> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 数据收集和安全常见问题

> 了解 OneSignal 如何保护您的数据、维护合规性并支持隐私法规。

OneSignal 致力于保护存储在我们平台上的所有数据的隐私和安全。我们维护严格的安全控制,遵守领先的合规框架,并持续监控和改进我们的系统以确保您的数据安全。

本页面回答有关 OneSignal 数据处理、安全实践和合规认证的常见问题。

***

## 数据保护与合规

### 隐藏电子邮件地址和电话号码

您可以防止用户电子邮件地址和电话号码出现在 OneSignal 控制台或数据导出中。有关设置说明,请参阅[处理个人数据](./handling-personal-data#mask-personal-identifiable-information)。

### SOC 2 Type II 和 ISO 认证

OneSignal 维护以下独立安全认证:

* [SOC 2 Type II](./soc-2-type-ii)
* [ISO 27001 和 ISO 27701](./iso27001)

这些审计验证了 OneSignal 的内部控制和隐私管理系统符合数据安全和运营完整性的最高标准。

### HIPAA

OneSignal 遵守管理受保护健康信息 (PHI) 的客户的 HIPAA 要求。
在我们的 [HIPAA 文档](./hipaa)中了解更多信息。

### GDPR

OneSignal 遵守欧盟通用数据保护条例 (GDPR),并帮助客户履行其 GDPR 责任。我们的主要数据中心位于欧盟。
有关详细信息,请参阅 [GDPR 和个人权利](./gdpr-compliance)。

### 数据隐私框架

OneSignal 根据**欧盟-美国数据隐私框架**获得认证,用于欧盟和美国之间的合法数据传输。

***

## 安全实践

### 独立评估和漏洞扫描

我们进行**年度第三方安全评估**并执行**季度漏洞和渗透扫描**。所有关键和高严重性发现都会得到及时修复。

### 工作站安全

所有员工工作站包括:

* 防火墙和端点保护
* 全盘加密
* 自动补丁管理

### 事件响应

我们维护强大的**事件响应程序**以快速检测、遏制和修复安全事件。

### 专门的安全组织

OneSignal 的**安全团队**持续监控、分类和响应与安全相关的事件。

### 加密

所有客户数据都使用**行业标准算法**进行加密,包括**传输中** (TLS 1.2+) 和**静态** (AES-256)。

### 单点登录 (SSO)

OneSignal 通过 WorkOS 支持 **SSO**,实现与主要身份提供商的集成。请参阅[单点登录](./sso)。

### 双因素身份验证 (2FA)

组织管理员可以为所有团队成员强制执行**两步验证 (2FA)**。
请参阅[两步验证](./2-step-authentication)。

### 人员安全

所有员工都接受背景调查和定期**安全意识培训**。

***

## 数据治理和保留

OneSignal 充当**数据处理者**,而客户仍然是**数据控制者**。

* **消息数据**(通过 API 或 Journeys 发送):在删除前保留 30 天。
* **控制台消息**:保留直到手动删除。
* **用户数据**:
  * 在付费计划中无限期保留,直到删除。
  * 在免费计划中,不活跃 18 个月后保留。

### 数据导出

OneSignal 提供了轻松导出用户和消息数据的工具。请参阅[导出数据](./exporting-data)。

***

## 常见问题

### 我或我的用户如何选择退出推送通知?

用户可以在设备通知设置中禁用推送通知。对于网络推送通知,请参阅[取消订阅通知](./browser-behavior-and-unsubscribes)。有关更多详细信息,请参阅[订阅](./subscriptions)。

### OneSignal SDK 收集哪些数据?

请参阅 [OneSignal SDK 收集的数据](./data-collected-by-the-onesignal-sdk)。

### OneSignal 使用 cookies 吗?

OneSignal 的 Web SDK **不**使用 cookies。它使用**本地存储**和 **IndexedDB** 来存储客户端数据。

您可能会看到名为 `__cf_bm` 的 Cloudflare cookie。此 cookie:

* 由 Cloudflare 设置(而非 OneSignal)
* 用于防止机器人
* 被归类为*绝对必要* cookie,根据欧盟 Cookie 法不需要同意

有关更多详细信息,请参阅 Cloudflare 的 [cookie 政策](https://www.cloudflare.com/en-gb/cookie-policy/)和 [GDPR 解释器](https://gdpr.eu/cookies/)。

### 您建议如何在 OneSignal 中处理用户数据?

遵循我们在[处理个人数据](./handling-personal-data)中的最佳实践。

### OneSignal 符合 COPPA 吗?

OneSignal 自 2022 年 1 月 10 日起通过了**家庭广告计划**认证。

虽然 COPPA 合规性是发布者的责任,但 OneSignal 提供了工具来帮助您在数据收集或推送提示之前收集用户同意。请参阅[获取用户同意](./handling-personal-data#getting-user-consent)和[此 COPPA 指南](https://www.superawesome.com/blog/how-to-implement-coppa-compliant-push-notifications-in-kid-directed-apps/)。

### 如何保护我的 OneSignal 账户?

遵循以下安全最佳实践:

1. 启用[两步验证](./2-step-authentication)和/或[单点登录](./sso)。
2. 删除不必要的[团队成员](./manage-team-members)。
3. 避免共享登录;每个人都应有自己的 OneSignal 账户。
4. 定期轮换或删除 API 密钥。请参阅[密钥和 ID](./keys-and-ids)。
5. 根据需要重置密码。请参阅[账户管理](./apps-organizations)。

<Warning>
  切勿在公共存储库或客户端代码中暴露您的 REST API 密钥或应用密钥。
</Warning>

### 密码规则和策略是什么?

* 密码最少需要 8 个字符,并且不能出现在已泄露密码数据库中。
* 密码没有预定义的过期或轮换策略。

### 如果我的 REST API 密钥被泄露怎么办?

立即**删除和轮换**您的 API 密钥。有关说明,请参阅[密钥和 ID](./keys-and-ids)。

### 如果我的应用 ID 被暴露怎么办?

您的应用 ID 是**公开的**,可以安全共享——它只能用于创建新的用户记录。但是,除非用户通过有效方式订阅,否则无法接收消息。为了获得额外保护,请启用[身份验证](./identity-verification)。

### 如果订阅 ID 被暴露怎么办?

用户自己的 `subscription_id` 对该用户暴露是安全的——它只能修改自己的数据。但是,**切勿共享其他用户的订阅 ID**,因为这些可用于向特定设备发送通知。为了防止冒充,请使用[身份验证](./identity-verification)。

***
