資料保護評估問答
您可以在這裡找到資料保護評估的所有問答。如果您的評估從 3.1 開始,則您是在 2024 年 2 月 15 日或之後收到評估。您可以找到下面列出的那些問題。
如果您的評估沒有編號,則您是在 2024 年 2 月 15 日之前收到評估。您可以在這裡找到之前的問答。
以下問題是更新後 2024 年資料保護評估的一部分。您將發現問題編號會以對應的版本號碼開頭;對於 3.1 版本,問答將讀作 3.1-1、3.1-2 等。我們正持續更新我們的問答,以符合產業標準,開發人員可能會收到不同的問題,視他們收到評估的時間而定。
使用指示:
我們建議應用程式管理員與內部團隊一起檢視這些問題,以確保應用程式符合我們的《開放平台使用條款》規定。如果需要針對各個應用程式進行資料保護評估,將會通知所有應用程式管理員。
請注意,系統僅接受以英文進行提交。歡迎隨時使用所需的任何翻譯工具來提交英文評估。
這裡顯示這些問題只是為了方便您參考。特定應用程式所需的問題,將依據各應用程式可以存取的資料而有所不同。如果應用程式會存取某些類型的資料,您可能還需要提供證據來支援您的答案。
如果您目前正在進行資料保護評估,或者正在解決我們審查人員提出的後續問題,請繼續進行這些程序,並留意您目前回答的問題可能與這裡更新的問題不同。
資料使用
3.1-1.應用程式是否使用平台資料,依據種族、民族、膚色、國籍、宗教信仰、年齡、性別、性傾向、性別認同、家庭狀態、身心障礙、醫療狀況或遺傳疾病,使特定用戶處於不利地位(意即某些用戶可以取得其他用戶不能取得的內容)?
這個問題不適用於在約會交友應用程式中使用的性別和年齡、有語言考量的性別、限制成人內容的年齡,或是利用平台資料來改善應用程式用戶體驗的其他類似情況。如果應用程式與上述任一用途相關,只要您不是使用該資訊形成不利條件,則您的回覆為「否」。
- [ ] 是
- [ ] 否
如果您回答「是」,系統會再詢問您下列其他問題:
3.1-1.a.A.應用程式使用哪些平台資料,依據種族、民族、膚色、國籍、宗教信仰、年齡、性別、性傾向、性別認同、家庭狀態、身心障礙、醫療狀況或遺傳疾病,使特定用戶處於不利地位?
3.1-1.a.B.應用程式如何使用平台資料,依據用戶的種族、民族、膚色、國籍、宗教信仰、年齡、性別、性傾向、性別認同、家庭狀態、身心障礙、醫療狀況或遺傳疾病,使特定用戶處於不利地位?
3.1-1.a.C.應用程式從何時開始以這個方式使用平台資料?
3.1-2.應用程式是否使用平台資料,以針對住房、就業、保險、教育機會、信貸、政府福利或移民身分做出決定?
如果您回答「是」,系統會再詢問您下列其他問題:
3.1-2.a.A.應用程式使用哪些平台資料,以針對住房、就業、保險、教育機會、信貸、政府福利或移民身分做出決定?
3.1-2.a.B.應用程式如何使用平台資料,以針對住房、就業、保險、教育機會、信貸、政府福利或移民身分做出決定?
3.1-2.a.C.應用程式從何時開始以這個方式使用平台資料?
3.1-3.應用程式是否使用平台資料進行監控相關活動?「監控」包含基於執法或維護國家安全之目的,處理有關個人、社團或活動的平台資料。
如果您回答「是」,系統會再詢問您下列其他問題:
3.1-3.a.A.應用程式使用哪些平台資料進行監控相關活動?
3.1-3.a.B.應用程式如何使用平台資料進行監控相關活動?
3.1-3.a.C.應用程式從何時開始基於此目的而使用平台資料?
資料分享
3.1-4.下列部分問題與服務供應商和子服務供應商相關。服務供應商是提供服務來協助您使用開放平台或開放平台資料的個人或商家。子服務供應商是由另一個服務供應商用來為其提供相關開放平台資料的服務供應商。
Google Cloud 和 Amazon Web Services(AWS)就是常見的大型服務供應商範例,但您可能也會透過較小型的公司來處理或使用平台資料,例如所在國家或地區的在地網路開發商家。
您是否做了以下任何一件事情?
請選擇所有適用選項。
- a.我不會分享透過此應用程式接收的平台資料。
- b.將平台資料販售或授權給其他個人或商家,或是輔助或支援他人從事上述活動。
- c.從其他人或商家購買平台資料,或是輔助或支援他人從事上述活動。
- d.分享平台資料以讓用戶或商家能夠向您(服務供應商)提供服務。
- e.分享平台資料以讓其他用戶或商家(您的商家以外)能夠存取及使用開放平台或平台資料
- f.在此應用程式用戶的明確指示下分享平台資料。
- g.為未列出的其他目的分享平台資料。請說明。
如果您在問題 3.1-4 中選擇選項 b,您將看到:
3.1-4.a.A.您販售或授權哪些類型的平台資料?
3.1-4.a.B.此應用程式使用哪些權限、特性、功能或其他管道來存取和蒐集該平台資料?
3.1-4.a.C.請列出您從此應用程式對其販售或授權平台資料的所有實體、商家和第三方,並說明在各案例中分享資料的目的。
3.1-4.a.D.您從何時開始販售或授權平台資料?
如果您在問題 3.1-4 中選擇選項 d,您將看到:
3.1-4.b.您在上面指出,您會與服務供應商分享平台資料。請勾選下列方塊,指出您與哪些服務供應商分享開放平台資料。後續問題會要求您描述開放平台資料的分享對象,並說明方法和原因。
注意:請勿將 Meta 服務或產品列為服務供應商。
請選擇所有適用選項。如果您將開放平台資料與這裡列出的多個服務供應商以及其他未列出的服務供應商分享,請選擇適用的那些服務供應商,以及選擇「其他」。例如,您可以選擇 Apple、Google 和「其他」來代表您的所有服務供應商。
- a.Google(例如 Play 商店、Firebase、Cloud、AdMob、Analytics)
- b.Amazon(例如 Amazon Web Services)
- c.Salesforce(例如 Heroku、Marketing Cloud)
- d.Apple(例如 App Store)
- e.Microsoft(例如 App Center、Azure、Playfab)
- f.Github
- g.AppLovin(例如 Adjust)
- h.Appsflyer
- i.Stripe
- j.Twilio(例如 Segment、SendGrid)
- k.其他(系統會要求您上傳清單)
如果您在問題 3.1-4.b 中選擇選項 k,您將看到:
3.1-4.b.i.除了您在上述清單中指出的服務供應商之外,也請上傳 CSV 或 Excel 檔案,列出您與其分享平台資料的任何服務供應商。請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-4 中選擇選項 d,並在問題 3.1-4.b 中選擇選項 k,您將看到:
3.1-4.c.您是否與每個分享平台資料的服務供應商簽訂書面協議,規定對方及其每個子服務供應商(若有)僅依照您的指示使用平台資料,並且只提供您要求的服務,而非針對其自身用途或自身客戶的利益?
