PII 掩码
在控制台和所有导出中为所有用户隐藏电子邮件和电话号码。有关更多详细信息,请参阅处理个人数据。SOC 2 Type II 和 ISO 27001/27701
OneSignal 已通过 SOC 2 和 ISO 认证。HIPAA
我们遵守 HIPAA 法规。GDPR
OneSignal 遵守 GDPR,并帮助其客户维护其 GDPR 责任。我们的数据中心位于欧盟。数据隐私框架
我们根据数据隐私框架获得认证,用于欧盟和美国之间的数据传输。第三方安全评估和漏洞扫描
我们与独立第三方进行年度安全评估。此外,我们还进行季度漏洞和渗透扫描。所有关键和高级发现都得到修复。工作站安全
我们所有的工作站都启用了防火墙、端点保护和静态加密。事件响应
我们建立了强大的事件响应程序。专门的安全组织
我们有一个专门的安全团队来监控和分类安全问题。行业标准加密
客户数据使用行业标准加密算法进行保护,包括静态和传输期间。单点登录 (SSO)
通过 WorkOS,OneSignal 支持使用流行身份提供商进行 SSO 登录。2FA 强制执行
管理员可以在整个组织中强制执行 2FA。人员安全
我们定期进行安全意识培训。对所有新员工进行背景调查。数据治理和保留
客户仍然是数据控制者,OneSignal 充当数据处理者。通过我们的 API 和 Journeys 发送的消息在删除前存储 30 天。通过我们的控制台消息表单发送的消息将存储直到您选择删除它。 用户数据在所有付费计划中保留,直到您选择删除它。在免费计划中,我们保留您在过去 18 个月中活跃的用户数据。数据导出
我们的平台提供易于使用的数据导出工具。常见问题
OneSignal 使用 cookies 吗?
OneSignal 的 Web SDK 不使用 cookies。我们确实使用本地存储和 IndexDB。 您可能会在浏览器中看到归属于 OneSignal 的 cookie__cf_bm
。此 cookie 由 Cloudflare 设置,用于对抗机器人。欧盟 cookie 法明确允许在未经用户同意的情况下实现系统功能的 cookies。Cloudflare 在其自己的严格必要政策中明确提到了这些 cookies;包括它们无法被选择退出。有关更多详细信息,请参阅这篇关于严格必要 cookies 不需要明确用户同意的 GDPR 解释器。
OneSignal SDK 收集哪些数据?
请参阅 OneSignal SDK 收集的数据。您建议如何在 OneSignal 中处理用户数据?
请参阅处理个人数据。OneSignal 符合 COPPA 吗?
OneSignal 自 2022 年 1 月 10 日起通过了家庭广告计划认证。 维护 COPPA 合规性是发布者的责任。但是,OneSignal 为在收集数据和提示推送之前收集用户同意提供了简单的解决方案。有关如何正确处理此交互的更多详细信息,可以在这篇文章中找到:如何在面向儿童的应用中实施符合 COPPA 的推送通知。我或我的用户如何选择退出(取消订阅)网络推送通知?
请参阅取消订阅通知。如何锁定或保护我的 OneSignal 账户?
建议所有 OneSignal 账户都设置两步验证和/或单点登录。 删除不需要访问您账户的团队成员。多人也不应共享单个账户。您应该为每个人关联 1 个电子邮件。 禁用、删除和/或轮换您的 API 密钥。有关详细信息,请参阅密钥和 ID。不要发布您的 API 密钥。这些密钥不应放置在任何公开可访问的地方,如 Github 或您的应用/网站内。 重置您的密码。有关详细信息,请参阅账户管理。如果”恶意行为者”获得我的 OneSignal REST API 密钥会怎样?
如果您认为您的 REST API 密钥已被泄露,您可以删除和/或轮换它。有关详细信息,请参阅密钥和 ID。如果”恶意行为者”获得我的 OneSignal App ID 会怎样?
您的 OneSignal App ID 是公开的。某人可能用此信息做的唯一事情是创建新的用户。但是,如果设备未通过有效方式订阅,该记录无法接收消息。 您可以通过身份验证防止用户相互冒充。如果”恶意行为者”获得 OneSignal 订阅会怎样?
用户自己的subscription_id
对该用户是公开的,发现它通常是无害的。它可以用于查看和更新有关用户订阅的标签和其他数据。因此,标签不应用于身份验证或存储敏感数据和个人身份信息。
您的应用程序或服务用户不应被授予访问其他用户的 subscription_id
的权限。这是因为 subscription_id
本身足以向该用户的设备发送通知。因此,属于其他人的 subscription_id
应该保密。
您可以通过身份验证防止用户相互冒充。