‏تطوير تطبيق Meta‏

أسئلة تقييم حماية البيانات

يمكنك هنا العثور على جميع الأسئلة المتعلقة بتقييم حماية البيانات. إذا كان تقييمك يبدأ بـ 3.1، فقد تكون تلقيته في 15 فبراير 2024 أو بعده. يمكنك العثور على تلك الأسئلة أدناه.

إذا لم يكن تقييمك مرقمًا، فقد تكون استلمته قبل 15 فبراير 2024. يمكنك العثور على هذه الأسئلة السابقة هنا.

الأسئلة التالية هي جزء من تقييم حماية البيانات المحدّث لعام 2024. ستلاحظ أن أرقام الأسئلة تبدأ برقم الإصدار المرتبطة به؛ بالنسبة للإصدار 3.1، ستكون الأسئلة على النحو التالي 3.1-1، 3.1-2، وغير ذلك. نقوم باستمرار بتحديث أسئلتنا لتتوافق مع معايير المجال وقد يتلقى المطوّرون أسئلة مختلفة اعتمادًا على وقت تلقيهم للتقييم.

تعليمات للاستخدام:

  1. نوصي مسؤولي التطبيقات بمراجعتها مع فرقهم الداخلية كطريقة لضمان امتثال التطبيقات لمتطلبات شروط المنصة التي نتبعها. وسيتم إرسال إشعارات إلى كل مسؤولي التطبيقات إذا كان تقييم حماية البيانات مطلوبًا لكل تطبيق.

  2. يرجى ملاحظة أنه سيتم قبول المعلومات المقدَّمة باللغة الإنجليزية فقط. لا تتردد في استخدام أي أدوات ترجمة مطلوبة لإرسال تقييمك باللغة الإنجليزية.

  3. يتم عرض هذه الأسئلة هنا لغرض التسهيل فقط. ستختلف الأسئلة المطلوبة لتطبيق معين بناءً على البيانات التي يمكن لكل تطبيق الوصول إليها. إذا كان التطبيق يتمتع بإمكانية الوصول إلى أنواع معينة من البيانات، فقد تحتاج أيضًا إلى توفير دليل لدعم إجاباتك.

  4. إذا كنت حاليًا بصدد استكمال تقييم حماية البيانات، أو كنت ترد على أسئلة المتابعة من المراجعين لدينا، فيُرجى متابعة هذه العمليات ولاحظ أن الأسئلة التي تجيب عليها حاليًا قد تكون مختلفة عن الأسئلة المحدّثة هنا.

استخدام البيانات

3.1-1. هل يستخدم التطبيق بيانات المنصة للتمييز بين أشخاص محددين (بمعنى أن بعض الأشخاص يحصلون على شيء ما لا يحصل عليه الآخرون) على أساس العرق أو الانتماء أو اللون أو الأصل القومي أو الدين أو العمر أو الجنس أو التوجه الجنسي أو الهوية الجنسية أو الحالة الأسرية أو الإعاقة أو الحالة الصحية أو الوراثية؟

لا ينطبق هذا السؤال على استخدام الجنس والعمر في تطبيقات المواعدة أو الجنس لاعتبارات لغوية أو العمر لتقييد المحتوى الناضج أو السيناريوهات الأخرى التي يتم فيها استخدام بيانات المنصة بطريقة ذات صلة بتحسين تجربة المستخدم في التطبيق. إذا كان تطبيقك مرتبطًا بأحد هذه الاستخدامات، فستكون إجابتك "لا"، نظرًا إلى أنك لا تستخدم المعلومات بغرض التمييز.

  • [ ] نعم
  • [ ] لا

إذا كانت إجابتك "نعم"، فسيتم طرح الأسئلة الإضافية التالية:

3.1-1.أ.أ. ما نوع بيانات المنصة التي يستخدمها التطبيق للتمييز بين أشخاص محددين على أساس العرق أو الانتماء أو اللون أو الأصل القومي أو الدين أو العمر أو الجنس أو التوجه الجنسي أو الهوية الجنسية أو الحالة الأسرية أو الإعاقة أو الحالة الصحية أو الوراثية؟

3.1-1.أ.ب. كيف يستخدم التطبيق بيانات المنصة للتمييز بين أشخاص محددين على أساس العرق أو الانتماء أو اللون أو الأصل القومي أو الدين أو العمر أو الجنس أو التوجه الجنسي أو الهوية الجنسية أو الحالة الأسرية أو الإعاقة أو الحالة الصحية أو الوراثية؟