書面協議可能包括服務條款、標準非協商協議或簽署的合約。例如,如果您使用 Google Cloud 做為服務供應商,則書面協議就是您同意的「服務條款」。
[ ] 是 [ ] 否
如果您選擇「是」,系統會顯示:
3.1-4.c.i.請勾選下方的方塊,指明在您與服務供應商簽訂的書面資料協議中包含的語言類型。請選擇所有適用選項。
a.要求服務供應商僅使用平台資料來提供您要求服務的語言。
b.要求服務供應商僅按照您的指示使用平台資料的語言。
c.除非您有所指示,否則禁止服務供應商與第三方分享平台資料的語言。
d.禁止服務供應商為其自身目的或任何第三方來處理平台資料的語言。
e.要求服務供應商在您停止使用其服務時,刪除從您接收的平台資料語言。
3.1-4.c.iv.您是否知道有服務供應商及/或其任何子服務供應商(若有)的行為曾違反《Meta 開放平台使用條款》的任何實例,例如販售平台資料,或是在您停止使用其服務後,未刪除平台資料?
[ ] 是 [ ] 否
3.1-4.c.v.如果您停止使用服務供應商或子服務供應商,您與他們的協議(例如他們的服務條款)是否有指定該服務供應商必須如何及何時刪除他們從您接收的資料?
[ ] 是 [ ] 否
如果您在問題 3.1-4.c.v 中選擇「否」,您將看到:
3.1-4.c.vi.如果您停止使用服務供應商或子服務供應商,您要如何確認他們會刪除從您接收的平台資料?
如果您在問題 3.1-4 中選擇選項 e,您將看到:
3.1-4.d.接下來的問題有關技術供應商,也就是應用程式開發人員,其主要目的是代表顧客或用戶端管理開放平台整合工具,以便他們在 Meta 產品上存取及管理他們的資料。技術供應商的範例包括 SaaS(軟體即服務)供應商和代理商。
- 技術供應商定義:為代表其他個人或商家建立、維護和移除整合工具,而已授予 Meta API 存取權限的個人或商家。這包括代表個別客戶或多位客戶建立單一整合工具的個人或商家。
您在上面指出,此應用程式允許個人或商家(客戶)存取及使用開放平台資料。這表示您是技術供應商。
您是否只會代表客戶並依其指示處理您透過此應用程式接收的平台資料?[ ] 是 [ ] 否
如果您在問題 3.1-4.d 中選擇「否」,您將看到:
3.1-4.d.i.A.除了依客戶指示和代表客戶,您還為誰處理平台資料?
3.1-4.d.i.B.您為此用戶或商家處理哪些平台資料?
3.1-4.d.i.C.您為什麼要為此用戶或商家處理平台資料?
3.1-4.d.i.D.您從何時開始處理這類平台資料?
3.1-4.d.i.E.您如何處理此平台資料?
3.1-4.e.您是否單獨維護每位客戶的平台資料(包括使用單獨表格等邏輯方式,或是採用實體方式),避免這些資料與您其他客戶和您用於其他用途的資料混雜?
[ ] 是 [ ] 否
如果您在問題 3.1-4.e 中選擇「否」,您將看到:
3.1-4.f.您指出您會在上述問題中指定的情況以外分享平台資料。請說明您會在這些情況下分享的資料。
- 儲存在哪裡?
- 您如何儲存及保護資料?
- 誰有存取權限?
- 您如何控制存取權限?
如果您選擇「其他。請說明。」,系統會顯示:
- 您指出您會在上述問題中指定的情況以外分享平台資料。請說明您會在這些情況下分享的資料。
請務必納入下列問題的回覆:
- 除了此應用程式或網站的個人用戶之外,您還會與誰分享這些資料?
- 如何分享這些資料?
- 您從何時開始與您提及的實體分享資料?
- 目前是否仍持續分享這些資料?
3.1-4.f.i.針對您在這些其他情況下分享的平台資料,您是否與這些平台資料的每個接收者簽署書面協議,禁止他們以違反 Meta《開放平台使用條款》和《開發商政策》(或適用於您使用平台資料的任何其他條款)的方式使用平台資料?
書面協議的範例包括服務條款、標準非協商協議或已簽署的合約。
[ ] 是 [ ] 否
3.1-4.g.就您所知,這些平台資料接收者之中,是否有任何一者違反 Meta 的《開放平台使用條款》?例如販售、授權或購買平台資料。
[ ] 是 [ ] 否
如果您在問題 3.1-4.g 中選擇「是」,您將看到:
3.1-4.g.i.您在上面指出,您指出平台資料的接收者違反了 Meta 的《開放平台使用條款》。請提供詳細資訊。
如果您在問題 3.1-4 中選擇選項 f,您將看到:
3.1-4.i.A.您在上面指出,您會在用戶指示您分享平台資料時,讓其他用戶或商家能夠使用您透過此應用程式接收的平台資料。
請說明用戶如何指示您將平台資料與其他用戶或商家分享。
3.1-4.i.B.請上傳這類分享的同意流程螢幕截圖。請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
資料刪除
3.1-5.您是否會在下列「所有」情況下刪除平台資料,除非我們的使用條款允許保留?
a.當出於合法商業用途不再需要保留平台資料時,
b.用戶要求時,
c.當用戶不再擁有您的應用程式帳號時(僅適用於您提供用戶帳號的情況),
d.Meta 要求時;以及
e.法律或法規要求時。
就這個問題而言,「開放平台資料」不包括《開放平台使用條款》第 3.e 條:「例外情況」中列出的資料。請查看《開放平台使用條款》第 3d 條:「保留、刪除和存取開放平台資料」,瞭解我們的刪除規定。請注意,在某些情況下,如果開放平台資料已經過彙總、遮蓋內容或去識別化,無法再連結至特定用戶、瀏覽器或裝置,則不需要刪除。可允許針對配合用戶體驗的商業目的(例如計費),維護彙總和匿名資料。
- [ ] 是
- [ ] 否
如果您在問題 3.1-5 中選擇「否」,您將看到:
3.1-5.a.在上述哪些情況下,您「不會」刪除平台資料?為什麼?
3.1-6.如果您在上述情況下刪除平台資料,是否會採取步驟,以在合理的可能範圍內儘快刪除平台資料?
合理的可能範圍可能需視系統和資料而定,但通常不應超過 120 天。此問題僅適用於開放平台資料,不適用於此應用程式獨立蒐集或儲存的資料。
這不適用於您必須依據適用法律或法規保留的開放平台資料。
- [ ] 是
- [ ] 否
在哪些情況下,您會將平台資料保留超過 120 天?注意:這不適用於您必須依據適用法律或法規保留的平台資料。
如果您在問題 3.1-6 中選擇「否」,您將看到:
3.1-6.a.在哪些情況下,您會將平台資料保留超過 120 天?
