物联网保安与隐私保密的信任框架

物联网安全与隐私保密的信任框架（2.5版）是由Online Trust Alliance（OTA）提出的一个互联网社会倡议，旨在为物联网设备在其整个生命周期中提供保护措施。该框架通过多利益相关者流程确定标准，涵盖了已连网的家庭、办公室和可穿戴技术，包括玩具、活动跟踪装置和健身设备等。框架明确了在购买产品前必须提供的全面公开信息，包括数据收集政策、使用情况和披露情况，以及保质过期后的保安修补方案和案件。它强调了在发现漏洞和发出攻击后，保安更新的必要性，以及设备更新难度和数据保密相关问题。 该框架分为四个主要部分：保安原则（1-12）、用户访问和凭据（13-17）、隐私保密、公开信息和透明度（18-33）、通知和相关最佳做法（34-40）。保安原则包括实施严格的软件开发保安流程、数据保安原则、供应链管理、渗透测试和漏洞报告计划。用户访问和凭据部分涉及对所有密码和用户名称加密的要求、唯一密码设备的货运、普遍接受的密码重置流程的实施等。隐私保密、公开信息和透明度部分与普遍接受的保密原则一致，包括包装上、销售点和/或在线公布的醒目的公开信息，用户用于将设备设置重置为出厂设置的功能，以及适用监管要求的遵从程度。通知和相关最佳做法部分包括对安保通知要求进行电子邮件身份验证，以及必须向阅读水平各异的用户清楚地传递消息。 该框架旨在作为开发人员、采购人员和零售人员的风险评估指南，并作为未来物联网认证计划的基础。它的目标是揭示符合这些标准的设备，帮助消费者及公共部门和私营产业作出知情的购买决策。框架及相关资源可在OTA官网获取。OTA是Internet Society（ISOC）内部实施的计划，ISOC是一个501c3慈善非营利组织，致力于促进互联网的包容性发展和全球人民的受益。