3.1-1.أ.ج. متى بدء التطبيق في استخدام بيانات المنصة بهذه الطريقة؟

3.1-2. هل يستخدم التطبيق بيانات المنصة لاتخاذ قرارات بشأن الإسكان أو التوظيف أو التأمين أو الفرص التعليمية أو الائتمان أو المزايا الحكومية أو حالة الهجرة؟

إذا كانت إجابتك "نعم"، فسيتم طرح الأسئلة الإضافية التالية:

3.1-2.أ.أ. ما نوع بيانات المنصة التي يستخدمها التطبيق لاتخاذ قرارات بشأن الإسكان أو التوظيف أو التأمين أو الفرص التعليمية أو الائتمان أو المزايا الحكومية أو حالة الهجرة؟

3.1-2.أ.ب. كيف يستخدم التطبيق بيانات المنصة لاتخاذ قرارات بشأن الإسكان أو التوظيف أو التأمين أو الفرص التعليمية أو الائتمان أو المزايا الحكومية أو حالة الهجرة؟

3.1-2.أ.ج. متى بدء التطبيق في استخدام بيانات المنصة بهذه الطريقة؟

3.1-3. هل يستخدم التطبيق بيانات المنصة في أي أنشطة تتعلق بالمراقبة؟ تتضمن المراقبة معالجة بيانات المنصة حول الأشخاص أو المجموعات أو المناسبات لأغراض إنفاذ القانون أو الأمن الوطني.

إذا كانت إجابتك "نعم"، فسيتم طرح الأسئلة الإضافية التالية:

3.1-3.أ.أ. ما نوع بيانات المنصة التي يستخدمها التطبيق في الأنشطة المتعلقة بالمراقبة؟

3.1-3.أ.ب. كيف يستخدم التطبيق بيانات المنصة في الأنشطة المتعلقة بالمراقبة؟

3.1-3.أ.ج. متى بدء التطبيق في استخدام بيانات المنصة لهذا الغرض؟

مشاركة البيانات

3.1-4. تتعلق بعض الأسئلة التالية بموفري الخدمات وموفري الخدمات الفرعية. موفر الخدمة هو شخص أو نشاط تجاري يوفر الخدمات لمساعدتك في استخدام المنصة أو بيانات المنصة. موفر الخدمة الفرعية هو موفر لخدمة يتم استخدامها بواسطة موفر خدمة آخر لتوفير الخدمات لهم فيما يتعلق ببيانات المنصة.

وتُعد كل من Google Cloud وAmazon Web Services (AWS) أمثلة على موفري الخدمات الشائعين والكبار، ولكن قد تعمل أيضًا مع شركات أصغر لمعالجة بيانات المنصة أو استخدامها، مثل نشاط تجاري محلي لتطوير الويب في بلدك أو منطقتك.

هل تقوم بأي مما يلي؟

حدّد كل ما ينطبق.

  • أ. أنا لا أشارك بيانات المنصة التي يتم تلقيها من خلال هذا التطبيق.
  • ب. بيع بيانات المنصة أو ترخيصها لشخص آخر أو نشاط تجاري آخر، أو تسهيل القيام بذلك أو دعم الآخرين فيه.
  • ج. شراء بيانات المنصة من شخص آخر أو نشاط تجاري آخر، أو تسهيل القيام بذلك أو دعم الآخرين فيه.
  • د. مشاركة بيانات المنصة لتمكين شخص أو نشاط تجاري من توفير خدمة لك (موفر خدمة).
  • هـ. مشاركة بيانات المنصة لتمكين شخص أو نشاط تجاري آخر (خارج نطاق نشاطك التجاري) من الوصول إلى بيانات المنصة أو المنصة نفسها واستخدامها
  • و. مشاركة بيانات المنصة بموجب توجيه صريح من مستخدم هذا التطبيق.
  • ز. مشاركة بيانات المنصة لأغراض أخرى غير مدرجة. يُرجى التوضيح.