注意:這不適用於您必須依據適用法律或法規保留的平台資料。
如果您在問題 3.1-5 中選擇「是」,您將看到:
3.1-5.b.您在上面指出,當合法商業用途不再需要平台資料時,您會刪除平台資料。請說明您如何判定是否不再需要為合法商業用途而保留平台資料。
就此問題而言,「平台資料」不包括《開放平台使用條款》第 3(e) 條中列出的資料。
3.1-5.c.您在上面指出,您會在用戶要求時,刪除平台資料。請說明用戶可以如何要求刪除資料。請附上螢幕截圖(如適用)。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
就此問題而言,「平台資料」不包括《開放平台使用條款》第 3(e) 條中列出的資料。
資料安全
3.1-A.依據《開放平台使用條款》第 6.a.i 條,Meta 要求您必須維護管理、實體和技術防護措施,以防止任何未授權的存取、毀損、遺失、變更、揭露、散佈或危害平台資料之行為。
如需詳細資訊,請參閱「開發人員資料安全最佳作法」、「資料保護評估」總覽和常見問題。
在回答下一組問題之前,請確認您向正確的人員諮詢。這應包括您的資安長、在您的組織中具有同等角色的人員,或合格的網路安全公司(例如,具有至少 5 年進行 ISO 27001 審核經驗的公司),以確保所提供回覆的準確性。
勾選「我瞭解」,繼續進行評估。
[ ] 我瞭解
3.1-B.提醒您,在我們的《開放平台使用條款》詞彙表中,「平台資料」的定義如下:「我們在您同意本使用條款之前、當下或之後,透過開放平台或您的應用程式直接或間接提供給您的任何資訊、資料或其他內容,包括從這類資料進行匿名處理、彙總或衍生的資料。開放平台資料包括應用程式權杖、粉絲專頁權杖、存取權杖、應用程式密鑰和用戶權杖。」
為避免疑義,這類資料包括用戶編號、電子郵件地址,以及您對 graph.facebook.com 發出 API 呼叫而收到的所有資料。
若要回答下列問題,您需要全面瞭解在您的軟體和系統中,如何傳輸、儲存和處理與此應用程式相關的 Meta 開放平台資料。
此問題適用於此應用程式中的所有權限、特性和功能。若要查看此應用程式中的權限、特性和功能,請前往此應用程式的主控板。在「我的應用程式」頁面中選擇該應用程式,即可前往主控板。
選擇「我瞭解」以繼續。
[ ] 我瞭解
3.1-7.如果您有符合下列所有條件的資訊安全認證,可以提交該認證,以證明您已實作足夠的管理、實體和技術防護措施來保護平台資料:
- 認證類型必須為 SOC 2、ISO 27001、ISO 27018 或同等認證。
- 必須由獨立稽核單位核發認證給您的組織(而不是核發給第三方)。
- 必須是目前有效的認證:過去一年內核發的 SOC 2 認證,或過去三年內核發的 ISO 認證。
- 稽核範圍必須全面涵蓋您用來處理 Meta 開放平台資料的系統。
您是否有符合這些條件的安全認證?
[ ] 是 [ ] 否
如果您在問題 3.1-7 中選擇「是」,您將看到:
3.1-7.a.您有哪些資料安全認證?請選擇所有適用選項。* [ ] SOC2 類型 2 報告 * [ ] ISO 27001 認證 * [ ] ISO 27018 認證* [ ] 其他同等級證書 * 如果您選擇「其他同等級證書」,您將看到:* 此安全證書的名稱為何?
3.1-7.a.i.B.請上傳安全證書副本。請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-7.a 中選擇選項 d,您將看到:
3.1-7.a.i.A.此安全證書的名稱為何?
3.1-8.您是否將平台資料儲存在後端環境中(例如,雲端或其他類型代管環境中的資料庫、物件儲存貯體或區塊儲存功能)?
如果您將平台資料寫入可在裝置電源關閉後保留資料的後端雲端或伺服器環境中的任何永續性儲存空間(例如可透過網站或 API 存取的磁碟、記錄檔或資料庫),請選擇「是」。
如果您執行下列任一操作,請選擇「否」:
專門處理您應用程式終端用戶擁有的用戶端上的平台資料,並且絕不將平台資料傳輸到任何後端環境
在後端環境中處理平台資料,但這資料都不會寫入任何永續性儲存空間
[ ] 是
- [ ] 否
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-8.a.您在上一個問題中表明您確實將平台資料儲存在後端環境中。您在後端環境中儲存下列哪種類型的平台資料?請選擇所有適用選項。
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
「儲存」是指將平台資料寫入任何斷電後仍可保留資料的環境(例如記錄檔案、物件或關聯式資料庫或磁碟)。
a.Meta 用戶編號或雜湊用戶編號
b.電子郵件地址
c.大頭貼照
d.Meta API 用戶存取權杖
e.應用程式密鑰
f.上述未列出的其他平台資料
3.1-8.b.您使用下列哪些代管解決方案以在後端環境中處理平台資料?
- 「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
請選擇所有適用選項。
a.Amazon Web Services(AWS)
b.Microsoft Azure
c.Microsoft Azure PlayFab
d.Google Cloud Platform(GCP)
e.阿里巴巴/阿里雲
f.騰訊
g.Oracle Cloud
h.Heroku
i.Digital Ocean
j.另一個組織擁有的資料中心以及我的組織擁有的伺服器
k.我的組織擁有的資料中心和伺服器
l.其他
如果您在問題 3.1-8.b 中選擇選項 l,您將看到:
3.1-8.b.i.在上一個問題中,您選擇「其他」表示您使用未列出的代管選項。描述您的後端環境代管方法。
如果您在問題 3.1-8.a 中選擇選項 b、c、d、e 或 f,在問題 3.1-8.b 中選擇選項 c、h、i、j、k 或 l,您將看到:
3.1-9.a.您是否對儲存在後端環境中的所有平台資料強制執行待用資料加密?
待用資料加密能讓資料在沒有解密金鑰的情況下無法辨識,進而保護平台資料。這能提供另一層保護,避免未授權的讀取存取。如果您將平台資料儲存在後端環境中,我們要求您透過待用資料加密或可接受的替代保護來保護該資料。
部分代管供應商預設啟用待用資料加密或具有啟用該功能的設定選項。在回答此問題之前,請先驗證待用資料加密是否會套用在您用於儲存平台資料的服務。若已套用,請對這個問題回答「是」。
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否,但我們的代管供應商擁有 SOC 2 或 ISO 27001 認證,表明其實體安全和安全媒體處置控制已由第三方進行評估。
[ ] 否
如果您在問題 3.1-8.a 中選擇選項 b、c、d、e 或 f,但在問題 3.1-8.b 中不選擇選項 c、h、i、j、k 或 l,您將看到:
3.1-9.b.您是否對儲存在後端環境中的所有平台資料強制執行待用資料加密?
