跳转到主要内容

Documentation Index

Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt

Use this file to discover all available pages before exploring further.

OneSignal 致力于保护存储在我们平台上的所有数据的隐私和安全。我们维护严格的安全控制,遵守领先的合规框架,并持续监控和改进我们的系统以确保您的数据安全。 本页面回答有关 OneSignal 数据处理、安全实践和合规认证的常见问题。

数据保护与合规

隐藏电子邮件地址和电话号码

您可以防止用户电子邮件地址和电话号码出现在 OneSignal 控制台或数据导出中。有关设置说明,请参阅处理个人数据

SOC 2 Type II 和 ISO 认证

OneSignal 维护以下独立安全认证: 这些审计验证了 OneSignal 的内部控制和隐私管理系统符合数据安全和运营完整性的最高标准。

HIPAA

OneSignal 遵守管理受保护健康信息 (PHI) 的客户的 HIPAA 要求。 在我们的 HIPAA 文档中了解更多信息。

GDPR

OneSignal 遵守欧盟通用数据保护条例 (GDPR),并帮助客户履行其 GDPR 责任。我们的主要数据中心位于欧盟。 有关详细信息,请参阅 GDPR 和个人权利

数据隐私框架

OneSignal 根据欧盟-美国数据隐私框架获得认证,用于欧盟和美国之间的合法数据传输。

安全实践

独立评估和漏洞扫描

我们进行年度第三方安全评估并执行季度漏洞和渗透扫描。所有关键和高严重性发现都会得到及时修复。

工作站安全

所有员工工作站包括:
  • 防火墙和端点保护
  • 全盘加密
  • 自动补丁管理

事件响应

我们维护强大的事件响应程序以快速检测、遏制和修复安全事件。

专门的安全组织

OneSignal 的安全团队持续监控、分类和响应与安全相关的事件。

加密

所有客户数据都使用行业标准算法进行加密,包括传输中 (TLS 1.2+) 和静态 (AES-256)。

单点登录 (SSO)

OneSignal 通过 WorkOS 支持 SSO,实现与主要身份提供商的集成。请参阅单点登录

双因素身份验证 (2FA)

组织管理员可以为所有团队成员强制执行两步验证 (2FA)。 请参阅两步验证

人员安全

所有员工都接受背景调查和定期安全意识培训

数据治理和保留

OneSignal 充当数据处理者,而客户仍然是数据控制者
  • 消息数据(通过 API 或 Journeys 发送):在删除前保留 30 天。
  • 控制台消息:保留直到手动删除。
  • 用户数据:
    • 在付费计划中无限期保留,直到删除。
    • 在免费计划中,不活跃 18 个月后保留。

数据导出

OneSignal 提供了轻松导出用户和消息数据的工具。请参阅导出数据

常见问题

我或我的用户如何选择退出推送通知?

用户可以在设备通知设置中禁用推送通知。对于网络推送通知,请参阅取消订阅通知。有关更多详细信息,请参阅订阅

OneSignal SDK 收集哪些数据?

请参阅 OneSignal SDK 收集的数据

OneSignal 使用 cookies 吗?

OneSignal 的 Web SDK 使用 cookies。它使用本地存储IndexedDB 来存储客户端数据。 您可能会看到名为 __cf_bm 的 Cloudflare cookie。此 cookie:
  • 由 Cloudflare 设置(而非 OneSignal)
  • 用于防止机器人
  • 被归类为绝对必要 cookie,根据欧盟 Cookie 法不需要同意
有关更多详细信息,请参阅 Cloudflare 的 cookie 政策GDPR 解释器

您建议如何在 OneSignal 中处理用户数据?

遵循我们在处理个人数据中的最佳实践。

OneSignal 符合 COPPA 吗?

OneSignal 自 2022 年 1 月 10 日起通过了家庭广告计划认证。 虽然 COPPA 合规性是发布者的责任,但 OneSignal 提供了工具来帮助您在数据收集或推送提示之前收集用户同意。请参阅获取用户同意此 COPPA 指南

如何保护我的 OneSignal 账户?

遵循以下安全最佳实践:
  1. 启用两步验证和/或单点登录
  2. 删除不必要的团队成员
  3. 避免共享登录;每个人都应有自己的 OneSignal 账户。
  4. 定期轮换或删除 API 密钥。请参阅密钥和 ID
  5. 根据需要重置密码。请参阅账户管理
切勿在公共存储库或客户端代码中暴露您的 REST API 密钥或应用密钥。

密码规则和策略是什么?

  • 密码最少需要 8 个字符,并且不能出现在已泄露密码数据库中。
  • 密码没有预定义的过期或轮换策略。

如果我的 REST API 密钥被泄露怎么办?

立即删除和轮换您的 API 密钥。有关说明,请参阅密钥和 ID

如果我的应用 ID 被暴露怎么办?

您的应用 ID 是公开的,可以安全共享——它只能用于创建新的用户记录。但是,除非用户通过有效方式订阅,否则无法接收消息。为了获得额外保护,请启用身份验证

如果订阅 ID 被暴露怎么办?

用户自己的 subscription_id 对该用户暴露是安全的——它只能修改自己的数据。但是,切勿共享其他用户的订阅 ID,因为这些可用于向特定设备发送通知。为了防止冒充,请使用身份验证