إذا حددت الخيار ب في السؤال 3.1-4، فسيتم عرض ما يلي:

3.1-4.أ.أ. ما أنواع بيانات المنصة التي تحاول بيعها أو ترخيصها؟

3.1-4.أ.ب. ما الأذونات أو الميزات أو الإمكانات أو القنوات الأخرى التي يستخدمها هذا التطبيق للوصول إلى بيانات المنصة وتجميعها؟

3.1-4.أ.ج. أدرج كل الكيانات والأنشطة التجارية والجهات الخارجية التي تبيع بيانات المنصة أو ترخصها لها من خلال هذا التطبيق واشرح الغرض من مشاركتها في كل حالة.

3.1-4.أ.د. متى بدأت بيع بيانات المنصة أو ترخيصها؟

إذا حددت الخيار د في السؤال 3.1-4، فسيتم عرض ما يلي:

3.1-4.ب. لقد أشرت أعلاه إلى أنك تشارك بيانات المنصة مع موفري الخدمة. يُرجى تحديد المربعات أدناه للإشارة إلى موفري الخدمة الذين تشارك معهم بيانات المنصة. وستطلب منك الأسئلة اللاحقة وصف من تشارك معه بيانات المنصة وشرح الكيفية والسبب.

ملاحظة: يُرجى عدم إدراج خدمات أو منتجات Meta كموفري خدمة.

حدّد كل ما ينطبق. إذا كنت تشارك بيانات المنصة مع أكثر من موفر خدمة مدرج هنا وموفري خدمة إضافيين غير مدرجين، فيُرجى تحديد أولئك الذين ينطبق عليهم ذلك بالإضافة إلى "أخرى." على سبيل المثال، يجوز تحديد Apple وGoogle و"أخرى" لتمثيل كل موفري الخدمة.

  • أ. Google (مثل متجر Play Store وFirebase وCloud وAdMob وAnalytics)
  • ب. Amazon (مثل Amazon Web Services)
  • ج. Salesforce (مثل Heroku, Marketing Cloud)
  • د. Apple (مثل App Store)
  • هـ. Microsoft (مثل مركز التطبيقات وAzure وPlayfab)
  • و. Github
  • ز. AppLovin (مثل Adjust)
  • ح. Appsflyer
  • ط. Stripe
  • ي. Twilio (مثل Segment وSendGrid)
  • ك. أخرى (سيُطلب منك تحميل قائمة)

إذا حددت الخيار ك في السؤال 3.1-4.ب، فسيتم عرض ما يلي:

3.1-4.ب.ط. يُرجى تحميل ملف CSV أو Excel يتضمن أي موفري خدمة تشارك بيانات المنصة معهم بالإضافة إلى أولئك الذين أشرت إليهم في القائمة أعلاه. يُرجى التأكد من أن الملفات غير محميّة بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا حددت الخيار د في السؤال 3-1-4 والخيار ك في السؤال 3-1-4.ب، فسيتم عرض ما يلي:

3.1-4.ج. هل لديك اتفاقية مكتوبة مع كل من موفري الخدمة الذين تشارك بيانات المنصة معهم والتي تتطلب منهم، ومن كل من موفري الخدمات الفرعية (إن وجد)، استخدام بيانات المنصة بناءً على توجيهاتك فقط ولتوفير الخدمة التي طلبتها فقط - ليس لأغراضهم الخاصة أو لصالح عملائهم؟

قد تتضمن الاتفاقية المكتوبة شروط الخدمة أو اتفاقية قياسية غير متفاوض عليها أو عقد موقّع. على سبيل المثال، إذا كنت تستخدم Google Cloud كموفر خدمة، فإن الاتفاقية المكتوبة تتمثل في شروط الخدمة التي توافق عليها.

[ ] نعم [ ] لا

إذا حددت "نعم" فستتم مطالبتك بما يلي:

3.1-4.ج.ط. يرجى تحديد المربعات أدناه للإشارة إلى نوع اللغة الواردة في اتفاقيات البيانات المكتوبة مع موفري الخدمات. حدّد كل ما ينطبق.

أ. اللغة التي تتطلب من موفري الخدمات استخدام بيانات المنصة فقط لتوفير الخدمة التي تطلبها.

ب. اللغة التي تتطلب من موفري الخدمات استخدام بيانات المنصة فقط حسب تعليماتك.

ج. اللغة التي تحظر على موفري الخدمات مشاركة بيانات المنصة مع جهات خارجية ما لم تتلق تعليمات من جانبك.

د. اللغة التي تحظر على موفري الخدمات معالجة بيانات المنصة لصالح أغراضهم الخاصة أو أي جهة خارجية.