部分代管供應商預設啟用待用資料加密或具有啟用該功能的設定選項。在回答此問題之前,請先驗證待用資料加密是否會套用在您用於儲存平台資料的服務。若已套用,請對這個問題回答「是」。
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否
如果您在問題 3.1-9.a 中選擇「是」,並在問題 3.1-9.b 中選擇「是」,您將看到:
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
3.1-9.b.i.您在上一個問題中表明,您對儲存在後端環境中的所有平台資料強制執行待用資料加密。上傳書面說明(例如政策或程序文件),說明儲存在後端環境中的所有平台資料必須透過待用資料加密進行保護。
如果您根據一組資料敏感度等級對資料進行不同的分類和保護,您的說明應清楚表明為從 Meta 收到的平台資料指定何種敏感度等級,並且您應該上傳相關政策。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
3.1-9.b.ii.上傳至少一個證據(例如,資料庫執行個體的螢幕截圖),以顯示您如何在實務中實作此保護:儲存在後端環境中的所有平台資料都受到待用資料加密的保護。
確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-9 中選擇「否」,您將看到:
3.1-9.c.i.您擁有何種類型的證據來證明您的代管供應商的實體安全和安全媒體處置控制已完成評估?
為了表明您遵守 Meta 的《開放平台使用條款》,您必須確認您代管供應商的 ISO 27001 或 SOC 2 稽核具有範圍內的實體安全和安全媒體處置控制。在 ISO/IEC 27001:2013 或 2017 標準中,這些是控制措施 A.8.3、A.11.1 和 A.11.2。在 SOC 2 標準中,這些是控制措施 CC6.4 和 CC6.5。
a.對我的代管供應商進行的 ISO 27001 稽核,其中相關的適用性聲明(SOA)指出實體安全和安全媒體處置控制已進行評估
b.SOC 2 稽核報告指出,實體安全和安全媒體處置控制已進行測試,且沒有與這些控制措施相關的不良結果
c.以上皆非
如果您在問題 3.1-9.c.i 中選擇選項 a 或 b,您將看到:
3.1-9.c.ii.您的代管供應商的 ISO 27001 或 SOC 2 認證的核發日期為何?
3.1-10.您的組織中是否有人在組織端點或個人裝置(例如筆記型電腦或智慧型手機)上儲存平台資料?
「儲存」是指將平台資料寫入任何斷電後仍保留資料的環境,例如筆記型電腦、USB 隨身碟、卸除式硬碟,以及 Dropbox 或 Google 雲端硬碟等雲端儲存服務。
注意:為服務的個別用戶保留在網頁或行動用戶端中的平台資料,不在此問題的範圍內。
- [ ] 是。我組織中的一或多名人員將平台資料儲存在其組織或個人裝置上。
- [ ] 否。在任何情況下,我組織中的任何人都不會在組織或個人裝置上儲存平台資料。
如果您在問題 3.1-10 中選擇「是」,您將看到:
3.1-10.a.當組織中的人員將平台資料儲存在組織端點或個人裝置上時,您會實作哪些保護措施來降低資料遺失的風險?
我們要求您實作保護措施,以降低存取靜態儲存平台資料的風險。
請選擇所有適用選項。
a.在組織裝置上強制執行全磁碟加密的軟體或服務(例如 Bitlocker 或 FileVault)
b.所有受管理裝置上的端點資料遺失防護 (DLP) 軟體可監控和記錄與儲存的平台資料相關的動作
c.我組織中的人員有義務遵循可接受的使用政策,該政策僅允許存在明確且可採取行動的商業用途情況下處理平台資料,並指明當商業用途不再存在時必須刪除資料
d.以上皆非
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-10.a 中選擇選項 a 或 b,您將看到:
3.1-10.a.i.您在上一個問題中表示,您透過在組織或個人裝置上實作全磁碟加密,或使用端點資料遺失防護 (DLP) 軟體來保護儲存在這些裝置上的平台資料。上傳書面說明(例如政策或程序文件),說明您如何實作此技術保護。
如果您根據一組資料敏感度等級對資料進行不同的分類和保護,您的說明應清楚表明為從 Meta 收到的平台資料指定何種敏感度等級,並且您應該上傳相關政策。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-10.a 中選擇選項 a 或 b,您將看到:
3.1-10.a.ii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以顯示您如何在實務上實作此保護:對組織或個人裝置上儲存的平台資料的技術保護。[主要問題]
例如:
需要為受管理的裝置啟用 BitLocker 的群組政策螢幕截圖
顯示為所有端點啟用 PII 資料監控的 DLP 管理工具螢幕截圖
IT 管理員用於強制在所有組織裝置上使用技術保護的其他工具或產品的螢幕截圖
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-10.a 中選擇選項 c,您將看到:
3.1-10.a.iii.您在上一個問題中表明,您組織中的人員在組織或個人裝置上儲存平台資料時,有義務遵循合理用途政策。上傳包含您合理用途政策的書面說明(例如政策或程序文件)。
我們要求該政策明確描述以下內容:
在組織或個人裝置上處理平台資料的允許商業用途
當此用途不再存在時刪除資料的要求
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-10.a 中選擇選項 c,您將看到:
3.1-10.a.iv.我可以確認我組織中所有可能在組織或個人裝置上處理平台資料的人員已被告知此資料的合理用途政策、已確認他們對此政策的理解、在作為新任職員工時被告知此政策
[ ] 是,我可以確認。
[ ] 否,我不能確認。
如果您在問題 3.1-8 中選擇「是」,並在問題 3.1-10 中選擇「否」,您將看到:
3.1-10.b.您在上一個問題中表明,在任何情況下,您組織中的任何人都不會在組織或個人裝置上儲存平台資料。
您是否曾告知組織中的人員,無論任何情況下均不得在組織或個人裝置儲存平台資料,並要求他們承認這項義務?
「儲存」是指將平台資料寫入任何斷電後仍保留資料的環境,例如筆記型電腦、USB 隨身碟、卸除式硬碟,以及 Dropbox 或 Google 雲端硬碟等雲端儲存服務。
我們的政策要求組織告知其組織中人員,包含如管理員等高權限用戶,均不得儲存平台資料。
[ ] 是
[ ] 否
如果您在問題 3.1-8 中選擇「否」,並在問題 3.1-10 中選擇「否」,您將看到:
3.1-10.c.您在上一個問題中表明,在任何情況下,您組織中的任何人都不會在組織或個人裝置上儲存平台資料。
您是否曾告知組織中的人員,無論任何情況下均不得在組織或個人裝置儲存平台資料,並要求他們承認這項義務?
「儲存」是指將平台資料寫入任何斷電後仍保留資料的環境,例如筆記型電腦、USB 隨身碟、卸除式硬碟,以及 Dropbox 或 Google 雲端硬碟等雲端儲存服務。
我們的政策要求組織告知其組織中人員,包含如管理員等高權限用戶,均不得儲存平台資料。
[ ] 是
[ ] 這是不需要的,因為我組織中的人員永遠無法存取平台資料。
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-10.b,或在問題 3.1-10.c 中選擇「是」,您將看到:
3.1-10.c.i.您在之前的問題中表明,在任何情況下,您組織中的人員都不會在組織或個人裝置上儲存平台資料。上傳書面說明(例如政策或程序文件),聲明您組織中的人員不得在這些裝置儲存平台資料。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-10.b,或在問題 3.1-10.c 中選擇「是」,您將看到:
3.1-10.c.ii.我可以確認,所有在我組織中的人員:
已被告知禁止他們在組織或個人裝置儲存平台資料的政策
已確知他們瞭解這項政策
已在作為新員工任職時知悉這項政策
[ ] 是,我可以確認。
[ ] 否,我不能確認。
如果您在問題 3.1-8 中選擇「否」,並在問題 3.1-10 中選擇「否」,您將看到:
3.1-10.d.上傳資料流程圖與描述以說明您的應用程式如何使用平台資料。
應包含以下詳細資訊:
展示您的應用程式如何呼叫 Meta API(例如 graph.facebook.com),並識別使用平台資料的所有元件,包括跨網路儲存、快取、處理或傳輸平台資料的元件
描述您支援的主要使用案例(即為應用程式用戶提供有價值結果的流程)。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-11.a.您是否啟用 TLS 1.2 以上版本的安全協定,以為所有將透過、連接或跨越傳輸平台資料的公共網路的所有網路連線資料進行加密?
