Вопросы в рамках оценки защиты данных

Здесь вы найдете все вопросы для прохождения оценки защиты данных. Если вопросы в вашей оценке начинаются с цифр 3.1, вы получили ее 15 февраля 2024 г. или позже. Эти вопросы перечислены ниже.

Если вопросы в вашей оценке не имеют номеров, вы получили ее до 15 февраля 2024 г. Старые вопросы перечислены в этой статье.

Ниже перечислены вопросы, задаваемые в рамках обновленной процедуры оценки защиты данных в 2024 году. Вы заметите, что номера вопросов начинаются с соответствующего номера версии: для версии 3.1 вопросы будут выглядеть как 3.1-1, 3.1-2 и т. д. Мы постоянно обновляем свои вопросы, чтобы они соответствовали отраслевым стандартам. Разработчики могут получать разные вопросы в зависимости от того, когда они получили оценку.

Инструкции:

Мы рекомендуем администраторам приложений изучить эти вопросы с привлечением внутренних специалистов, чтобы обеспечить соответствие своих приложений Условиям платформы. Если для какого-либо приложения потребуется оценка защиты данных, все администраторы этого приложения будут уведомлены об этом.
Обратите внимание: принимаются ответы только на английском языке. Вы можете использовать любые средства перевода, необходимые для представления вашей оценки на английском языке.
Вопросы в этом документе представлены исключительно для информации. Вопросы по каждому отдельному приложению будут различаться в зависимости от того, к каким данным у этого приложения есть доступ. Для данных некоторых типов, возможно, также потребуется представить факты, подтверждающие ваши ответы.
Если в настоящий момент вы проводите оценку защиты данных или готовите ответы на последующие вопросы наших проверяющих специалистов, просим вас не прерывать эти процессы и обратить внимание на то, что вопросы, на которые вы отвечаете сейчас, могут отличаться от обновленных вопросов, представленных здесь.

Использование данных

3.1-1. Использует ли приложение данные платформы в ущерб интересам определенных людей (под этим понимается, что одни люди получают то, что недоступно другим) с учетом их расы, этнической принадлежности, цвета кожи, национального происхождения, религии, возраста, половой принадлежности, сексуальной ориентации, гендерной идентичности, семейного положения, ограниченных возможностей, медицинского состояния или наследственного заболевания?

Этот вопрос не распространяется на использование информации о половой принадлежности, гендерной идентичности и возрасте в приложениях для знакомств, о половой принадлежности и гендерной идентичности для определения языковых предпочтений, о возрасте для ограничения доступа к материалам, предназначенным для взрослых, или в других подобных ситуациях, в которых данные платформы используются для повышения удобства работы с приложением. Если ваше приложение имеет отношение к одному из вышеперечисленных вариантов использования, выбирайте ответ "Нет" (при условии, что вы не используете информацию в ущерб интересам тех или иных групп людей).

[ ] Да
[ ] Нет

Если вы ответили "Да", потребуется ответить на следующие дополнительные вопросы:

3.1-1.a.A. Какие данные платформы приложение использует в ущерб интересам определенных людей с учетом их расы, этнической принадлежности, цвета кожи, национального происхождения, религии, возраста, половой принадлежности, сексуальной ориентации, гендерной идентичности, семейного положения, ограниченных возможностей, медицинского состояния или наследственного заболевания?

3.1-1.a.B. Каким образом приложение использует данные платформы в ущерб интересам определенных людей с учетом их расы, этнической принадлежности, цвета кожи, национального происхождения, религии, возраста, половой принадлежности, сексуальной ориентации, гендерной идентичности, семейного положения, ограниченных возможностей, медицинского состояния или наследственного заболевания?

3.1-1.a.C. Когда приложение начало использовать данные платформы подобным образом?

3.1-2. Использует ли приложение данные платформы для принятия решений, связанных с обеспечением жильем, с возможностями трудоустройства, страхования или учебы, а также с получением кредитов, государственных льгот или статуса иммигранта?

Если вы ответили "Да", потребуется ответить на следующие дополнительные вопросы:

3.1-2.a.A. Какие данные платформы приложение использует для принятия решений, связанных с обеспечением жильем, с возможностями трудоустройства, страхования или учебы, а также с получением кредитов, государственных льгот или статуса иммигранта?

3.1-2.a.B. Каким образом приложение использует данные платформы для принятия решений, связанных с обеспечением жильем, с возможностями трудоустройства, страхования или учебы, а также с получением кредитов, государственных льгот или статуса иммигранта?

3.1-2.a.C. Когда приложение начало использовать данные платформы подобным образом?

3.1-3. Использует ли приложение данные платформы для тех или иных действий, связанных с наблюдением за людьми? Наблюдение включает в себя обработку данных платформы о людях, группах или событиях в целях обеспечения правопорядка или национальной безопасности.

Если вы ответили "Да", потребуется ответить на следующие дополнительные вопросы:

3.1-3.a.A. Какие данные платформы приложение использует для тех или иных действий, связанных с наблюдением?

3.1-3.a.B. Каким образом приложение использует данные платформы для тех или иных действий, связанных с наблюдением?

3.1-3.a.C. Когда приложение начало использовать данные платформы для этой цели?

Доступ к данным

3.1-4. Некоторые из следующих вопросов касаются поставщиков услуг и их подрядчиков. Поставщик услуг — это лицо или компания, которая предоставляет вам услуги, связанные с использованием платформы или данных платформы. Подрядчик поставщика услуг — это поставщик, который привлекается другим поставщиком для предоставления ему услуг, связанных с данными платформы.

Google Cloud и Amazon Web Services (AWS) являются примерами общеизвестных крупных поставщиков услуг, однако для обработки или использования данных платформы вы также можете сотрудничать и с другими организациями, например локальными компаниями, которые занимаются веб-разработкой и находятся в вашей стране или в вашем регионе.

Занимаетесь ли вы чем-либо из перечисленного далее?

Выберите все подходящие варианты.

a. Я не предоставляю доступ к данным платформы, которые получаю через это приложение.
b. Продажа или лицензирование права на использование данных платформы другим лицам или компаниям, либо оказание содействия или поддержки другим лицам при проведении подобной деятельности.
c. Покупка данных платформы у другого лица или компании, либо оказание содействия или поддержки другим лицам в подобной деятельности.
d. Предоставление другим лицам или компаниям данных платформы для обеспечения возможности предоставлять услуги вам (поставщик услуг).
e. Предоставление другим лицам или компаниям (не входящим в вашу организацию) данных платформы для обеспечения доступа и использования платформы или данных платформы.
f. Предоставление данных платформы по прямому поручению пользователя этого приложения.
g. Предоставление данных платформы в иных (не перечисленных здесь) целях (поясните).

Если в вопросе 3.1-4 вы выбрали ответ b, потребуется ответить на следующие вопросы:

3.1-4.a.A. Какие типы данных платформы вы продаете или лицензируете?

3.1-4.a.B. Какие разрешения, функции, возможности и другие каналы это приложение использует для обработки и сбора таких данных платформы?

3.1-4.a.C. Укажите всех юридических лиц, все компании и все третьи стороны, которым вы продаете или лицензируете право на использование Данных платформы, получаемые через это приложение, и поясните причину передачи такой информации в каждом отдельном случае.

3.1-4.a.D. Когда вы начали продажу или лицензирование права на использование данных платформы?

Если в вопросе 3.1-4 вы выбрали ответ d, потребуется ответить на следующие вопросы:

3.1-4.b. Выше вы указали, что предоставляете доступ к данным платформы поставщикам услуг. Установите флажки ниже, чтобы указать, каким поставщикам услуг вы предоставляете доступ к данным платформы. Следующие вопросы помогут вам описать поставщиков услуг, которым вы предоставляете доступ к данным платформы, и пояснить, каким образом и по какой причине вы это делаете.

Примечание. Не указывайте в качестве поставщиков услуг сервисы и продукты компании Meta.