هـ. اللغة التي تتطلب من مقدمي الخدمة حذف بيانات المنصة المستلمة منك عند التوقف عن استخدام خدمتهم.

3.1-4.ج.4. هل تعرف أي حالات تصرف فيها موفرو الخدمة و/أو أي من موفري الخدمات الفرعية (إن وجد) بطريقة لا تتوافق مع شروط منصة Meta، مثل بيع بيانات المنصة أو عدم حذف بيانات المنصة بعد التوقف عن استخدام خدماتهم؟

[ ] نعم [ ] لا

3.1-4.ج.5. إذا توقفت عن استخدام موفر خدمة أو موفر خدمة فرعية، فهل تحدد اتفاقياتك معهم (مثل شروط الخدمة) كيف ومتى يجب على موفر الخدمة حذف البيانات التي حصل عليها من جانبك؟

[ ] نعم [ ] لا

إذا اخترت "لا" في السؤال 3.1-4.ج.4، فسيتم عرض ما يلي:

3.1-4.ج.5. إذا توقفت عن استخدام موفر خدمة أو موفر خدمة فرعية، فكيف يمكنك التأكد من حذفهم لبيانات المنصة التي حصلوا عليها من جانبك؟

إذا قمت بتحديد الخيار هـ في السؤال 3.1-4، فسيتم عرض ما يلي:

3.1-4.د. الأسئلة التالية تتعلق بموفري الخدمات التقنية، وهم مطوّرو التطبيقات الذين يتمثل هدفهم الأساسي في إدارة عمليات دمج المنصة نيابة عن العملاء أو الزبائن حتى يتمكنوا من الوصول إلى بياناتهم وإدارتها في منتجات Meta. تتضمن أمثلة موفري الخدمات التقنية موفري البرامج كخدمة SaaS والوكالات.

  • تعريف موفر الخدمات التنقية: فرد أو نشاط تجاري تم منحه حق الوصول إلى واجهات Meta API بغرض إنشاء عمليات الدمج وصيانتها وإزالتها نيابة عن الأفراد أو الأنشطة التجارية الأخرى. ويتضمن ذلك الأفراد أو الأنشطة التجارية التي تنشئ دمجًا منفردًا نيابة عن عميل فردي أو عدة عملاء.

لقد أشرت أعلاه إلى أن هذا التطبيق يتيح للأشخاص أو الأنشطة التجارية (العملاء) الوصول إلى بيانات المنصة واستخدامها. وهذا يعني أنك موفر للخدمات التقنية.

هل تقوم بمعالجة بيانات المنصة التي تحصل عليها من خلال هذا التطبيق فقط نيابة عن عملائك وبتوجيه منهم؟ [ ] نعم [ ] لا

إذا حددت "لا" في السؤال 3.1-4.د، فسيتم عرض ما يلي:

3.1-4.د.1.أ. بخلاف توجيهات العميل وبالنيابة عنه، لصالح من تقوم بمعالجة بيانات المنصة؟

3.1-4.د.1.ب. ما نوع بيانات المنصة التي تقوم بمعالجتها لصالح هذا الشخص أو النشاط التجاري؟

3.1-4.د.1.ج. لماذا تقوم بمعالجة بيانات المنصة لصالح هذا الشخص أو النشاط التجاري؟

3.1-4.د.1.د. متى بدأت في معالجة مثل هذا النوع من بيانات المنصة؟

3.1-4.د.1.هـ. كيف تعالج بيانات المنصة هذه؟

3.1-4.هـ. هل تحتفظ ببيانات المنصة لكل عميل من عملائك بشكل منفصل (إما بشكل منطقي، كما هو الحال في الجداول المنفصلة، أو بشكل فعلي) عن بيانات عملائك الآخرين والبيانات التي تحتفظ بها لأغراضك الخاصة؟

[ ] نعم [ ] لا

إذا حددت "لا" في السؤال 3.1-4.هـ، فسيتم عرض ما يلي:

3.1-4.و. لقد أشرت إلى أنك تشارك بيانات المنصة في حالات غير تلك المحددة في الأسئلة السابقة. يُرجى وصف البيانات التي تشاركها في مثل هذه الحالات.

