发布日期:2024-04-02 浏览次数:147
游戏合规这件事,做完才是真的酷
再苦再难也要坚实网络安全第一,最近受政策影响,游戏行业虽说已不见前些年的风光。但依旧进行着游戏吸金的盛宴。各游戏厂商不断的推出新的游戏,去留存玩家时间价值拓展市场,同时也在等着对手犯错,去用现有优势游戏第一时间快速蚕食对手市场。某游戏公司忽略了安全等级保护复测,导致被核查,丢失了上亿的流水。损失近万用户,可见在做好游戏的同时网络安全也要打下坚实的网络安全长城。
游戏行业等保定级指南
游戏行业网络安全至关重要。以上海为例:新版等保2.0规定没出台之前,上海市早已强调并推动等保工作。早在2018年上海各区县网安就曾召开过游戏行业网络安全工作会,要求各游戏单位核实并进行网络安全达标,2018年3月28日,上海市信息网络安全管理协会还联合上海市网络游戏行业协会举办了游戏行业信息系统等级保护定级、测评辅导培训会议,同时提出了要符合国家等保定级备案及整改测评的强制要求。
总之,游戏行业过等保是必须的!不仅为了保障企业信息的安全运营也是国家信息安全重要一环,保障国家新质生产力的顺利和安全进行。已经有公司根据等保制度相关规定,不少游戏公司被黑客攻击,造成损失被网安责令整改、行政处罚、暂停注册、暂停运营等惩罚。
游戏行业哪些系统需要过等保
▲图来源于上海网络安全协会
游戏各系统对于等级保护的要求
举例如下:王某公司运营着各类游戏不下10款,涵盖手游/小程序/网游等,同时游戏用户可以通过各个端口便捷注册和支付,所以系统组成当中就存在用户管理系统,涉及到了用户的个人隐私信息和支付信息,那么,该系统有以下三种场景需要通过相应的等级保护要求。
A.游戏玩家充值通过银联、支付宝/微信等第三方接口,实名注册用户数奖金8万,暂无无其他信息系统,那么该系统必须通过二级的等级保护要求。
B.游戏玩家充值通过游戏公司自建的第三方支付平台,涉及计费认证系统,实名用户数在30万左右,涉及隐私和支付等关键信息,那么就必须通过等保三级。
C.游戏玩家充值通过银联、支付宝微信等第三方接口,实名用户数达百万级,(涉及大量个人隐私和支付数据)那么该系统也必须通过等保三级,
D.游戏玩家属国内,但是游戏服务器在国外,数据如需要进行出境,还需要向国家有关部门进行备案审查,得到准许后进行操作,如果涉及到欧盟数据还要进行GDPR合规操作。
▲图来源于上海网络安全协会,如有侵权请联系删除
《网络安全等级保护基本要求》解读
针对《网络安全等级保护基本要求》所建立的安全技术体系主要手段包括使用安全产品、加固系统配置和开发安全控制等。其中通过使用成熟的安全产品(硬件厂商包括奇安信/绿盟/华为等厂商。同时哥云厂商还有云上安全产品),可以快速满足合规要求。
游戏公司数据合规建议
等级保护措施
严格根据《网络安全法》第二十一条的规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
游戏公司涉及玩家用户数据较多,(具体可以咨询安智云科技,进行定级咨询)常见的一般是三级等保要求,应采取有效的等保措施:
(1)制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(2)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;
(3)采取技术措施,监测、记录网络运营状态、网络安全事件;
(4)采取数据分类、重要数据备份和加密认证等措施;
(5)对重要系统和数据库进行容灾备份。
公司人员管理,健全个人信息安全事件的应急处置制度等完备的网络完全措施可以咨询安智云科技,获取专属网络安全定制方案。
随着监管部门对于隐私保护的要求越来越高,游戏行业数据合规的要求也逐渐提高。游戏公司应当及时厘清数据合规的要求,健全数据保护措施,完善数据保护的相关协议。