Выберите все подходящие варианты. Если вы предоставляете доступ к данным платформы нескольким поставщикам услуг, перечисленным ниже, а также другим поставщикам, не указанным здесь, выберите все подходящие варианты, а также установите флажок "Другое". Например, можно выбрать Apple, Google и пункт "Другое", чтобы указать всех своих поставщиков услуг.

a. Google (например, Play Store, Firebase, Cloud, AdMob, Analytics)
b. Amazon (например, Amazon Web Services)
c. Salesforce (например, Heroku, Marketing Cloud)
d. Apple (например, App Store)
e. Microsoft (например, App Center, Azure, Playfab)
f. Github
g. ppLovin (например, Adjust)
h. Appsflyer
i. Stripe
j. Twilio (например, Segment, SendGrid)
k. Другое (вам будет предложено загрузить список)

Если в вопросе 3.1-4.b вы выбрали ответ k, потребуется ответить на следующие вопросы:

3.1-4.b.i. Загрузите файл в формате .csv или Excel со списком всех поставщиков услуг, которым вы предоставляете данные платформы, в дополнение к указанным в списке выше. Убедитесь, что файлы не защищены паролем. Вы можете загрузить несколько файлов объемом до 2 ГБ каждый. Мы принимаем файлы в форматах .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip и .zipx.

Если в вопросе 3.1-4 вы выбрали ответ d, а в вопросе 3.1-4.b — ответ k, потребуется ответить на следующие вопросы:

3.1-4.c. Есть ли у вас письменное соглашение с каждым поставщиком услуг, которому вы предоставляете доступ к данным платформы, в соответствии с которым такой поставщик (и каждый привлеченный им подрядчик, если таковой имеется) обязан использовать данные платформы только по вашему поручению и исключительно для предоставления запрошенной вами услуги, а не в своих личных целях или для удовлетворения потребностей своих клиентов?

Письменным соглашением могут быть пользовательское соглашение, стандартный несогласованный договор или подписанный контракт. Например, если в качестве поставщика услуг вы используете сервис Google Cloud, письменным соглашением является принятое вами Пользовательское соглашение.

[ ] Да [ ] Нет

Если вы выбрали вариант "Да", потребуется ответить на следующие вопросы:

3.1-4.c.i. Отметьте в списке ниже типы формулировок, содержащихся в ваших письменных соглашениях с поставщиками услуг. Выберите все подходящие варианты.

a. Требование к поставщикам услуг использовать данные платформы только для предоставления запрошенных вами услуг.

b. Требование к поставщикам услуг использовать данные платформы только в соответствии с вашими инструкциями.

c. Запрет для поставщиков услуг на передачу данных платформы третьим лицам без вашего указания.

d. Запрет для поставщиков услуг на обработку данных платформы в своих собственных целях или в целях третьих лиц.

e. Требование к поставщикам услуг удалять полученные от вас данные платформы, если вы прекращаете пользоваться их услугами.

3.1-4.c.iv. Известны ли вам случаи, когда ваши поставщики услуг (или их подрядчики, если таковые имеются) выполняли действия, нарушающие Условия использования платформы Meta, например продавали данные платформы или не удаляли их после того, как вы прекратили пользоваться их услугами?

[ ] Да [ ] Нет

3.1-4.c.v. Если вы прекратите сотрудничество с поставщиком услуг или его подрядчиком, определено ли в ваших соглашениях с ним (например, в пользовательском соглашении), каким образом и когда этот поставщик услуг должен удалить полученные от вас данные?

[ ] Да [ ] Нет

Если в вопросе 3.1-4.c.v вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-4.c.vi. Если вы прекратите сотрудничество с поставщиком услуг или его подрядчиком, как вы сможете гарантировать, что он удалит полученные от вас данные платформы?

Если в вопросе 3.1-4 вы выбрали ответ e, потребуется ответить на следующие вопросы:

3.1-4.d. Следующие вопросы касаются поставщиков технических услуг — разработчиков приложений, обеспечивающих интеграции платформы от имени заказчиков или клиентов, которые должны иметь возможность пользоваться и управлять своими данными в продуктах Meta. Например, поставщиками технических услуг являются системы и организации, действующие по модели SaaS (программное обеспечение как услуга).

Определение поставщика технических услуг: лицо или компания, которым предоставлен доступ к API Meta для создания, обслуживания и удаления интеграций от имени других лиц или организаций. Сюда входят лица или компании, которые создают отдельную интеграцию от имени одного или нескольких клиентов.

Выше вы указали, что это приложение позволяет людям или компаниям (клиентам) получать доступ к данным платформы и использовать их. Это означает, что вы являетесь поставщиком технических услуг.

Обрабатываете ли вы данные платформы, получаемые через это приложение, исключительно от имени и по поручению ваших клиентов? [ ] Да [ ] Нет

Если в вопросе 3.1-4.d вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-4.d.i.A. Помимо обработки данных платформы от имени и по поручению своих клиентов, для кого ещё вы обрабатываете такие данные?

3.1-4.d.i.B. Какие данные платформы вы обрабатываете для этого лица или компании?

3.1-4.d.i.C. С какой целью вы обрабатываете данные платформы для этого лица или компании?

3.1-4.d.i.D. Когда вы начали обрабатывать такие данные платформы?

3.1-4.d.i.E. Каким образом вы обрабатываете эти данные платформы?

3.1-4.e. Вы храните данные платформы каждого из своих клиентов отдельно (будь то физически или логически, например в отдельных таблицах) от данных других своих клиентов и от данных, которые вы храните для собственных целей?

[ ] Да [ ] Нет

Если в вопросе 3.1-4.e вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-4.f. Вы указали, что предоставляете доступ к данным платформы при обстоятельствах, отличных от обозначенных в предыдущих вопросах. Опишите, к каким данным вы предоставляете доступ в этих обстоятельствах.

Где они хранятся?
Как вы храните и защищаете данные?
У кого есть доступ?
Каким образом контролируется доступ?

Если вы выбрали вариант "Другое (поясните)", откроется такой экран:

Вы указали, что предоставляете доступ к данным платформы при обстоятельствах, отличных от обозначенных в предыдущих вопросах. Опишите, к каким данным вы предоставляете доступ в этих обстоятельствах.

Обязательно ответьте на следующие вопросы:

Помимо отдельных пользователей этого приложения или сайта, кому ещё вы предоставляете доступ к этим данным?
Каким образом предоставляется доступ к данным?
Когда вы начали предоставлять доступ к данным упомянутым юридическим лицам?
В настоящий момент доступ к данным по-прежнему предоставляется?

3.1-4.f.i. В отношении данных платформы, доступ к которым предоставляется в других обстоятельствах, есть ли у вас письменное соглашение с каждым получателем данных платформы, которое запрещает ему использовать эти данные таким образом, который может нарушать установленные компанией Meta Условия использования платформы и Правила для разработчиков (или любые другие условия, распространяющиеся на использование вами данных платформы)?

Примерами письменного соглашения могут быть пользовательское соглашение, стандартный несогласованный договор или подписанный контракт.

[ ] Да [ ] Нет

3.1-4.g. Насколько вам известно, нарушали ли какие-либо из этих получателей данных платформы условия платформы Meta? Например, путем продажи или покупки данных платформы, а также оформления лицензий на них.

[ ] Да [ ] Нет

Если в вопросе 3.1-4.g вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-4.g.i. Вы указали выше, что получатели данных платформы нарушали Условия платформы Meta. Предоставьте подробную информацию.

Если в вопросе 3.1-4 вы выбрали ответ f, потребуется ответить на следующие вопросы:

3.1-4.i.A. Выше вы указали, что предоставляете доступ к данным платформы, которые получаете через это приложение, другим лицам или компаниям, если пользователи напрямую поручают вам предоставлять данные платформы.

Опишите, каким образом пользователи поручают вам передавать данные платформы другим лицам или компаниям.

3.1-4.i.B. Загрузите снимки экрана, демонстрирующие процесс получения согласия на такую передачу данных. Убедитесь, что файлы не защищены паролем. Вы можете загрузить несколько файлов объемом до 2 ГБ каждый. Мы принимаем файлы в форматах .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip и .zipx.

Удаление данных

3.1-5. Вы удаляете данные платформы при ВСЕХ следующих обстоятельствах, за исключением случаев, когда сохранение информации допускается с нашими Условиями использования?

a. Когда хранение данных платформы больше не является необходимым для законной деловой цели.

b. В случае запроса со стороны пользователя.

c. Если у пользователя больше нет аккаунта в вашем приложении (применяется только в том случае, если вы предлагаете аккаунты пользователей).

d. В случае запроса со стороны компании Meta.

e. Когда это требуется в соответствии с действующими законами или нормативными актами.