傳輸中加密能讓平台資料除了來源和目的地裝置之外無法辨識,進而在不受信任的網路(例如網際網路)中傳輸平台資料時保護其安全。處於傳輸當中的各方即使能看到網路流量(如中間人攻擊)也無法讀取平台資料。TLS 是最普遍的傳輸中加密,這是瀏覽器用於保障與銀行等網站進行通訊的技術。
我們要求接收或傳回平台資料的所有網路接聽程式(例如面向網際網路的負載平衡器)必須啟用 TLS 1.2 以上版本。僅限在用戶端裝置無法使用 TLS 1.2 或以上版本時,為了相容性而使用 TLS 1.0 和 TLS 1.1。Meta 建議(但不要求)針對完全處於由您控制的受信任私人網路中(例如,位於虛擬私人雲端(VPC)中)的平台資料進行傳輸中加密。如需關於此要求以及如何上傳任何必要證據的更多資訊,請參考我們的《資料安全規定》。
[ ] 是
[ ] 否
如果您在問題 3.1-8 中選擇「否」,您將看到:
3.1-11.b.您是否啟用安全通訊協定 TLS 1.2 以上版本,以針對傳輸平台資料的所有網路連線(通過、連接或跨公開網路)資料進行加密?
傳輸中加密能讓平台資料除了來源和目的地裝置之外無法辨識,進而在不受信任的網路(例如網際網路)中傳輸平台資料時保護其安全。處於傳輸當中的各方即使能看到網路流量(如中間人攻擊)也無法讀取平台資料。TLS 是最普遍的傳輸中加密,這是瀏覽器用於保障與銀行等網站進行通訊的技術。
我們要求接收或傳回平台資料的所有網路接聽程式(例如面向網際網路的負載平衡器)必須啟用 TLS 1.2 以上版本。僅限在用戶端裝置無法使用 TLS 1.2 或以上版本時,為了相容性而使用 TLS 1.0 和 TLS 1.1。Meta 建議(但不要求)針對完全處於由您控制的受信任私人網路中(例如,位於虛擬私人雲端(VPC)中)的平台資料進行傳輸中加密。如需關於此要求以及如何上傳任何必要證據的更多資訊,請參考我們的《資料安全規定》。
[ ] 是
[ ] 這並不需要。除了由 Meta 的直接要求外,我們從未基於任何理由透過網際網路傳輸平台資料。
[ ] 否
如果您在問題 3.1-11.a,或在問題 3.1-11.b 中選擇「是」,您將看到:
3.1-11.c.您在上一個問題中表明您啟用安全協定 TLS 1.2 以上版本來加密傳輸中的資料。您是否確定平台資料絕不會以未加密的形式在公開網路上傳輸(例如透過 HTTP 或 FTP),而且絕不會使用安全通訊協定 SSL 2.0 和 SSL 3.0?
我們要求平台資料絕不能以未加密的形式在不受信任的網路上傳輸,而且您絕不能使用 SSL 2.0 或 SSL 3.0。如需關於此要求以及如何上傳任何必要證據的更多資訊,請參閱我們的《資料安全規定》。
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-11.a,或在問題 3.1-11.b 中選擇「是」,您將看到:
3.1-11.a.i.上傳書面說明(例如政策或程序文件),聲明如何為傳輸中的資料啟用安全協定 TLS 1.2 以上版本。
您的文件應包含下列聲明:1.平台資料絕不會在無傳輸中加密的情況下進行傳輸 2.絕不使用 SSL 版本 2 與 SSL 版本 3
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-11.a,或在問題 3.1-11.b 中選擇「是」,您將看到:
3.1-11.a.ii.上傳至少一項證據(例如,針對您的某個網域執行的 Qualys SSL 報告結果的全螢幕截圖),以顯示您如何在實務中實作此保護:在傳輸中為下列資料啟用 TLS 1.2 以上版本的安全協定。[主要問題]
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx
如果您在問題 3.1-8 中選擇「否」,您將看到:
3.1-12.a.在過去 12 個月內,您使用下列哪種方法來測試用於處理平台資料的軟體是否有漏洞和安全性問題?
這個問題僅涉及您為處理平台資料而建置或包裝的軟體(例如程式碼庫),與其他公司建立或維護的軟體(例如 Android 或 iOS 作業系統)無關。
請選擇所有適用選項。
a.靜態應用程式安全測試(SAST)
b.動態應用程式安全測試(DAST)
c.由內部團隊進行滲透測試
d.由外部安全防護公司進行滲透測試
e.透過安全漏洞揭露計畫(VDP)或抓漏獎勵方案獲得的外部研究人員漏洞報告
f.另一種識別漏洞的方法
g.以上皆非
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-12.a 中選擇 a - g 中的任何一個選項,您將看到:
3.1-12.a.i.上傳書面說明(例如政策或程序文件),說明您如何測試用於處理平台資料的軟體是否有漏洞和安全性問題。
以下測試程序應全部包含在您的書面說明中:
至少每 12 個月測試一次安全漏洞
制定一個根據嚴重性對結果進行分類的流程
確保及時修正可能導致未授權存取平台資料的高嚴重性漏洞
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-12.a 中選擇 a - f 中的任何一個選項,您將看到:
3.1-12.a.ii.上傳至少一項證據(例如,最近滲透測試結果的摘要),以展示您如何在實務中實作此保護措施:測試用於處理平台資料的軟體是否有漏洞和安全性問題。
您的證據應包含以下詳細資訊:1.範圍和測試方法的說明 2.測試活動進行的日期(為了可接受,該日期必須在我們通知您有關此評估日期之前的 12 個月以內。)3.如果適用,一份任何未修正的嚴重和高嚴重性漏洞的摘要
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-12.b.在過去 12 個月內,您使用下列哪種方法針對處理平台資料後端環境中的漏洞和安全性問題進行測試?
