安全政策

符合 ISO/IEC 27001 与 SOC 2 标准

1. 简介

DeskCamera 是一款软件应用程序，可通过 ONVIF/RTSP 协议将计算机屏幕和音频流式传输到 NVR/VMS 系统。该软件完全在客户本地网络内运行，不传输、收集或存储任何用户数据或视频内容。其开发严格遵循安全标准和合规实践。

2. 政策目标

本政策旨在定义 DeskCamera 应用的安全框架与责任分工，以确保其机密性、完整性与可用性，并符合 ISO/IEC 27001 和 SOC 2 信任服务标准。

3. 关键安全原则

• 本地运行架构：

  DeskCamera 完全在客户的基础设施中运行，无需连接互联网或外部服务器。可选的 DeskCamera 云端连接仅用于许可证验证或检查更新。在此过程中不传输任何个人数据。

• 不收集数据：

  该应用程序不收集或传输任何用户数据、视频或遥测信息。

• 安全的源代码管理（ISO 27001 A.9, A.12）：

  源代码保存在受保护的 DevOps 仓库中，采用基于角色的访问控制、日志记录和定期审计。

• 签名构建版本（SOC 2 – 系统完整性）：

  所有应用程序构建版本均使用存储在硬件令牌（如 HSM 或 Yubikey）中加密保护的数字证书进行签名，符合现代加密与物理安全标准。

• 安全开发生命周期（SDLC）：

  DeskCamera 遵循安全开发生命周期，包括安全设计、代码审查、静态代码分析以及每年至少一次的渗透测试。

• 更新完整性（SOC 2 – 变更管理）：

  所有更新在发布前均需通过正式变更控制、回归测试和完整性验证。所有更改都通过版本控制系统进行追踪并保留审计记录。

4. 访问控制

• 仅授权人员可访问源代码或构建基础设施。

• 访问权限每季度审核一次（ISO/IEC 27001 A.9.2.5）。

• 所有访问和管理操作均记录并保留用于审计。

5. 供应商与第三方风险管理（ISO 27001 A.15）

• 所有第三方库和依赖项均被跟踪和监控。

• 每周审查安全公告，定期应用补丁。

• 避免使用高风险或不再受支持的组件，必要时使用沙箱隔离。

6. 事件响应准备（ISO 27001 A.16，SOC 2）

• 提供专用联系方式以报告漏洞和安全事件。

• 安全事件按结构化流程处理：发现、分类、隔离、修复、根本原因分析。

• 定期复盘经验教训，持续改进响应流程。

7. 客户责任

• 安装通过 DeskCamera 官方网站提供的软件更新。

• 维护安全的系统配置，并限制对 DeskCamera 终端的网络访问。

8. 合规与审查

本政策每年审查一次，或在系统或环境发生重大变更时进行审查。

9. 安全问题联系方式

如有安全相关问题，请联系：[email protected]