В отношении этого вопроса понятие "Данные платформы" не подразумевает данные, перечисленные в Условиях использования платформы 3.e "Исключения". Чтобы понять наши требования к удалению данных, ознакомьтесь с Условиями использования платформы 3d "Хранение, удаление и доступность Данных платформы". Обратите внимание, что при определенных обстоятельствах удаление данных не требуется, если данные платформы были обобщены, скрыты или изменены таким образом, что их уже невозможно ассоциировать с каким-то определенным пользователем, браузером или устройством. Допускается хранение обобщенных и анонимных данных для коммерческих целей, связанных с обеспечением удобства для пользователей, например для выставления счетов.

[ ] Да
[ ] Нет

Если в вопросе 3.1-5 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-5.a. При каких из вышеперечисленных обстоятельств вы НЕ удаляете данные платформы? Почему?

3.1-6. Если вы удаляете данные платформы при перечисленных выше обстоятельствах, предпринимаете ли вы меры для удаления этих данных в кратчайшие сроки?

Кратчайшие сроки могут зависеть от систем и данных, но, как правило, не должны превышать 120 дней. Этот вопрос распространяется только на данные платформы, а не на данные, которые это приложение собирает или сохраняет отдельно.

Это не распространяется на данные платформы, которые вы по тем или иным причинам обязаны хранить в соответствии с действующими юридическими или нормативными требованиями.

[ ] Да
[ ] Нет

При каких условиях вы будете хранить данные платформы в течение более чем 120 дней? Примечание. Это не распространяется на данные платформы, которые вы по тем или иным причинам обязаны хранить в соответствии с действующими юридическими или нормативными требованиями.

Если в вопросе 3.1-6 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-6.a. При каких условиях вы будете хранить данные платформы в течение более чем 120 дней?

Примечание. Это не распространяется на данные платформы, которые вы по тем или иным причинам обязаны хранить в соответствии с действующими юридическими или нормативными требованиями.

Если в вопросе 3.1-5 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-5.b. Выше вы указали, что удаляете данные платформы, когда они больше не нужны для законной деловой цели. Опишите, каким образом вы определяете, когда данные перестают быть необходимыми для законной деловой цели.

В отношении этого вопроса понятие "Данные платформы" не подразумевает данные, перечисленные в Условиях использования платформы 3(e).

3.1-5.c. Выше вы указали, что удаляете данные платформы после запроса со стороны пользователя. Опишите, каким образом пользователи могут запросить удаление своих данных. При возможности добавьте снимки экрана.

Убедитесь, что файлы не защищены паролем. Вы можете загрузить несколько файлов объемом до 2 ГБ каждый. Мы принимаем файлы в форматах .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip и .zipx.

Безопасность данных

3.1-A. В соответствии с Условиями использования платформы 6.a.i компания Meta требует, чтобы вы внедрили административные, физические и технические меры безопасности для предотвращения неавторизованного доступа, уничтожения, потери, изменения, раскрытия, передачи или повреждения данных платформы.

Дополнительную информацию см. в разделах Рекомендации по защите данных для разработчиков, обзор оценки качества защиты данных и Часто задаваемые вопросы.

Прежде чем отвечать на вопросы следующего блока, проконсультируйтесь с соответствующими специалистами. В их число должен входить руководитель службы информационной безопасности, лицо, имеющее эквивалентную роль в вашей организации, или квалифицированная фирма, занимающаяся вопросами кибербезопасности (например, фирма, имеющая не менее чем 5-летний опыт проведения аудитов по стандарту ISO 27001). Это обеспечит точность представленных ответов.

Чтобы продолжить оценку, установите флажок "Я понимаю".

[ ] Я понимаю

3.1-B. В качестве напоминания в нашем глоссарии Условий платформы "Данные платформы" определены следующим образом: "любая информация, данные и другой контент, которые вы получаете от нас с помощью платформы или вашего приложения, прямо или косвенно, в день принятия настоящих Условий, а также до и после соответствующей даты, в том числе данные, которые были обезличены, обобщены или получены из таких данных. Данные платформы включают в себя маркеры приложений, маркеры страниц, маркеры доступа, секреты приложений и маркеры пользователей".

Во избежание разночтений следует отметить, что это включает в себя такие данные, как ID пользователя, электронный адрес и все данные, которые вы получаете при вызовах API к graph.facebook.com.

Чтобы ответить на следующие вопросы, вам необходимо полностью понимать, как данные платформы Meta, связанные с этим приложением, передаются, сохраняются и обрабатываются в вашем программном обеспечение и системах.

Этот вопрос распространяется на все разрешения, функции и возможности, доступные в этом приложении. Для просмотра разрешений, функций и возможностей в этом приложении перейдите на его панель. Чтобы открыть ее, выберите приложение на своей странице "Мои приложения".

Чтобы продолжить, установите флажок "Я понимаю".

[ ] Я понимаю

3.1-7. Если у вас имеется сертификат безопасности информации, который отвечает следующим критериям, вы можете отправить его в качестве подтверждения того, что предприняли достаточные административные, физические и технические меры для защиты данных платформы:

Это должен быть сертификат SOC 2, ISO 27001, ISO 27018 или аналогичный.
Он должен быть выдан независимым аудитором вашей организации (а не третьей стороне).
Этот сертификат должен быть действительным на данный момент: сертификат SOC 2 должен быть выдан не более одного года назад, а сертификат ISO — не более трех лет назад.
Объем аудита должен полностью охватывать системы, которые вы используете для обработки данных платформы Meta.

Есть ли у вас сертификат безопасности, который соответствует этим критериям?

[ ] Да [ ] Нет

Если в вопросе 3.1-7 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-7.a. Какие сертификаты безопасности данных у вас есть? Выберите все подходящие варианты. * [ ] Отчет SOC2 Type 2 * [ ] Сертификат ISO 27001 * [ ] Сертификат ISO 27018 * [ ] Другой эквивалентный сертификат * Если вы выбрали ответ "Другой эквивалентный сертификат", потребуется ответить на следующий вопрос: * Как называется этот сертификат безопасности?

3.1-7.a.i.B. Загрузите копию своего сертификата безопасности. Убедитесь, что файлы не защищены паролем. Вы можете загрузить несколько файлов объемом до 2 ГБ каждый. Мы принимаем файлы в форматах .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip и .zipx.

Если в вопросе 3.1-7 вы выбрали ответ d, потребуется ответить на следующие вопросы:

3.1-7.a.i.A. Как называется этот сертификат безопасности?

3.1-8. Вы храните данные платформы в своей внутренней среде (например, в базах данных, объектных хранилищах или блочных хранилищах в облаке или размещенных средах других типов)?

Выберите "Да", если вы записываете данные платформы в любое постоянное хранилище во внутренней части облачной или серверной среды, в котором данные сохраняются после отключения питания устройства, например на диск, в файлы журналов или базы данных, доступ к которым можно получить через сайт или API.

Выберите “Нет” в следующих случаях:

Данные платформы обрабатываются исключительно на клиентах, принадлежащих конечным пользователям вашего приложения, и никогда не передаются в какую-либо внутреннюю среду.
Данные платформы обрабатываются во внутренней среде, но никакая часть этих данных никогда не записывается в постоянное хранилище.
[ ] Да
[ ] Нет

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-8.a. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Какие из перечисленных ниже типов данных платформы вы храните в своей внутренней среде? Выберите все подходящие варианты.

Под "внутренней средой" понимается облачная или серверная среда, к которой ваши клиенты или заказчики могут получить удаленный доступ, например через сайт или веб-API.
Под "хранением" понимается запись данных платформы в любую среду, где данные сохраняются после отключения питания (например, файлы журналов, объектные и реляционные базы данных или диски).

a. ID пользователя Meta или хэшированный ID пользователя.

b. Электронный адрес.

c. Фото профиля.

d. Маркер доступа пользователя Meta API.

e. Секрет приложения.

f. Другие данные платформы, не указанные выше.

3.1-8.b. Какой из этих решений для хостинга вы используете для обработки данных платформы в своей внутренней среде?

Под "внутренней средой" понимается облачная или серверная среда, к которой ваши клиенты или заказчики могут получить удаленный доступ, например через сайт или веб-API.