該問題僅涉及您為處理平台資料而建置或封裝的軟體(例如程式碼庫),而與其他公司建立或維護的軟體(例如您作為服務供應商所依賴的分析服務)無關。
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
請選擇所有適用選項。
a.靜態應用程式安全測試(SAST)
b.動態應用程式安全測試(DAST)
c.網路掃描
d.由內部團隊進行滲透測試
e.由外部安全防護公司進行滲透測試
f.透過安全漏洞揭露計畫(VDP)或抓漏獎勵方案獲得的外部研究人員漏洞報告
g.另一種識別漏洞的方法
h.這是不必要的,因為我的組織使用無程式碼後端解決方案
i.以上皆非
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-12.b 中選擇 a - g 中的任何一個選項,您將看到:
3.1-12.b.i.上傳書面說明(例如政策或程序文件),說明您如何在處理平台資料的後端環境中測試漏洞和安全性問題。
以下測試程序應全部包含在您的書面說明中:
至少每 12 個月測試一次安全漏洞
制定一個根據嚴重性對結果進行分類的流程
確保及時修正可能導致未授權存取平台資料的高嚴重性漏洞
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-12.b 中選擇 a - g 中的任何一個選項,您將看到:
3.1-12.b.ii.上傳至少一項證據(例如,最近滲透測試結果的摘要),以顯示您如何在實務中實作此保護:測試處理平台資料的後端環境中的漏洞和安全性問題。
您的證據應包含以下詳細資訊:
範圍和測試方法的說明
測試活動進行的日期(為了可接受,該日期必須在我們通知您有關此評估日期之前的 12 個月以內。)
如果適用,一份任何未修正的嚴重和高嚴重性漏洞的摘要
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您選擇 3.1-8.b 中的 a-b 或 d-i 任一選項
3.1-12.c.您是否至少每 12 個月測試一次用於處理平台資料的雲端環境是否存在安全性設定錯誤(例如,使用 NCC Scout Suite 等工具來識別設定錯誤)?
Meta 要求您至少每 12 個月採取措施,以測試您的軟體是否有漏洞和安全性問題,以防止未授權存取平台資料。
[ ] 是
[ ] 不適用,因為我的組織僅依賴不公開任何敏感性安全配置選項的後端服務
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-12.c 中選擇「是」,您將看到:
3.1-12.c.i.上傳書面說明(例如政策或程序文件),說明您如何測試用於處理平台資料的雲端環境是否有安全性設定錯誤。
以下測試程序應全部包含在您的書面說明中:
至少每 12 個月測試一次安全漏洞。
制定一個根據嚴重性對結果進行分類的流程。
確保及時修正可能導致未授權存取平台資料的高嚴重性漏洞。
請標示或圈出您的政策中列出這些條件的位置。
Meta 要求您至少每 12 個月採取措施,以測試您的軟體是否有漏洞和安全性問題,以防止未授權存取平台資料。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-12.c 中選擇「是」,您將看到:
3.1-12.c.ii.上傳至少一項證據(例如 NCC Scout Suite 測試的摘要),以說明您如何在實務中實作此保護:測試用於處理平台資料的雲端環境是否有安全性設定錯誤。
您的證據應包含以下詳細資訊:
範圍和測試方法的說明
測試活動進行的日期(為了可接受,該日期必須在我們通知您有關此評估日期之前的 12 個月以內。)
如果適用,一份任何未修正的嚴重和高嚴重性漏洞的摘要
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-13.a.您的應用程式或軟體是否曾經在顧客或用戶端裝置上儲存可供其他應用程式或用戶讀取的存取權杖?
「顧客或用戶端裝置」是指應用程式或服務終端用戶所擁有的硬體,例如 Android 或 iPhone 手機。
如果您沒有在顧客或用戶端裝置(例如手機)上執行的應用程式或軟體,請選擇「否」。
[ ] 是
[ ] 否
如果此應用程式未設定為桌面版/原生,您將看到:
3.1-13.b.Facebook 應用程式的密鑰是否曾經暴露給顧客或用戶端裝置(例如,在編譯的程式碼中)?
[ ] 是
[ ] 是的,但我的應用程式會設定為桌面版或原生應用程式
[ ] 否
如果您在問題 3.1-8.a 中選擇選項 d,您將看到:
3.1-13.c.您收到此問題是因為您在上一個問題中表明您將 Meta API 用戶存取權杖儲存在後端環境中。您如何保護這些權杖不受未授權的使用?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
存取權杖是 Meta API 安全的基礎。我們要求開發人員保護存取權杖以免未授權的存取。瞭解存取權杖。
請選擇所有適用選項。
a.透過使用單獨的密鑰管理服務(KMS)將此資料儲存在資料保存庫(例如 Hashicorp 的 Vault)中
b.使用應用程式加密(例如,用戶存取權杖絕不透過未加密形式寫入資料庫或任何其他永續性儲存空間)
c.透過將應用程式設定為需要 appsecret_proof 參數才能對 Meta 進行 API 呼叫
d.我使用不同的方法來保護用戶存取權杖
e.以上皆非
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-13.c 中選擇 a、b、c 或 d,您將看到:
3.1-13.c.i.上一個問題詢問您如何保護儲存在後端環境中的用戶存取權杖,以避免未授權的使用。上傳書面說明(例如政策或程序文件),說明您如何保護這些存取權杖。
您的書面說明應包括:
如何保護用戶存取權杖以避免未授權的讀取存取的描述
要求用戶存取權杖絕不能以純文字(未加密)形式寫入記錄檔
請標示或圈出您的政策中列出這些條件的位置。
存取權杖是 Meta API 安全的基礎。我們要求開發人員保護存取權杖以免未授權的存取。瞭解存取權杖。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
3.1-13.c.ii 上傳至少一項證據(例如,存取權杖密鑰的螢幕截圖,但不是其值),以顯示您如何在實務中實作此保護:保護儲存在後端環境中的存取權杖以避免未授權的使用。[主要問題]
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8.a 中選擇選項 e,您將看到:
3.1-13.d.您收到此問題是因為您在上一個問題中表明您將應用程式密鑰儲存在後端環境中。您如何保護這些應用程式密鑰不受未授權的使用?
應用程式密鑰是與 Meta 技術關聯的參數,可在特定 API 呼叫中作為存取權杖來變更應用程式的配置,例如設定 Webhook 回呼。您可以在應用程式主控板上的「設定」>「基本」下找到應用程式的應用程式密鑰。如需有關應用程式密鑰的更多資訊,請參閱我們在登入安全上的開發人員文件。如需有關我們保護應用程式密鑰和用戶存取權杖要求的更多資訊,包括您可能需要提供的任何證據,請參閱保護 Meta 應用程式密鑰和存取權杖。
我們要求您透過以下兩種方式之一保護應用程式密鑰:
絕不將其暴露在安全的伺服器環境之外。這表示絕不會透過網路呼叫將其傳回瀏覽器或行動應用程式,且密鑰並未嵌入分發至行動或原生/桌上型電腦用戶端的程式碼中。
或者,透過將應用程式驗證設定為「原生或桌面版應用程式」類型,這樣 Meta API 將不再信任包含應用程式密鑰的 API 呼叫。
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
請選擇所有適用選項。
a.透過使用單獨的密鑰管理服務(KMS)將此資料儲存在資料保存庫(例如 Hashicorp 的 Vault)中
b.使用應用程式加密(例如,應用程式密鑰絕不透過未加密形式寫入資料庫或任何其他永續性儲存空間)
c.我使用不同的方法來保護應用程式密鑰
d.以上皆非
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-13.d 中選擇選項 a、b 或 c,您將看到:
3.1-13.d.i.您在上一個問題中表明,您會保護後端環境中儲存的應用程式密鑰,以避免未授權的使用。上傳書面說明(例如政策或程序文件),說明您如何實作此保護。
您的書面說明應包括:
如何保護應用程式密鑰以避免未授權的讀取存取的描述
要求應用程式密鑰絕不能以純文字(未加密)形式寫入記錄檔
請標示或圈出您的政策中列出這些條件的位置。
應用程式密鑰對於 Meta 的 API 的安全性至關重要。我們要求開發人員保護應用程式密鑰以免未授權的存取。瞭解應用程式密鑰。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-13.d 中選擇選項 a、b 或 c,您將看到:
3.1-13.d.ii.上傳至少一項證據(例如,包含已編輯值的應用程式密鑰的密鑰管理員的螢幕截圖),以顯示您如何在實務中實作此保護:保護儲存在後端環境中的應用程式密鑰以免未授權的使用。
若要查看可接受證據的範例,請前往我們針對此問題的證據指南。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-15.a.您是否需要多重驗證(MFA)才能存取您的協作和通訊工具?
