# SDK 安全隐私常见问题
# 1. FinClip 小程序 SDK 会收集哪些信息?
FinClip 小程序 SDK 及其收集信息的相关内容如下:
| SDK 名称 | 功能类型 | 收集数据类型 | 申请的权限 | 隐私政策链接 |
|---|---|---|---|---|
| FinClip 小程序 SDK | 小程序 SDK | 手机终端标识信息、IP、MAC地址;系统类型、系统版本、手机厂商、手机型号 | 定位、相机、相册、麦克风、存储、获取电话状态 | /operate/privacy-policy.html |
简单来说,当您在使用 FinClip 小程序时,可能需要根据使用环境在 App 中集成 FinClip 小程序 SDK(或 凡泰证联 SDK),SDK 会通过getSystemInfo或getSuperviseInfo (opens new window)接口向您的设备申请对应的信息,以便于完成 SDK 环境安全校验与安全监管要求。
您可以根据隐私要求将上述 FinClip 小程序 SDK 信息集成在您的《隐私协议》中。
请注意
当 SDK 收集以上数据后,依然需要开发者自行设定是否上报,数据仅会上传至开发者私有化部署环境中(即所有数据实质上依然留存在 APP 方数据库与 IT 环境内)。FinClip 小程序 SDK 无法获得任何业务与用户数据。
# 2. FinClip 小程序 SDK 对证券期货业相关安全标准的满足说明
中国证券监督管理委员会于2021年12月29日,公布了金融行业推荐性标准《证券期货业移动互联网应用程序安全检测规范》(JR/T 0240—2021 (opens new window)),该标准自公布之日起施行。
公告详情:【第48号公告】《证券期货业移动互联网应用程序安全检测规范》 (opens new window)
规范详情:证券期货业移动互联网应用程序安全检测规范 (opens new window)
在该公告发布后,FinClip 第一时间进行了相关标准内容的核查,经核查:FinClip 小程序 SDK 满足本次“安全监测规范”中涉及 SDK 业务的相关要求,同时,FinClip 提供了标准 SDK API 供开发者使用,以满足或实现对应能力。
# 3. 其他常见问题
# 3.1 FinClip 小程序 SDK 与 APP 之间会产生怎样的信息交互?
具体产生的信息交互,需要根据具体业务情况进行判断。
FinClip 小程序 SDK 自身不会进行任何数据或信息交互。如果通过 SDK 运行了一个需要用户登录状态的业务(即小程序),也需要通过接口实现传参。此时是否传参与传参细节,都是由 APP 自行控制、管理的。
# 3.2 FinClip 小程序 SDK 符合人行的《移动金融客户端应用软件安全管理规范》中相关要求吗?比如不存留客户信息,加壳、加固等?
符合。
FinClip 小程序 SDK 符合中国人民银行发布的《移动金融客户端应用软件安全管理规范(JR/T 0092-2019) (opens new window)》相关要求。
# 3.3 FinClip 小程序 SDK 升级后会出现相关安全问题吗?
不会出现。
如您需要升级 SDK ,也需要历经应用打包、发版等一系列操作,用户也需要在更新 APP 后,才能升级体验到新版本 SDK 中的相关能力。在此过程中的所有风险均是可监控,可预防的。
# 3.4 FinClip 小程序 SDK 有安全性检测报告吗,如何获取?
我们始终关注国内外的各种权威安全政策规范,并积极根据规章制度完善自身安全体系建设,完成相关认证。我们已经于 2021 年通过中国信息通信研究院的 SDK 安全专项评测,并于同年 10 月取得了评测证书。
如果您需要 FinClip 小程序 SDK 的检测报告副本,可以与我们联系。
# 3.5 FinClip 小程序 SDK 内 WebView File 协议使用的安全说明
在小程序 SDK 的 WebView 设置属性中,有三个属性是与 File Access 有关的:allowFileAccess, allowFileAccessFromFileURLs 和allowUniversalAccessFromFileURLs。
- allowFileAccess - 在Android Q 以及低于的版本中,默认值为 true,在Android R 以及高于的版本中,默认值为 false。在 FinClip 小程序 SDK(以下简称SDK) 中,无论版本,都设置为true,因为这是小程序框架 View 层的运行基础,目的是为了加载小程序内的相关页面和逻辑代码文件,SDK 不会加载小程序代码以外或者非小程序开发者指定的页面和逻辑代码文件,一旦将此属性设置为 false,小程序的页面将显示不正常,运行逻辑也不会正常执行。
- allowFileAccessFromFileURLs - 在 SDK 所支持的 Android 系统版本中,默认值都为false。这个属性在 SDK 内分为两个场景:小程序和小游戏。
- 在小程序场景,此值设置为 false,在 2.41.5 及以前的版本中,隐式的设置为false,在 2.41.5 以后的版本中,显式的设置为 false。
- 在小游戏场景,此值设置为 true,原因为下游戏中需要执行 WebGL 相关指令,这其中包含了类似 texImage2D或texSubImage2D 这样的指令,这类指令需要接触 corss-origin 数据,这就需要 allowFileAccessFromFileURLs 的支持,不然会报
Uncaught SecurityError: Failed to execute 'texImage2D' on 'WebGLRenderingContext': The image element contains cross-origin data, and may not be loaded.这样的错误,进而小游戏无法正常运行。
- allowUniversalAccessFromFileURLs - 在 SDK 所支持的 Android 系统版本中,默认值都为 false,在 2.41.5 及以前的版本中,隐式的设置为 false,在 2.41.5 以后的版本中,显式的设置为 false。
综上,allowFileAccess 由于 SDK 的运行机制问题,此值必须为 true;allowFileAccessFromFileURLs 在小程序场景为 false,在小游戏场景,受限于 WebGL 指令,此值必须为 true;allowUniversalAccessFromFileURLs 值一直都为 false。