Выберите все подходящие варианты.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba / Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Центр обработки данных, принадлежащий другой организации, с серверами, принадлежащими моей организации.

k. Центр обработки данных и серверы, принадлежащие моей организации.

l. Прочее

Если в вопросе 3.1-8.b вы выбрали ответ l, потребуется ответить на следующие вопросы:

3.1-8.b.i. В предыдущем вопросе вы выбираете "Другое", чтобы указать, что используете хостинг, которого нет в списке. Опишите свой подход к размещению внутренней среды.

Если в вопросе 3.1-8.a вы выбрали ответ b, c, d, e или f, а в вопросе 3.1-8.b — ответ c, h, i, j, k или l, потребуется ответить на следующие вопросы:

3.1-9.a. Используете ли вы принудительное шифрование при хранении для всех данных платформы, хранящихся в вашей внутренней среде?

Если данные платформы шифруются при хранении, их можно расшифровать только при наличии ключа. Это обеспечивает дополнительную защиту от несанкционированного доступа. Если вы храните данные платформы во внутренней среде, мы требуем, чтобы вы защищали эти данные путем шифрования при хранении или приемлемым альтернативным способом.

Некоторые поставщики услуг хостинга включают шифрование при хранении по умолчанию или имеют настройки для его включения. Прежде чем ответить на этот вопрос, проверьте, используется ли шифрование при хранении в сервисах, которыми вы пользуетесь для хранения данных платформы. Если это так, выберите ответ "Да".

Под "внутренней средой" понимается облачная или серверная среда, к которой ваши клиенты или заказчики могут получить удаленный доступ, например через сайт или веб-API.

[ ] Да

[ ] Нет, но наши поставщики услуг хостинга имеют сертификат SOC 2 или ISO 27001, который подтверждает, что их средства обеспечения физической безопасности и безопасной утилизации носителей прошли стороннюю оценку.

[ ] Нет

Если в вопросе 3.1-8.a вы выбрали ответ b, c, d, e или f, а в вопросе 3.1-8.b — любой ответ, кроме c, h, i, j, k и l, потребуется ответить на следующие вопросы:

3.1-9.b. Используете ли вы принудительное шифрование при хранении для всех данных платформы, хранящихся в вашей внутренней среде?

[ ] Да

[ ] Нет

Если в вопросе 3.1-9.a или 3.1-9.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

ПРИМЕЧАНИЕ. Этот вопрос относится не ко всем разработчикам. Чтобы определить, применимы ли к вам эти требования, обратитесь к вашей конкретной форме оценки.

3.1-9.b.i. В предыдущем вопросе вы указали, что применяете шифрование при хранении для всех данных платформы, хранящихся в вашей внутренней среде. Предоставьте описание (например, политику или процедурный документ), в котором говорится, что все данные платформы, хранящиеся в вашей внутренней среде, должны быть защищены путем шифрования при хранении.

Если вы классифицируете и защищаете данные по-разному в соответствии с набором уровней их конфиденциальности, в описании должно четко указываться, какой уровень конфиденциальности присваивается данным платформы, полученным от Meta. Также загрузите соответствующие политики.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

3.1-9.b.ii. Загрузите хотя бы одно подтверждение (например, снимок экрана экземпляра базы данных) того, как эта защита реализуется на практике: все данные платформы, хранящиеся в вашей внутренней среде, защищены путем шифрования при хранении.

Если в вопросе 3.1-9.a вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-9.c.i. Какими доказательствами вы располагаете, чтобы продемонстрировать, что контроль физической безопасности и безопасной утилизации носителей у хостинг-провайдера был оценен?

Чтобы показать, что вы соблюдаете условия платформы Meta, необходимо подтвердить, что аудит вашего поставщика услуг хостинга по стандартам ISO 27001 или SOC 2 включает в себя контроль физической безопасности и безопасной утилизации носителей. В стандартах ISO/IEC 27001:2013 или 2017 это пункты A.8.3, A.11.1 и A.11.2. В стандарте SOC 2 это пункты CC6.4 и CC6.5.

a. Аудиторский отчет ISO 27001 моего поставщика услуг хостинга, где в соответствующем заявлении о применимости (SOA) говорится, что средства физической защиты и безопасной утилизации носителей были оценены.

b. Аудиторский отчет SOC 2, в котором говорится, что средства контроля физической безопасности и безопасной утилизации носителей были проверены и никаких отрицательных моментов, связанных с этими средствами контроля, обнаружено не было.

c. Ничего из вышеперечисленного.

Если в вопросе 3.1-9.c.i вы выбрали ответ a или b, потребуется ответить на следующие вопросы:

3.1-9.c.ii. Когда был выдан сертификат ISO 27001 или SOC 2 вашего поставщика услуг хостинга?

3.1-10. Хранит ли кто-либо в вашей организации данные платформы на конечных устройствах организации или на личных устройствах (например, на ноутбуках или смартфонах)?

Под "хранением" понимается запись данных платформы в любую среду, которая сохраняет данные после отключения питания, например в ноутбуки, на USB-накопители, съемные жесткие диски и в облачные хранилища, такие как Dropbox или Google Drive.

Примечание. Этот вопрос не относится к данным платформы, которые хранятся в веб-клиентах или в мобильных клиентах для отдельных пользователей вашей службы.

[ ] Да. Один или несколько человек в моей организации хранят данные платформы на своих устройствах организации или личных устройствах.
[ ] Нет. Ни при каких обстоятельствах никто в моей организации не хранит данные платформы на устройствах организации или личных устройствах.

Если в вопросе 3.1-10 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-10.a. Если кто-либо в вашей организации хранит данные платформы на устройствах организации или личных устройствах, какие из этих защитных мер вы применяете для снижения риска потери данных?

В соответствии с нашими требованиями, вы должны применять защитные меры для снижения риска доступа к данным платформы при хранении.

Выберите все подходящие варианты.

a. Программное обеспечение или служба, обеспечивающая шифрование всего диска на устройствах организации (например, Bitlocker или FileVault).

b. Программное обеспечение для предотвращения потери данных на конечных устройствах на всех управляемых устройствах для отслеживания и регистрации действий, связанных с хранением данных платформы.

c. Сотрудники моей организации обязаны следовать политике приемлемого использования, которая разрешает обработку данных платформы только при наличии четкой и осуществимой деловой цели и предусматривает удаление данных, если деловой цели больше нет.

d. Ничего из вышеперечисленного.

Если в вопросе 3.1-10.a вы выбрали ответ a или b, потребуется ответить на следующие вопросы:

3.1-10.a.i. В предыдущем вопросе вы указали, что защищаете данные платформы, хранящиеся на устройствах организации или личных устройствах, применяя либо шифрование всего диска на этих устройствах либо программное обеспечение для предотвращения потери данных на конечных устройствах (DLP). Предоставьте описание (например, политику или процедурный документ) того, как вы реализуете эту техническую защиту.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-10.a вы выбрали ответ a или b, потребуется ответить на следующие вопросы:

3.1-10.a.ii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: технические средства защиты данных платформы, хранящихся на устройствах организации или личных устройствах. [Основной вопрос]

Примеры:

Снимок экрана групповой политики, требующей включения BitLocker для управляемых устройств.
Снимок экрана инструмента управления DLP, на котором показано, что мониторинг PII-данных включен для всех конечных точек.
Снимок экрана другого инструмента или продукта, который ваши ИТ-администраторы используют для обеспечения применения технических средств защиты на всех устройствах организации.
Убедитесь, что файлы не защищены паролем. Вы можете загрузить несколько файлов объемом до 2 ГБ каждый. Мы принимаем файлы в форматах .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip и .zipx.

Если в вопросе 3.1-10.a вы выбрали только ответ c, потребуется ответить на следующие вопросы:

3.1-10.a.iii. В предыдущем вопросе вы указали, что сотрудники вашей организации обязаны следовать политике приемлемого использования при хранении данных платформы на устройствах организации или личных устройствах. Предоставьте описание (например, политику или процедурный документ) политики приемлемого использования.

