凡泰证联 SDK 介绍
1. 什么是凡泰证联 SDK
凡泰证联SDK是根据行业合规应用市场 (opens new window)所要求的安全SDK标准研发的,其SDK标准大部分要求均与凡泰FinClip SDK一致,但在部分安全逻辑与数据上,凡泰FinClip SDK与行业合规应用市场的要求进行了对齐。
2. 凡泰证联SDK与凡泰FinClip SDK的区别
| 凡泰FinClip SDK | 凡泰-证联 SDK | |
|---|---|---|
| 环境地址 | 支持私有化,线上版本地址为 https://www.finclip.com | https://open.fdep.cn |
| SDK初始化 | 无SDK指纹 | 包含SDK指纹 |
| SDK加密方式 | 线上环境需使用MD5算法,私有化客户可自由选择MD5/国密算法 | 国密算法(SM3) |
3. 凡泰-证联SDK数据收集与使用说明
凡泰运行时SDK在数据收集与使用上,涉及以下几种场景:
- 为实现业务功能,小程序需要向用户获取权限,此类权限包括:相册、相机、地理位置等,权限获取方式通常为弹框;
- 为实现金融监管诉求,SDK提供
getSuperviseInfo接口,该接口以用户信息和设备信息为主,由小程序主动调用,数据流向为:App→SDK→小程序→小程序业务后端,SDK不做数据留痕; - 为实现行业合规应用市场留痕要求,SDK须收集一定业务数据、并向行业合规应用市场进行上报,该类数据不涉及用户敏感信息,以小程序信息和APP信息为主,数据流向为:App→SDK→行业合规应用市场;
现就以上三种模式做出以下说明:
3.1 为实现业务诉求发起的授权弹框
为满足APP对权限的管理,凡泰运行时SDK主动拆分为核心SDK和扩展SDK,除相册、相机以外的功能,都需要开发者主动集成扩展SDK后调用。如您对权限无需求场景,可不集成扩展SDK。
除了将运行时SDK按照权限内容进行拆分,为满足不同APP的灵活设置需要,我们同时提供 “禁止SDK主动发起权限申请” 的设置入口。开发者设置后,SDK将无法主动向用户获取任何权限,所有权限均来源于APP的统一授权。
详细设置方法可参考:
- 了解iOS的设置方法
- 了解Android的设置方法
综合扩展SDK及禁止功能,可参考下图理解其权限申请流向:
3.2 为实现业务监管提供的getSuperviseInfo接口
在大部分金融行业展业过程中,都须要向监管部门上报数据,此类信息涉及部分用户数据(如手机号、用户设备信息)等。 其中,部分数据在较高的Android/iOS系统中,无法由SDK直接获取,APP在用户端需要先获得授权。
所需上报信息请参考下表;
鉴于此要求,本接口由小程序主动调用,SDK在获取到App中已有授权后,会将数据字段补充并上报小程序,小程序自行将该数据内容回报至业务后端。并在自有系统内完成其余字段的补充。
在此过程中,SDK仅提供接口,不做任何数据留存。
本流程时序图如下:
3.3 为实现行业合规应用市场留痕,SDK的主动上报
行业合规应用市场为了实现对第三方引流业务的事中监控,需要对SDK及APP行为进行实时监控。这些监控内容由SDK主动上报至行业合规应用市场,并由行业合规应用市场运营人员汇总、筛选后,再根据诉求上报监管。
证联市场主要关注引流业务,因此收集、上报的数据包括如下内容:
- SDK基础信息,包括:当前SDK版本号;
- SDK所在应用信息,包括:应用名称、应用版本号;
- SDK宿主基础信息,包括:手机系统、手机型号;
- 小程序基础信息,包括:小程序ID、小程序及SDK异常(含异常发生时描述信息);
本流程时序图如下:
