数据收集和安全常见问题

OneSignal 致力于保护存储在我们平台上的所有数据的隐私和安全。我们维护严格的安全控制,遵守领先的合规框架,并持续监控和改进我们的系统以确保您的数据安全。本页面回答有关 OneSignal 数据处理、安全实践和合规认证的常见问题。

数据保护与合规

隐藏电子邮件地址和电话号码

您可以防止用户电子邮件地址和电话号码出现在 OneSignal 控制台或数据导出中。有关设置说明,请参阅处理个人数据。

SOC 2 Type II 和 ISO 认证

OneSignal 维护以下独立安全认证:

这些审计验证了 OneSignal 的内部控制和隐私管理系统符合数据安全和运营完整性的最高标准。

HIPAA

OneSignal 遵守管理受保护健康信息 (PHI) 的客户的 HIPAA 要求。在我们的 HIPAA 文档中了解更多信息。 OneSignal 遵守欧盟通用数据保护条例 (GDPR),并帮助客户履行其 GDPR 责任。我们的主要数据中心位于欧盟。有关详细信息,请参阅 GDPR 和个人权利。

数据隐私框架

OneSignal 根据欧盟-美国数据隐私框架获得认证,用于欧盟和美国之间的合法数据传输。

安全实践

独立评估和漏洞扫描

我们进行年度第三方安全评估并执行季度漏洞和渗透扫描。所有关键和高严重性发现都会得到及时修复。

工作站安全

所有员工工作站包括:

防火墙和端点保护
全盘加密
自动补丁管理

事件响应

我们维护强大的事件响应程序以快速检测、遏制和修复安全事件。

专门的安全组织

OneSignal 的安全团队持续监控、分类和响应与安全相关的事件。

加密

所有客户数据都使用行业标准算法进行加密,包括传输中 (TLS 1.2+) 和静态 (AES-256)。

单点登录 (SSO)

OneSignal 通过 WorkOS 支持 SSO,实现与主要身份提供商的集成。请参阅单点登录。

双因素身份验证 (2FA)

组织管理员可以为所有团队成员强制执行两步验证 (2FA)。请参阅两步验证。

人员安全

所有员工都接受背景调查和定期安全意识培训。

数据治理和保留

OneSignal 充当数据处理者,而客户仍然是数据控制者。

消息数据(通过 API 或 Journeys 发送):在删除前保留 30 天。
控制台消息:保留直到手动删除。
用户数据:
- 在付费计划中无限期保留,直到删除。
- 在免费计划中,不活跃 18 个月后保留。

数据导出

OneSignal 提供了轻松导出用户和消息数据的工具。请参阅导出数据。

常见问题

我或我的用户如何选择退出推送通知?

用户可以在设备通知设置中禁用推送通知。对于网络推送通知,请参阅取消订阅通知。有关更多详细信息,请参阅订阅。

OneSignal SDK 收集哪些数据?

请参阅 OneSignal SDK 收集的数据。

OneSignal 使用 cookies 吗?

OneSignal 的 Web SDK 不使用 cookies。它使用本地存储和 IndexedDB 来存储客户端数据。您可能会看到名为 __cf_bm 的 Cloudflare cookie。此 cookie:

由 Cloudflare 设置(而非 OneSignal)
用于防止机器人
被归类为绝对必要 cookie,根据欧盟 Cookie 法不需要同意

有关更多详细信息,请参阅 Cloudflare 的 cookie 政策和 GDPR 解释器。

您建议如何在 OneSignal 中处理用户数据?

遵循我们在处理个人数据中的最佳实践。

OneSignal 符合 COPPA 吗?

OneSignal 自 2022 年 1 月 10 日起通过了家庭广告计划认证。虽然 COPPA 合规性是发布者的责任,但 OneSignal 提供了工具来帮助您在数据收集或推送提示之前收集用户同意。请参阅获取用户同意和此 COPPA 指南。

如何保护我的 OneSignal 账户?