Согласно нашим требованиям, эта политика должна четко описывать следующее:

допустимые деловые цели обработки данных платформы на устройствах организации или личных устройствах;
требование об удалении данных, когда этой цели больше нет.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-10.a вы выбрали только ответ c, потребуется ответить на следующие вопросы:

3.1-10.a.iv. Я могу подтвердить, что все сотрудники моей организации, которые могут обрабатывать данные платформы на устройствах организации или личных устройствах: были проинформированы о политике приемлемого использования этих данных; подтвердили свое понимание этой политики: были проинформированы о ней в рамках подготовки новых сотрудников.

[ ] Да, я могу подтвердить.

[ ] Нет, я не могу подтвердить.

Если в вопросе 3.1-8 вы выбрали ответ "Да", а в вопросе 3.1-10 — ответ "Нет", потребуется ответить на следующие вопросы:

3.1-10.b. В предыдущем вопросе вы указали, что никто в вашей организации ни при каких обстоятельствах не хранит данные платформы на устройствах организации или личных устройствах.

Предупреждены ли сотрудники вашей организации о том, что хранение данных платформы на устройствах организации или личных устройствах не разрешается ни при каких обстоятельствах, и потребовали ли вы от них подтвердить это обязательство?

Согласно нашим правилам, организации должны уведомить всех сотрудников своей организации, включая пользователей с высокими привилегиями (например, администраторов), о том, что хранение данных платформы запрещено.

[ ] Да

[ ] Нет

Если в вопросах 3.1-8 и 3.1-10 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-10.c. В предыдущем вопросе вы указали, что никто в вашей организации ни при каких обстоятельствах не хранит данные платформы на устройствах организации или личных устройствах.

[ ] Да

[ ] В этом нет необходимости, поскольку данные платформы недоступны людям в моей организации.

[ ] Нет

Если в вопросе 3.1-10.b или 3.1-10.c вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-10.c.i. В предыдущем вопросе вы указали, что никто в вашей организации ни при каких обстоятельствах не хранит данные платформы на устройствах организации или личных устройствах. Предоставьте описание (например, политику или процедурный документ), в котором говорится, что сотрудники вашей организации не должны хранить данные платформы на этих устройствах.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-10.b или 3.1-10.c вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-10.c.ii. Я могу подтвердить, что все люди в моей организации:

проинформированы о политике, запрещающей им хранить данные платформы на устройствах организации или личных устройствах;

подтвердили свое понимание этой политики;

знакомятся с этой политикой в рамках процесса обучения новых сотрудников.

[ ] Да, я могу подтвердить.

[ ] Нет, я не могу подтвердить.

Если в вопросах 3.1-8 и 3.1-10 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-10.d. Загрузите схему потока данных и описание того, как ваше приложение использует данные платформы.

Необходимо указать следующее:

Покажите, как ваше приложение обращается к Meta API, например graph.facebook.com, и определите все компоненты, использующие данные платформы, включая те, которые хранят, кэшируют, обрабатывают или передают данные платформы по сети.

Опишите основные сценарии использования (т. е. потоки, обеспечивающие полезные результаты для пользователей вашего приложения), которые вы поддерживаете.

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-11.a. Вы используете >протокол безопасности TLS 1.2 и более поздних версий для шифрования данных во всех проходящих через общедоступные сети, подключающихся к ним или пересекающих их сетевых соединениях, где передаются данные платформы?

Шифрование при передаче защищает данные платформы, когда они передаются по ненадежным сетям (например, через Интернет), потому что расшифровать их можно только на устройстве-отправителе и устройстве-получателе. Стороны в середине пути передачи не должны иметь возможности прочитать данные платформы, даже если они видят сетевой трафик (как при атаке посредника). TLS — это самый популярный протокол шифрования данных при передаче, потому что браузеры используют его для защиты обмена данными между сайтами, например принадлежащими банкам.

We require that all web listeners (e.g., internet-facing load balancers) that receive or return Platform Data must enable TLS 1.2 or greater. TLS 1.0 и TLS 1.1 можно использовать только для совместимости с клиентскими устройствами, не поддерживающими TLS 1.2 и более поздних версий. Мы рекомендуем, но не требуем применять шифрование при передаче данных платформы, если оно полностью происходит в доверенных частных сетях, контролируемых вами (например, в виртуальном частном облаке (VPC)). Дополнительную информацию об этом требовании и о том, как загрузить все необходимые доказательства, см. в наших требованиях к безопасности данных.

[ ] Да

[ ] Нет

Если в вопросе 3.1-8 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-11.b. Вы используете протокол безопасности TLS 1.2 и более поздних версий для шифрования данных во всех проходящих через общедоступные сети, подключающихся к ним или пересекающих их сетевых соединениях, где передаются данные платформы?

[ ] Да

[ ] Это не требуется. Мы никогда не передаем данные платформы через Интернет ни по каким причинам, кроме запросов непосредственно к Meta.

[ ] Нет

Если в вопросе 3.1-11.a или 3.1-11.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-11.c. В предыдущем вопросе вы указали, что используете протокол безопасности TLS 1.2 или более поздней версии для шифрования данных при передаче. Гарантируете ли вы, что данные платформы никогда не передаются по сетям общего пользования в незашифрованном виде (например, через HTTP или FTP, и протоколы SSL 2.0 и SSL 3.0 никогда не используются?

Согласно нашим требованиям, данные платформы никогда не должны передаваться через ненадежные сети в незашифрованном виде. Кроме того, запрещено использование протоколов SSL 2.0 и SSL 3.0. Дополнительную информацию об этом требовании и о том, как загрузить все необходимые доказательства, см. в наших требованиях к безопасности данных.

[ ] Да

[ ] Нет

Если в вопросе 3.1-11.a или 3.1-11.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-11.a.i. Предоставьте описание (например, политику или процедурный документ) того, как вы включаете протокол безопасности TLS 1.2 или более поздней версии для передаваемых данных.

Этот документ должен содержать следующие утверждения: 1. Данные платформы никогда не передаются без шифрования при передаче. 2. Протоколы SSL 2 и SSL 3 никогда не используются.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-11.a или 3.1-11.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-11.a.ii. Загрузите хотя бы одно подтверждение (например, полноэкранный снимок результатов отчета Qualys SSL для одного из ваших веб-доменов) того, как эта защита реализуется на практике: включите протокол безопасности TLS 1.2 или более поздней версии для данных при передаче. [Основной вопрос]

Если в вопросе 3.1-8 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-12.a. Какие из перечисленных ниже подходов для проверки программного обеспечения, используемого для обработки данных платформы, на наличие уязвимостей и проблем с безопасностью вы использовали за последние 12 месяцев ?

Этот вопрос относится только к программному обеспечению, которое вы создаете или упаковываете (например, библиотеки кода) для обработки данных платформы и не относится к программному обеспечению, создаваемому или поддерживаемому другими компаниями (например, операционным системам Android или iOS).

Выберите все подходящие варианты.

a. Статическое тестирование безопасности приложений (SAST).

b. Динамическое тестирование безопасности приложений (DAST).

c. Тест на проникновение, проводимый внутренней командой.

d. Тест на проникновение, проводимый сторонней компанией, занимающейся вопросами безопасности.

e. Сообщения об уязвимостях от сторонних исследователей, полученные в рамках программы раскрытия информации об уязвимостях (VDP) или программы Bug Bounty.

f. Другой подход к выявлению уязвимостей.

g. Ничего из вышеперечисленного.

Если в вопросе 3.1-12.a вы выбрали любой ответ с a по g, потребуется ответить на следующие вопросы:

3.1-12.a.i. Предоставьте описание (например, политику или процедурный документ) того, как вы проверяете программное обеспечение, используемое для обработки данных платформы, на наличие уязвимостей и проблем с безопасностью.

В нем должны быть описаны следующие процедуры тестирования:

Тестирование системы безопасности на уязвимости не реже одного раза в 12 месяцев.
Наличие процесса сортировки результатов по степени серьезности.
Обеспечение своевременного устранения уязвимостей высокой степени серьезности, которые могут привести к несанкционированному доступу к данным платформы.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-12.a вы выбрали любой ответ с a по f, потребуется ответить на следующие вопросы:

3.1-12.a.ii. Загрузите хотя бы одно подтверждение (например, краткие результаты недавнего теста на проникновение) того, как эта защита реализуется а практике: тестирование программного обеспечения, которое вы используете для обработки данных платформы, на наличие уязвимостей и проблем с безопасностью.

Необходимо указать следующее: 1. Описание объема и методологии тестирования. 2. Дату проведения тестирования (не ранее, чем 12 месяцев до даты, когда мы уведомили вас об этой оценке). 3. Краткое описание всех неустраненных критических уязвимостей и уязвимостей высокой степени серьезности (если применимо).

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-12.b. Какие из следующих подходов для тестирования уязвимостей и проблем безопасности в вашей внутренней среде, где обрабатываются данные платформы вы использовали за последние 12 месяцев?

Этот вопрос относится только к программному обеспечению, которое вы создаете или упаковываете (например, библиотеки кода) для обработки данных платформы и не относится к программному обеспечению, создаваемому или поддерживаемому другими компаниями (аналитической службе, услугами которой вы пользуетесь).

Выберите все подходящие варианты.

a. Статическое тестирование безопасности приложений (SAST).

b. Динамическое тестирование безопасности приложений (DAST).

c. Веб-сканирование.

d. Тест на проникновение, проводимый внутренней командой.

e. Тест на проникновение, проводимый сторонней компанией, занимающейся вопросами безопасности.

f. Сообщения об уязвимостях от сторонних исследователей, полученные в рамках программы раскрытия информации об уязвимостях (VDP) или программы Bug Bounty.

g. Другой подход к выявлению уязвимостей.

h. В этом нет необходимости, поскольку в моей организации используется бескодовое серверное решение.

i. Ничего из вышеперечисленного.

Если в вопросе 3.1-12.b вы выбрали любой ответ с a по g, потребуется ответить на следующие вопросы:

3.1-12.b.i. Предоставьте описание (например, политику или процедурный документ) того, как вы проверяете уязвимости и проблемы безопасности в своей внутренней среде, где обрабатываются данные платформы.

В нем должны быть описаны следующие процедуры тестирования:

Тестирование системы безопасности на уязвимости не реже одного раза в 12 месяцев.
Наличие процесса сортировки результатов по степени серьезности.
Обеспечение своевременного устранения уязвимостей высокой степени серьезности, которые могут привести к несанкционированному доступу к данным платформы.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-12.b вы выбрали любой ответ с a по g, потребуется ответить на следующие вопросы:

3.1-12.b.ii. Загрузите хотя бы одно подтверждение (например, краткие результаты недавнего теста на проникновение) того, как эта защита реализуется а практике: тестирование вашей внутренней среды, в которой вы обрабатываете данные платформы, на наличие уязвимостей и проблем с безопасностью.

Необходимо указать следующее:

Описание объема и методологии тестирования.
Дату проведения тестирования (не ранее, чем 12 месяцев до даты, когда мы уведомили вас об этой оценке).
Краткое описание всех неустраненных критических уязвимостей и уязвимостей высокой степени серьезности (если применимо).

Если в вопросе 3.1-8.b вы выбрали ответы с a по b с d по i

3.1-12.c. Тестируете ли вы облачную среду, используемую для обработки данных платформы, на наличие ошибок настройки в системе безопасности (например, с помощью такого инструмента выявления ошибок, как NCC Scout Suite) по крайней мере раз в 12 месяцев?

Согласно требованиям Meta, вы должны принимать меры по тестированию своего программного обеспечения на наличие уязвимостей и проблем с безопасностью не реже одного раза в 12 месяцев, чтобы предотвратить несанкционированный доступ к данным платформы.

[ ] Да

[ ] Неприменимо, поскольку моя организация использует только внутреннюю службу, которая не раскрывает никаких конфиденциальных настроек конфигурации системы безопасности.

[ ] Нет

Если в вопросе 3.1-12.c вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-12.c.i. Предоставьте описание (например, политику или процедурный документ) того, как вы проверяете облачную среду, используемую для обработки данных платформы, на наличие ошибок в настройке системы безопасности.

В нем должны быть описаны следующие процедуры тестирования:

Тестирование системы безопасности на уязвимости не реже одного раза в 12 месяцев.
Наличие процесса сортировки результатов по степени серьезности.
Обеспечение своевременного устранения уязвимостей высокой степени серьезности, которые могут привести к несанкционированному доступу к данным платформы.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-12.c вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-12.c.ii. Загрузите хотя бы одно подтверждение (например, краткие результаты недавнего теста NCC Scout Suite) того, как эта защита реализуется на практике: тестирование облачной среды, которую вы используете для обработки данных платформы, на наличие ошибок в конфигурации системы безопасности.

Необходимо указать следующее:

Описание объема и методологии тестирования.
Дату проведения тестирования (не ранее, чем 12 месяцев до даты, когда мы уведомили вас об этой оценке).
Краткое описание всех неустраненных критических уязвимостей и уязвимостей высокой степени серьезности (если применимо).

3.1-13.a. Ваше приложение или программное обеспечение хранит маркеры доступа на устройствах клиентов или заказчиков, которые могут быть прочитаны другим приложением или пользователем?

"Устройства клиентов или заказчиков" означают оборудование, например мобильные телефоны Android или iPhone, которое принадлежит конечным пользователям вашего приложения или услуги.

Выберите "нет", если у вас нет приложений или программ, которые работают на устройствах клиентов или заказчиков, например на мобильных телефонах.

[ ] Да

[ ] Нет

Если это приложение не настроено как приложение для ПК или нативное, потребуется ответить на следующие вопросы:

3.1-13.b. Секрет приложения Facebook бывает открыт для устройств клиентов или заказчиков (например, в скомпилированном коде)?

[ ] Да

[ ] Да, но мое приложение настроено как приложение для ПК или нативное.

[ ] Нет

Если в вопросе 3.1-8 вы выбрали ответ d, потребуется ответить на следующие вопросы:

3.1-13.c. Вы получили этот вопрос, потому что в предыдущем вопросе вы указали, что храните маркеры доступа пользователей Meta API в своей внутренней среде. Как вы защищаете эти маркеры от несанкционированного использования?

Маркеры доступа являются основой безопасности Meta API. Согласно нашим требованиям, разработчики должны защищать маркеры от несанкционированного доступа. Информация о маркерах доступа.

Выберите все подходящие варианты.

a. Путем хранения этих данных в хранилище данных (например, Vault от Hashicorp) с отдельной службой управления ключами (KMS).

b. Путем шифрования приложений (например, маркеры доступа пользователей никогда не записываются в базы данных и любые другие постоянные хранилища в незашифрованном виде).

c. Путем настройки приложения таким образом, чтобы для вызовов API к Meta требовался параметр appsecret_proof.

d. Я использую другой подход для защиты маркеров доступа пользователей.

e. Ничего из вышеперечисленного.

Если в вопросе 3.1-13.c вы выбрали ответ a, b, c или d, потребуется ответить на следующие вопросы:

3.1-13.c.i. В предыдущем вопросе говорилось о том, как вы защищаете маркеры доступа пользователей, хранящиеся во внутренней среде, от несанкционированного использования. Предоставьте описание (например, политику или процедурный документ) того, как вы защищаете эти маркеры доступа.

Оно должно содержать:

Описание защиты маркеров доступа пользователей от несанкционированного доступа на чтение.
Требование никогда не записывать маркеры доступа пользователей в файлы журналов в открытом (незашифрованном) виде.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

3.1-13.c.ii Загрузите хотя бы одно подтверждение (например, снимок экрана с ключом маркера доступа, но не его значением) того, как эта защита реализуется на практике: защита маркеров доступа, хранящихся в вашей внутренней среде, от несанкционированного использования. [Основной вопрос]

Если в вопросе 3.1-8.a вы выбрали ответ e, потребуется ответить на следующие вопросы:

3.1-13.d. Вы получили этот вопрос, потому что в предыдущем вопросе вы указали, что храните секрет приложения в своей внутренней среде. Как вы защищаете секрет приложения от несанкционированного использования?

Секрет приложения — это параметр, связанный с Meta, который может использоваться в качестве маркера доступа в некоторых вызовах API для изменения конфигурации приложения, например для настройки обратных вызовов Webhooks. Вы можете найти секрет приложения на панели приложения в разделе "Настройки" > "Основные". Подробнее о секрете приложения см. в документации для разработчиков, посвященной безопасности входа. Подробнее о наших требованиях к защите секретов приложений и маркеров доступа пользователей, в том числе о доказательствах, которые у вас могут попросить, см. в разделе Защита маркеров доступа и секретов приложений Meta.