我們要求為您的協作和通訊工具(例如電子郵件、Slack)的所有用戶提供 MFA 或可接受的替代保護。我們不需要任何特定的 MFA 實作方法。
[ ] 是
[ ] 否,但我們強制執行密碼複雜性政策,並具有驗證後移和登入嘗試失敗時自動鎖定帳號的功能。
[ ] 否
3.1-15.b.您是否需要多重驗證(MFA)才能存取程式碼儲存庫工具(例如 GitHub)或用於追蹤應用程式以及任何系統程式碼和設定變更的任何工具?
我們需要為程式碼儲存庫的所有用戶提供 MFA 或可接受的替代保護。我們不需要任何特定的 MFA 實作方法。
[ ] 是
[ ] 否,但我們強制執行密碼複雜性政策,並具有驗證後移和登入嘗試失敗時自動鎖定帳號的功能。
[ ] 否
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-15.c.您是否需要多重驗證(MFA)來存取您的軟體部署工具,例如 Jenkins 或其他持續整合/持續部署(CI/CD)工具?
我們需要為您軟體部署工具的所有用戶提供 MFA 或可接受的替代保護。我們不需要任何特定的 MFA 實作方法。
[ ] 是
[ ] 否,但我們強制執行密碼複雜性政策,並具有驗證後移和登入嘗試失敗時自動鎖定帳號的功能。
[ ] 否
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-15.d.您是否需要多重驗證(MFA)來存取後端管理工具(例如雲端管理入口網站)?
我們需要為您的雲端或伺服器管理工具的所有用戶提供 MFA 或可接受的替代保護。我們不需要任何特定的 MFA 實作方法。
[ ] 是
[ ] 否,但我們強制執行密碼複雜性政策,並具有驗證後移和登入嘗試失敗時自動鎖定帳號的功能。
[ ] 否
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-15.e.您是否需要對伺服器的所有遠端存取(例如透過 SSH)進行多重驗證(MFA)?
我們需要為所有對伺服器的遠端存取提供 MFA 或可接受的替代保護。我們不需要任何特定的 MFA 實作方法。
[ ] 是
[ ] 否,但我們強制執行密碼複雜性政策,並具有驗證後移和登入嘗試失敗時自動鎖定帳號的功能。
[ ] 不適用。我們沒有對伺服器的遠端存取。
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-15.a 到 3.1-15.e 中選擇「是」,您將看到:
3.1-15.e.i.上傳書面說明(例如,政策或程序文件),說明您對多重驗證(MFA)的要求或防止帳號竊取的其他措施(例如,密碼複雜性結合驗證後移以及登入嘗試失敗時自動鎖定帳號)。
您的說明應包括對任何協作和通訊工具、程式碼儲存庫、軟體部署工具、後端管理工具,以及透過 SSH 等工具遠端存取伺服器的所有存取的驗證要求。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-15.a 到 3.1-15.e 中選擇「是」,您將看到:
3.1-15.e.ii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以顯示您如何在實務中實作此保護:多重驗證或其他防止帳號竊取的措施。
您的證據應表明您如何使用驗證來保護對任何協作和通訊工具、程式碼儲存庫、軟體部署工具、後端管理工具以及透過 SSH 等工具對伺服器的遠端存取的所有存取。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-16.您是否有一個用於維護帳號的系統,以管理對組織中人員的存取權限授予、撤銷和審查?
我們要求您擁有一個維護帳號的系統,並定期審查存取授權,至少每 12 個月一次。您必須有發生下列情形時立即撤銷存取權限的流程:
存取已不再需要
存取已不再需要被使用
某位人員離開組織
[ ] 是
[ ] 否
如果您在問題 3.1-16 中選擇「是」,您將看到:
3.1-16.a.您實作下列哪些流程作為帳號維護系統的一部分?
請選擇所有適用選項。
a.我們至少每 12 個月審查一次所有存取權限,並撤銷不再需要的存取權限。
b.我們至少每 12 個月審查一次所有存取權限,並撤銷不再使用的存取權限。
c.當某位人員離開組織,我們會立即撤銷所有存取權限。
d.以上皆非
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-16.a 中選擇 a-c 中的任何一個選項,您將看到:
3.1-16.a.i.上傳書面說明(例如政策或程序文件),說明以下內容:與您的帳號維護系統相關的要求。
您的書面說明必須包含相關要求以:
撤銷已不再需要的存取權
撤銷已不再使用的存取權
當某人離開您的組織時立即撤銷存取權限
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-16.a 中選擇 a-c 中的任何一個選項,您將看到:
3.1-16.a.ii.上傳至少一項證據(例如,工具配置或螢幕截圖),以顯示您如何在實務中實作此保護:實作帳號維護系統。
您的證據必須顯示您如何:
撤銷已不再需要的存取權
撤銷已不再使用的存取權
當某人離開您的組織時立即撤銷存取權限
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8 中選擇「是」,您將看到:
3.1-17.a.您在之前的問題中表明您將平台資料儲存在後端環境中。與您在後端環境中用於處理平台資料的軟體相關,您是否執行以下所有操作:採用已定義且可重複的方式來識別第三方軟體中解決安全漏洞的修補程式;根據風險(例如,根據 CVSS 嚴重性)確定可用修補程式的優先順序;將修補程式套用為進行中的活動
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 這是不必要的,因為我的組織使用無程式碼後端解決方案。
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-17.a 中選擇「是」,您將看到:
3.1-17.a.i.您在上一個問題中表示您有保留程式碼和後端環境更新的流程。上傳書面說明(例如政策或程序文件),說明如何保留程式碼和後端環境更新。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-17.a 中選擇「是」,您將看到:
3.1-17.a.ii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以顯示您如何在實務中實作此保護:保持程式碼和後端環境更新。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-17.b.與您用於在行動應用程式(例如 Android 或 iPhone 應用程式)中處理平台資料的第三方軟體相關,您是否執行以下所有操作:採用已定義且可重複的方式來識別第三方軟體中解決安全漏洞的修補程式;根據風險(例如,根據 CVSS 嚴重性)確定可用修補程式的優先順序;將修補程式套用為進行中的活動
[ ] 是
[ ] 這不是必需的,因為我的組織不會在行動應用程式中處理平台資料。
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-17.b 中選擇「是」,您將看到:
3.1-17.b.i.在上一個問題中,您表明您會在行動應用程式中更新第三方軟體。上傳書面說明(例如政策或程序文件),說明如何在行動應用程式中更新第三方程式碼。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-17.b 中選擇「是」,您將看到:
3.1-17.b.ii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以展示您如何在實務中實作此保護:在您的行動應用程式中保持第三方程式碼更新。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-17.c.與作業系統、防毒軟體、筆記型電腦上執行的瀏覽器以及組織中的人員用來建立和操作應用程式的其他系統和應用程式相關,您是否執行以下所有操作:採用已定義且可重複的方式來識別第三方軟體中解決安全漏洞的修補程式;根據風險(例如,根據 CVSS 嚴重性)確定可用修補程式的優先順序;將修補程式套用為進行中的活動
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-17.c 中選擇「是」,您將看到:
3.1-17.c.i.您在上一個問題中表示,您將保持用於建置和操作應用程式的系統和應用程式中的第三方軟體更新。上傳書面說明(例如政策或程序文件),說明您如何保持此第三方軟體和防毒軟體的更新。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
這個問題只適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-17.c 中選擇「是」,您將看到:
3.1-17.c.ii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以展示您如何在實務中實作這種保護:保持第三方軟體和防毒軟體更新。[主要問題]
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-21.您是否提供公開管道,讓用戶向您回報此應用程式中的安全漏洞?