遵循以下安全最佳实践:

启用两步验证和/或单点登录。
删除不必要的团队成员。
避免共享登录;每个人都应有自己的 OneSignal 账户。
定期轮换或删除 API 密钥。请参阅密钥和 ID。
根据需要重置密码。请参阅账户管理。

切勿在公共存储库或客户端代码中暴露您的 REST API 密钥或应用密钥。

密码规则和策略是什么?

密码最少需要 8 个字符,并且不能出现在已泄露密码数据库中。
密码没有预定义的过期或轮换策略。

如果我的 REST API 密钥被泄露怎么办?

立即删除和轮换您的 API 密钥。有关说明,请参阅密钥和 ID。

如果我的应用 ID 被暴露怎么办?

您的应用 ID 是公开的,可以安全共享——它只能用于创建新的用户记录。但是,除非用户通过有效方式订阅,否则无法接收消息。为了获得额外保护,请启用身份验证。

如果订阅 ID 被暴露怎么办?

用户自己的 subscription_id 对该用户暴露是安全的——它只能修改自己的数据。但是,切勿共享其他用户的订阅 ID,因为这些可用于向特定设备发送通知。为了防止冒充,请使用身份验证。

开始使用和设置

消息渠道

旅程

受众和自定义事件

分析和集成

隐私和安全

数据收集和安全常见问题

数据保护与合规

隐藏电子邮件地址和电话号码

SOC 2 Type II 和 ISO 认证

HIPAA

数据隐私框架

安全实践

独立评估和漏洞扫描

工作站安全

事件响应

专门的安全组织

加密

单点登录 (SSO)

双因素身份验证 (2FA)

人员安全

数据治理和保留

数据导出

常见问题

我或我的用户如何选择退出推送通知?

OneSignal SDK 收集哪些数据?

OneSignal 使用 cookies 吗?

您建议如何在 OneSignal 中处理用户数据?

OneSignal 符合 COPPA 吗?

如何保护我的 OneSignal 账户?

密码规则和策略是什么?

如果我的 REST API 密钥被泄露怎么办?

如果我的应用 ID 被暴露怎么办?

如果订阅 ID 被暴露怎么办?

开始使用和设置

消息渠道

旅程

受众和自定义事件

分析和集成

隐私和安全

​数据保护与合规

​隐藏电子邮件地址和电话号码

​SOC 2 Type II 和 ISO 认证

​HIPAA

​GDPR

​数据隐私框架

​安全实践

​独立评估和漏洞扫描

​工作站安全

​事件响应

​专门的安全组织

​加密

​单点登录 (SSO)

​双因素身份验证 (2FA)

​人员安全

​数据治理和保留

​数据导出

​常见问题

​我或我的用户如何选择退出推送通知?

​OneSignal SDK 收集哪些数据?

​OneSignal 使用 cookies 吗?

​您建议如何在 OneSignal 中处理用户数据?

​OneSignal 符合 COPPA 吗?

​如何保护我的 OneSignal 账户?

​密码规则和策略是什么?

​如果我的 REST API 密钥被泄露怎么办?

​如果我的应用 ID 被暴露怎么办?

​如果订阅 ID 被暴露怎么办?

数据保护与合规

隐藏电子邮件地址和电话号码

SOC 2 Type II 和 ISO 认证

HIPAA

GDPR

数据隐私框架

安全实践

独立评估和漏洞扫描

工作站安全

事件响应

专门的安全组织

加密

单点登录 (SSO)

双因素身份验证 (2FA)

人员安全

数据治理和保留

数据导出

常见问题

我或我的用户如何选择退出推送通知?

OneSignal SDK 收集哪些数据?

OneSignal 使用 cookies 吗?

您建议如何在 OneSignal 中处理用户数据?

OneSignal 符合 COPPA 吗?

如何保护我的 OneSignal 账户?

密码规则和策略是什么?

如果我的 REST API 密钥被泄露怎么办?

如果我的应用 ID 被暴露怎么办?

如果订阅 ID 被暴露怎么办?