凡泰证联 SDK 介绍

优质
小牛编辑
132浏览
2023-12-01

1. 什么是凡泰证联 SDK

凡泰证联SDK是根据行业合规应用市场 (opens new window)所要求的安全SDK标准研发的,其SDK标准大部分要求均与凡泰FinClip SDK一致,但在部分安全逻辑与数据上,凡泰FinClip SDK与行业合规应用市场的要求进行了对齐。

2. 凡泰证联SDK与凡泰FinClip SDK的区别

凡泰FinClip SDK凡泰-证联 SDK
环境地址支持私有化,线上版本地址为 https://www.finclip.comhttps://open.fdep.cn
SDK初始化无SDK指纹包含SDK指纹
SDK加密方式线上环境需使用MD5算法,私有化客户可自由选择MD5/国密算法国密算法(SM3)

3. 凡泰-证联SDK数据收集与使用说明

凡泰运行时SDK在数据收集与使用上,涉及以下几种场景:

  • 为实现业务功能,小程序需要向用户获取权限,此类权限包括:相册、相机、地理位置等,权限获取方式通常为弹框;
  • 为实现金融监管诉求,SDK提供getSuperviseInfo接口,该接口以用户信息和设备信息为主,由小程序主动调用,数据流向为:App→SDK→小程序→小程序业务后端,SDK不做数据留痕;
  • 为实现行业合规应用市场留痕要求,SDK须收集一定业务数据、并向行业合规应用市场进行上报,该类数据不涉及用户敏感信息,以小程序信息和APP信息为主,数据流向为:App→SDK→行业合规应用市场;

现就以上三种模式做出以下说明:

3.1 为实现业务诉求发起的授权弹框

为满足APP对权限的管理,凡泰运行时SDK主动拆分为核心SDK和扩展SDK,除相册、相机以外的功能,都需要开发者主动集成扩展SDK后调用。如您对权限无需求场景,可不集成扩展SDK。

除了将运行时SDK按照权限内容进行拆分,为满足不同APP的灵活设置需要,我们同时提供 “禁止SDK主动发起权限申请” 的设置入口。开发者设置后,SDK将无法主动向用户获取任何权限,所有权限均来源于APP的统一授权。

详细设置方法可参考:

综合扩展SDK及禁止功能,可参考下图理解其权限申请流向:

图片.png

3.2 为实现业务监管提供的getSuperviseInfo接口

在大部分金融行业展业过程中,都须要向监管部门上报数据,此类信息涉及部分用户数据(如手机号、用户设备信息)等。 其中,部分数据在较高的Android/iOS系统中,无法由SDK直接获取,APP在用户端需要先获得授权。

所需上报信息请参考下表;

图片.png

鉴于此要求,本接口由小程序主动调用,SDK在获取到App中已有授权后,会将数据字段补充并上报小程序,小程序自行将该数据内容回报至业务后端。并在自有系统内完成其余字段的补充。

在此过程中,SDK仅提供接口,不做任何数据留存。

本流程时序图如下:

图片.png

3.3 为实现行业合规应用市场留痕,SDK的主动上报

行业合规应用市场为了实现对第三方引流业务的事中监控,需要对SDK及APP行为进行实时监控。这些监控内容由SDK主动上报至行业合规应用市场,并由行业合规应用市场运营人员汇总、筛选后,再根据诉求上报监管。

证联市场主要关注引流业务,因此收集、上报的数据包括如下内容:

  • SDK基础信息,包括:当前SDK版本号;
  • SDK所在应用信息,包括:应用名称、应用版本号;
  • SDK宿主基础信息,包括:手机系统、手机型号;
  • 小程序基础信息,包括:小程序ID、小程序及SDK异常(含异常发生时描述信息);

本流程时序图如下:

图片.png