全,是Ayla一直聚焦的重点。我们的端到端IoT安全理念致力于对安全、数据访问、数据隐私和基础设施等方面进行严格控制。Ayla每年定期进行专业安全审计,拥有ISO-27001、SOC 2等一系列认证;Ayla还在《通用数据保护条例》(GDPR)的规定下对个人数据进行合规处理,确保消费者数据的安全.。

iot-platform 3分钟带你了解Ayla物联网平台

安全控制

Ayla的“全方位”安全理念体现于一整套先进的安全措施中,涵盖用户认证、数据传输、入侵防御等方面。这些安全措施包括:

• 设备通过唯一密钥进行认证

• 移动应用和设备之间的加密LAN Mode通信

• 数据加密——TLS加密的HTTPS、AES-128加密的UDP信道

• 分层访问控制,防止一个设备被攻破导致整个系统沦陷

• 通过第三方供应商进行渗透测试

数据访问控制

联网产品及其产生的数据通常会由很多不同的人员进行访问,包括朋友、家人、客服、产品运营、商业分析等等。为了确保某些数据只能授权给正确的访问者,Ayla提供了一系列访问控制策略。包括:

• 通过基于角色的访问控制(RBAC)框架,为OEM和第三方厂商定义角色,并规定各角色对设备和用户数据的访问权限

• 与家庭成员、客人之间安全的设备共享

• 对于能源管理、耗材补给等服务提供商,用户可以选择向他们共享设备数据

• 对数据访问记录进行跟踪,以用于审计和合规

数据隐私控制

消费者数据隐私的保护正在越来越受到公众瞩目。在Ayla的支持下,客户可以向消费者承诺提供最高级别的隐私保护。这些隐私保护措施包括:

• 通过接近控制,确保用户在绑定账号时对设备的物理持有

• 设备的注册用户掌握数据所有权,OEM制造商可以拥有基于角色的访问权限

• 已通过GDPR合规的Dashboard UI,可以保护对个人身份识别信息(PII)的访问

了解更多Ayla对GDPR的针对措施

基础设施安全

保护客户的数据和虚拟设备不被恶意攻击或窃取,是Ayla安全团队的关注重点。在Ayla平台所在的云基础设施(如AWS,GCP)上,我们部署了大量安全措施。这些措施包括:

• 所有服务部署在虚拟私有云(VPC)中,服务和数据库安装在不同的子网中

• 计算实例不能直接通过互联网访问,并在入侵检测系统保护之下

• 防火墙在网络层对服务进行保护

• 采用DDoS过滤器和Web应用防火墙

认证

为确保我们的安全实践始终符合于行业前沿的技术和标准,Ayla持续进行各种认证和年度审计。这些认证包括:

• SSAE16 / ISAE 3402 Type II:

◦ SOC2

• ISO-27001

◦ 国际最广泛认可和接受的独立安全标准之一