Согласно нашим требованиям, вы должны защищать секрет приложения одним из двух способов:

Никогда не передавать его за пределы защищенной серверной среды. Это означает, что он никогда не возвращается, если сеть отправляет вызов в браузер или мобильное приложение, и не встраивается в код, передаваемый на мобильные и нативные клиенты или клиенты для ПК.
Настроить аутентификацию приложений с типом "Нативное приложение или приложение для ПК", чтобы Meta API больше не доверяли вызовам API, содержащим секрет приложения.

Выберите все подходящие варианты.

b. Путем шифрования приложений (например, секрет приложения пользователей никогда не записывается в базы данных и любые другие постоянные хранилища в незашифрованном виде).

c. Я использую другой подход для защиты секретов приложения.

d. Ничего из вышеперечисленного.

Если в вопросе 3.1-13.d вы выбрали ответ a, b или c, потребуется ответить на следующие вопросы:

3.1-13.d.i. В предыдущем вопросе вы указали, что защищаете секрет приложения, хранящийся в вашей внутренней среде, от несанкционированного использования. Предоставьте описание (например, политику или процедурный документ) того, как вы реализуете эту защиту.

Оно должно содержать:

Описание защиты секрета приложения от несанкционированного доступа на чтение.
Требование никогда не записывать секрет приложения в файлы журналов в открытом (незашифрованном) виде.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Секрет приложения является основой безопасности Meta API. Согласно нашим требованиям, разработчики должны защищать секрет приложения от несанкционированного доступа. Подробнее о секретах приложений.

Если в вопросе 3.1-13.d вы выбрали ответ a, b или c, потребуется ответить на следующие вопросы:

3.1-13.d.ii. Загрузите хотя бы одно подтверждение (например, снимок экрана менеджера секретов, содержащий секрет приложения с отредактированным значением) того, как эта защита реализуется на практике: защита секрета приложения, хранящегося в вашей внутренней среде, от несанкционированного использования.

Примеры приемлемых доказательств для этого вопроса см. в этом руководстве.

3.1-15.a. Вы требуете использовать многофакторную аутентификацию (MFA) для доступов ко всем вашим средствам совместной работы и коммуникации?

Согласно нашим требованиям, для всех пользователей ваших инструментов для совместной работы и общения (например, электронной почты, Slack) должна применяться MFA или приемлемая альтернативная защита. Мы не требуем использовать какой-либо конкретный метод реализации MFA.

[ ] Да

[ ] Нет, но у нас действует политика сложности паролей, задержка при отмене аутентификации и автоматическая блокировка аккаунта при неудачных попытках входа.

[ ] Нет

3.1-15.b. Вы требуете использовать многофакторную аутентификацию (MFA) для доступа ко всем вашим инструментам репозитория кода (например, GitHub) и всем инструментам, используемым для отслеживания изменений в приложении и любом коде и конфигурации системы?

Согласно нашим требованиям, для всех пользователей вашего хранилища кода должна применяться MFA или приемлемая альтернативная защита. Мы не требуем использовать какой-либо конкретный метод реализации MFA.

[ ] Да

[ ] Нет

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-15.c. Вы требуете использовать многофакторную аутентификацию (MFA) для доступа ко всем инструментам для развертывания программного обеспечения, например Jenkins или другой инструмент непрерывной интеграции и непрерывного развертывания (CI/CD)?

Согласно нашим требованиям, для всех пользователей ваших инструментов для развертывания программного обеспечения должна применяться MFA или приемлемая альтернативная защита. Мы не требуем использовать какой-либо конкретный метод реализации MFA.

[ ] Да

[ ] Нет

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-15.d. Вы требуете использовать многофакторную аутентификацию (MFA) для доступа ко всем вашим внутренним административным инструментам, например к облачному порталу администрирования?

Согласно нашим требованиям, для всех пользователей ваших облачных и административных инструментов должна применяться MFA или приемлемая альтернативная защита. Мы не требуем использовать какой-либо конкретный метод реализации MFA.

[ ] Да

[ ] Нет

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-15.e. Вы требуете использовать многофакторную аутентификацию (MFA) для удаленного доступа ко всем серверам, например через SSH?

Согласно нашим требованиям, для удаленного доступа ко всем серверам должна применяться MFA или приемлемая альтернативная защита. Мы не требуем использовать какой-либо конкретный метод реализации MFA.

[ ] Да

[ ] Неприменимо. Мы не используем удаленный доступ к серверам.

[ ] Нет

Если в вопросах с 3.1-15.a по 3.1-15.e вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-15.e.i. Предоставьте описание (например, политику или процедурный документ) ваших требований относительно многофакторной аутентификации (MFA) или других мер по предотвращению захвата аккаунта (например, сложные пароли в сочетании с задержкой аутентификации и автоматической блокировкой аккаунта при неудачной попытке входа).

В него должны входить требования к аутентификации для доступа к любым средствам совместной работы и коммуникации, репозиториям кода, инструментам развертывания программного обеспечения, инструментам администрирования серверов и удаленного доступа к серверам с помощью таких средств, как SSH.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросах с 3.1-15.a по 3.1-15.e вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-15.e.ii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: многофакторная аутентификация или другие меры по предотвращению захвата аккаунта.

В нем должно быть показано, как используется аутентификация защиты для доступа к любым средствам совместной работы и коммуникации, репозиториям кода, инструментам развертывания программного обеспечения, инструментам администрирования серверов и удаленного доступа к серверам с помощью таких средств, как SSH.

3.1-16. У вас есть система ведения аккаунтов, которая управляет предоставлением, отзывом и проверкой доступа для людей в вашей организации?

Согласно нашим требованиям, у вас должна быть система ведения аккаунтов, а на доступ должны регулярно пересматриваться (не реже одного раза в 12 месяцев). У вас должна быть процедура оперативного отзыва доступа в следующих случаях:

доступ больше не требуется;
доступ больше не используется;
человек больше не работает в организации.

[ ] Да

[ ] Нет

Если в вопросе 3.1-16 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-16.a. Какие из перечисленных ниже процессов вы реализуете в рамках своей системы учета аккаунтов?

Выберите все подходящие варианты.

a. Мы пересматриваем все разрешения на доступ не реже одного раза в 12 месяцев и отзываем доступ, который больше не требуется.

b. Мы пересматриваем все разрешения на доступ не реже одного раза в 12 месяцев и отзываем доступ, который больше не используется.

c. Мы незамедлительно отзываем все разрешения на доступ, если человек покидает организацию.

d. Ничего из перечисленного.

Если в вопросе 3.1-16.a вы выбрали любой ответ с a по c, потребуется ответить на следующие вопросы:

3.1-16.a.i. Предоставьте описание (например, политику или процедурный документ) следующих требований к вашей системе учета аккаунтов.

Оно должно содержать следующие требования:

Отзыв доступа, который больше не требуется.
Отзыв доступа, который больше не используется.
Незамедлительный отзыв доступа, если человек покидает организацию.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-16.a вы выбрали любой ответ с a по c, потребуется ответить на следующие вопросы:

3.1-16.a.ii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: реализация системы учета аккаунтов.

В нем должны демонстрироваться:

Отзыв доступа, который больше не требуется.
Отзыв доступа, который больше не используется.
Незамедлительный отзыв доступа, если человек покидает организацию.

Если в вопросе 3.1-8 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.a. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Относительно программного обеспечения, которое вы используете для обработки данных платформы в своей внутренней среде, выполняется ли все перечисленное: имеется определенный и повторяемый способ выявления исправлений в программном обеспечении сторонних разработчиков, устраняющих уязвимости системы безопасности; назначаются приоритеты доступных исправлений в зависимости от риска (например, на основании степени серьезности CVSS); исправления применяются регулярно.

[ ] Да

[ ] В этом нет необходимости, поскольку в моей организации используется бескодовое серверное решение.

[ ] Нет

Если в вопросе 3.1-17.a вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.a.i. В предыдущем вопросе вы указали, что у вас имеются процессы для поддержания кода и внутренней среды в актуальном состоянии. Предоставьте описание (например, политику или процедурный документ) того, как вы поддерживаете код и внутреннюю среду в актуальном состоянии.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-17.a вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.a.ii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: регулярное обновление кода и внутренней среды.