[ ] 是
[ ] 否
如果您在問題 3.1-21 中選擇「否」,您將看到:
3.1-21.a.是否有經常監看的公開電子郵件地址、電話號碼或聯絡表單可供用戶用來與您聯絡?
[ ] 是
[ ] 否
如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,您將看到:
3.1-22.您在之前的問題中表明您將平台資料儲存在後端環境中。您是否收集此後端環境的管理稽核記錄?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22 中選擇「是」,您將看到:
3.1-22.a.上傳書面說明(例如政策或程序文件),說明如何收集儲存平台資料的後端環境的管理稽核記錄。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表以確定這些要求是否適用於您
如果您在問題 3.1-22 中選擇「是」,您將看到:
3.1-22.a.i.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以顯示您如何在實務中實作此保護:收集儲存平台資料的後端環境的管理稽核記錄。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,您將看到:
3.1-22.b.您在之前的問題中表明您將平台資料儲存在後端環境中。您是否收集此後端環境的應用程式事件稽核記錄?應用程式事件可以包括:
輸入和輸出驗證失敗
驗證和存取控制失敗
應用程式錯誤與系統事件
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否
如果您在問題 3.1-22.b 中選擇「是」,您將看到:
3.1-22.b.i.您儲存平台資料的後端環境的這些應用程式事件稽核記錄是否包含以下所有欄位?
Meta 用戶編號(與您分享時)
事件類型
日期與時間
成功或失敗指標
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22.b 中選擇「是」,您將看到:
3.1-22.b.ii.上傳書面說明(例如,政策或程序文件),說明為儲存平台資料後端環境收集應用程式事件稽核記錄的方法。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22.b 中選擇「是」,您將看到:
3.1-22.b.iii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以展示您如何在實務中實作此保護:收集儲存平台資料的後端環境的應用程式事件稽核記錄。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,您將看到:
3.1-22.c.您在之前的問題中表明您將平台資料儲存在後端環境中。您是否制定了政策或程序來防止未授權的存取和篡改此後端環境的稽核記錄?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否
3.1-22.d.您在之前的問題中表明您將平台資料儲存在後端環境中。針對此環境,您是否將稽核記錄保留至少 30 天?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是 [ ] 否
如果您在 3.1-8.a 中選擇 b - f 中的任何一個選項,您將看到:
3.1-22.e.您在之前的問題中表明您將平台資料儲存在後端環境中。您是否使用自動化解決方案來審查此後端環境的應用程式事件稽核記錄,以便尋找導致風險或損害的日常安全事件或事件指標(例如,嘗試略過存取控制或利用軟體漏洞)?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否
如果您在問題 3.1-22.e 中選擇「是」,您將看到:3.1-22.e.i。您是否至少每 7 天審查一次儲存平台資料後端環境的這些應用程式事件稽核記錄?
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22.e 中選擇「是」,您將看到:
3.1-22.e.ii.上傳書面說明(例如,政策或程序文件),說明您如何至少每 7 天審查一次儲存平台資料的後端環境的應用程式事件稽核記錄。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22.e 中選擇「是」,您將看到:
3.1-22.e.iii.上傳至少一項證據(例如,應用程式的工具配置或螢幕截圖),以展示您如何在實務中實作此保護:至少每 7 天審查一次儲存平台資料的後端環境的應用程式事件稽核記錄。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,您將看到:
3.1-22.f.您在之前的問題中表明您將平台資料儲存在後端環境中。您是否審查此環境的管理員稽核記錄,以尋找導致風險或損害的日常安全事件或事件的指標(例如,嘗試略過存取控制或利用軟體漏洞)?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
[ ] 是
[ ] 否
如果您在問題 3.1-22.f 中選擇「是」,您將看到:
3.1-22.f.i.您是否至少每 7 天審查一次儲存平台資料後端環境的這些管理員稽核記錄?
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22.f 中選擇「是」,您將看到:
3.1-22.f.ii 上傳書面說明(例如政策或程序文件),說明您對儲存平台資料的後端環境的管理員稽核記錄進行審查的方法,以便尋找至少每 7 天的日常安全事件或事件指標。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,您將看到:
3.1-22.g.您在之前的問題中表明您將平台資料儲存在後端環境中。如果您發現日常安全事件或事件會導致此後端環境的稽核記錄面臨風險或損害,您是否有進一步的調查流程?
「後端環境」是指您的顧客或用戶端可以遠端存取的雲端或伺服器環境,例如網站或網路 API。
提醒:如果發生安全事件或事件,我們的政策要求您立即向我們報告。
[ ] 是
[ ] 否
免責聲明:這個問題僅適用於部分開發人員。請參閱您的特定評估表單以確定這些要求是否適用於您。
如果您在問題 3.1-22.g 中選擇「是」,您將看到:
3.1-22.g.i.上傳書面說明(例如政策或程序文件),說明您如何調查儲存平台資料後端環境中的日常安全事件或事件,這些事件會導致稽核記錄面臨風險或損害。
請標示或圈出您的政策中列出這些條件的位置。
請確認檔案沒有密碼保護。您可以上傳多個檔案,每個檔案大小上限 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。
3.1-23.您是否為有權存取平台資料的人員制定安全流程?
此類流程可能包括以下一或多項:
在存取平台資料之前完成背景檢查
在獲得平台資料存取權限之前簽署保密協議;為新進人員提供有關資訊安全政策和程序的培訓
定期、持續的安全意識培訓(即每年一次)
與存取平台資料的特定工作角色相關的培訓
離開組織後退還資產(例如筆記型電腦或手機)
[ ] 是
[ ] 否