3.1-17.b. Относительно стороннего программного обеспечения, которое вы используете для обработки данных платформы в мобильном приложении, например в приложении для Android или iPhone, выполняется ли все перечисленное: имеется определенный и повторяемый способ выявления исправлений в программном обеспечении сторонних разработчиков, устраняющих уязвимости системы безопасности; назначаются приоритеты доступных исправлений в зависимости от риска (например, на основании степени серьезности CVSS); исправления применяются регулярно.

[ ] Да

[ ] Это не требуется, поскольку моя организация не обрабатывает данные платформы в мобильном приложении.

[ ] Нет

Если в вопросе 3.1-17.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.b.i. В предыдущем вопросе вы указали, что постоянно обновляете стороннее программное обеспечение в своем мобильном приложении. Предоставьте описание (например, политику или процедурный документ) того, как вы поддерживаете стороннее программное обеспечение в своем мобильном приложении в актуальном состоянии.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-17.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.b.ii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: регулярное обновление стороннего кода в вашем мобильном приложении.

3.1-17.c. Относительно операционных систем, антивирусного программного обеспечения, браузеров, работающих на ноутбуках, и других систем и приложений, используемых сотрудниками вашей организации для создания и эксплуатации вашего приложения, делаете ли вы все следующее: имеется определенный и повторяемый способ выявления исправлений в стороннем программном обеспечении, устраняющих уязвимости безопасности; назначаются приоритеты доступных исправлений в зависимости от риска (например, на основании степени серьезности CVSS); исправления применяются регулярно.

[ ] Да

[ ] Нет

Если в вопросе 3.1-17.c вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.c.i. В предыдущем вопросе вы указали, что постоянно обновляете программное обеспечение сторонних разработчиков в системах и приложениях, используемых для создания и работы вашего приложения. Предоставьте описание (например, политику или процедурный документ) того, как вы обновляете программное обеспечение сторонних производителей и антивирусное программное обеспечение.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Этот вопрос относится не ко всем разработчикам. Чтобы определить, применимы ли к вам эти требования, обратитесь к вашей конкретной форме оценки.

Если в вопросе 3.1-17.c вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-17.c.ii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: регулярное обновление сторонних производителей и антивирусного программного обеспечения. [Основной вопрос]

3.1-21. Предусмотрен ли у вас общедоступный способ сообщения людьми об уязвимостях, связанных с безопасностью в этом приложении?

[ ] Да

[ ] Нет

Если в вопросе 3.1-21 вы выбрали ответ "Нет", потребуется ответить на следующие вопросы:

3.1-21.a. Имеется ли общедоступные и постоянно контролируемые электронный адрес, номер телефона или контактная форма для связи людей с вами?

[ ] Да

[ ] Нет

Если в вопросе 3.1-8.a вы выбрали любой ответ с b по f, потребуется ответить на следующие вопросы:

3.1-22. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Вы собираете журналы аудита администратора для этой внутренней среды?

[ ] Да

[ ] Нет

Если в вопросе 3.1-22 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.a. Предоставьте описание (например, политику или процедурный документ) того, как вы собираете журналы аудита администратора для вашей внутренней среды, в которой хранятся данные платформы.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-22 вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.a.i. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: сбор журналов аудита администратора для вашей внутренней среды, где хранятся данные платформы.

Если в вопросе 3.1-8.a вы выбрали любой ответ с b по f, потребуется ответить на следующие вопросы:

3.1-22.b. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Вы собираете журналы аудита событий в приложении для этой внутренней среды? К событиям в приложении могут относиться:

сбои в проверке входных и выходных данных;
сбои аутентификации и контроля доступа;
ошибки приложения и системные события.

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.b.i. Эти журналы аудита событий в приложении для вашей внутренней среды, где хранятся данные платформы, содержат все перечисленные далее поля?

ID пользователя Meta (когда пользователь делится им с вами);
тип события;
дата и время;
индикатор успешного выполнения или сбоя.

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.b.ii. Предоставьте описание (например, политику или процедурный документ) вашего подхода к сбору журналов аудита событий в приложении для вашей внутренней среды, в которой хранятся данные платформы.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-22.b вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.b.iii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: сбор журналов аудита событий в приложении для вашей внутренней среды, где хранятся данные платформы.

Если в вопросе 3.1-8.a вы выбрали любой ответ с b по f, потребуется ответить на следующие вопросы:

3.1-22.c. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. У вас имеются политики или процедуры для предотвращения несанкционированного доступа и фальсификации журналов аудита для этой внутренней среды?

[ ] Да

[ ] Нет

3.1-22.d. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Вы храните журналы аудита для этой среды не менее 30 дней?

[ ] Да [ ] Нет

Если в вопросе 3.1-8.a вы выбрали любой ответ с b по f, потребуется ответить на следующие вопросы:

3.1-22.e. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Вы используете автоматизированное решение для просмотра журналов аудита событий в приложении для этой внутренней среды, чтобы находить признаки ежедневных событий безопасности или инцидентов, которые приводят к риску или ущербу (например, попытки обойти контроль доступа или использовать уязвимости программного обеспечения)?

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.e вы выбрали ответ "Нет", потребуется ответить на следующие вопросы: Вы просматриваете журналы аудита событий в приложении для внутренней среды, где хранятся данные платформы, по крайней мере раз в 7 дней?

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.e вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.e.ii. Предоставьте описание (например, политику или процедурный документ) того, как вы проверяете журналы аудита событий в приложении для вашей внутренней среды, где хранятся данные платформы, по крайней мере раз в 7 дней.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-22.e вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.e.iii. Загрузите хотя бы одно подтверждение (например, конфигурацию инструмента или снимок экрана из вашего приложения) того, как эта защита реализуется на практике: просмотр журналов аудита событий в приложении для вашей внутренней среды, где хранятся данные платформы, по крайней мере раз в 7 дней.

Если в вопросе 3.1-8.a вы выбрали любой ответ с b по f, потребуется ответить на следующие вопросы:

3.1-22.f. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Вы просматриваете журналы аудита администратора для этой среды, чтобы находить признаки ежедневных событий безопасности или инцидентов, которые приводят к риску или ущербу (например, попытки обойти контроль доступа или использовать уязвимости программного обеспечения)?

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.f вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.f.i. Вы просматриваете эти журналы аудита администратора для своей внутренней среды, где хранятся данные платформы, по крайней мере раз в 7 дней?

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.f вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.f.ii Предоставьте описание (например, политику или процедурный документ) вашего подхода к просмотру журналов аудита администратора для вашей внутренней среды, в которой хранятся данные платформы, с целью поиска признаков ежедневных событий или инцидентов безопасности, по крайней мере раз в 7 дней.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

Если в вопросе 3.1-8.a вы выбрали любой ответ с b по f, потребуется ответить на следующие вопросы:

3.1-22.g. В предыдущем вопросе вы указали, что храните данные платформы в своей внутренней среде. Если вы обнаружите ежедневное событие или инцидент безопасности, который приведет к риску или повреждению журналов аудита для этой внутренней среды, существует ли у вас процесс для дальнейшего расследования?

Напоминание: согласно нашим правилам, вы должны незамедлительно сообщать нам обо всех событиях или инцидентах, связанных с безопасностью.

[ ] Да

[ ] Нет

Если в вопросе 3.1-22.g вы выбрали ответ "Да", потребуется ответить на следующие вопросы:

3.1-22.g.i. Предоставьте описание (например, политику или процедурный документ) того, как вы расследуете ежедневные события или инциденты безопасности в вашей внутренней среде, где хранятся данные платформы, которые приводят к риску или повреждению ваших журналов аудита.

Выделите или обведите кружком места в ваших политиках, где указаны эти условия.

3.1-23. У вас имеются процессы обеспечения безопасности для людей, имеющих доступ к данным платформы?

Такие процессы могут предусматривать одно или несколько следующих действий:

проверка истории деятельности перед предоставлением доступа к данным платформы;
подписание соглашений о конфиденциальности перед получением доступа к данным платформы; обучение новых сотрудников политике и процедурам информационной безопасности;
постоянное регулярное обучение по вопросам безопасности (например, ежегодное);
обучение, связанное с конкретными должностными обязанностями, в рамках которых осуществляется доступ к данным платформы;
возврат имущества (например, ноутбука или мобильного телефона) после увольнения из организации.

[ ] Да

[ ] Нет