  • أين يتم تخزينها؟
  • كيف تخزن البيانات وتؤمنها؟
  • من لديه إمكانية الوصول؟
  • كيف تتحكم في الوصول؟

إذا حددت "أخرى. يُرجى التوضيح."، فستتم مطالبتك بما يلي:

  • لقد أشرت إلى أنك تشارك بيانات المنصة في حالات غير تلك المحددة في الأسئلة السابقة. يُرجى وصف البيانات التي تشاركها في مثل هذه الحالات.

احرص على تضمين ردود على الأسئلة التالية:

  • بخلاف المستخدمين الفرديين لهذا التطبيق أو موقع الويب، مع من تشارك هذه البيانات؟
  • كيف تتم مشاركة البيانات؟
  • متى بدأت مشاركة البيانات مع الكيانات المذكورة؟
  • هل لا زلت تشارك البيانات حتى الآن؟

3.1-4. و.1. بالنسبة لبيانات المنصة التي تتم مشاركتها في مثل هذه الحلات الأخرى، هل لديك اتفاقية مكتوبة مع كل مستلم لبيانات المنصة تمنعه من استخدام بيانات المنصة بطريقة تنتهك شروط منصة Meta وسياسات المطوّر (أو أي شروط أخرى تنطبق على استخدامك لبيانات المنصة)؟

تتضمن أمثلة الاتفاقيات المكتوبة شروط الخدمة، أو الاتفاقيات القياسية غير المتفاوض عليها، أو العقود الموقعة.

[ ] نعم [ ] لا

3.1-4.ز. على حد علمك، هل انتهك أي من مستلمي بيانات المنصة هؤلاء شروط منصة Meta؟ على سبيل المثال، عن طريق بيع بيانات المنصة أو ترخيصها أو شرائها.

[ ] نعم [ ] لا

إذا حددت "نعم" في السؤال 3.1-4.ح، فسيتم عرض ما يلي:

3.1-4.ح.1. لقد أشرت أعلاه إلى أن مستلمي بيانات المنصة قد انتهكوا شروط منصة Meta. يُرجى توفير تفاصيل.

إذا حددت الخيار "و" في السؤال 3.1-4، فسيتم عرض ما يلي:

3.1-4.1.أ. لقد أشرت أعلاه إلى أنك توفر بيانات المنصة التي تتلقاها من خلال هذا التطبيق لشخص أو نشاط تجاري آخر عندما يوجهك المستخدمون لمشاركة بيانات المنصة.

صف كيف يوجهك المستخدمون لمشاركة بيانات المنصة مع شخص أو نشاط تجاري آخر.

3.1-4.1.ب. يُرجى تحميل لقطات شاشة من تدفق الموافقة لمثل هذه المشاركة. يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

حذف البيانات

3.1-5. هل ستحذف بيانات المنصة في "كل" الحالات التالية، باستثناء الحالات التي يُسمح فيها بالاحتفاظ بالبيانات بموجب شروطنا؟

أ. عندما لا يصبح الاحتفاظ ببيانات المنصة ضروريًا لغرض تجاري مشروع،

ب. عند طلبها بواسطة مستخدم،

ج. عندما لا يكون لدى المستخدم حساب في تطبيقك (ينطبق فقط إذا كنت تقدم حسابات مستخدمين)،

د. عند طلبها بواسطة Meta،

هـ. عندما تكون مطلوبة بموجب القوانين أو اللوائح.

فيما يتعلق بهذا السؤال، لا تتضمن "بيانات المنصة" البيانات المدرجة في شرط المنصة 3.هـ "الاستثناءات". يُرجى مراجعة شرط المنصة 3د "الاحتفاظ ببيانات المنصة وحذفها وإمكانية الوصول إليها" لفهم متطلبات الحذف. لاحظ أنه في بعض الحالات، لا يكون الحذف مطلوبًا إذا تم تجميع بيانات المنصة أو حجبها أو إلغاء تحديدها بحيث لا يمكن ربطها بمستخدم أو متصفح أو جهاز معين. يُسمح بالاحتفاظ بالبيانات المجمعة ومجهولة الهوية لأغراض تجارية تتماشى مع تجربة المستخدمين، مثل الفوترة.

  • [ ] نعم
  • [ ] لا

إذا حددت "لا" في السؤال 3.1-5، فسيتم عرض ما يلي:

3.1-5.أ. في ظل أي من الحالات المذكورة أعلاه لن تحذف بيانات المنصة؟ ولماذا؟

3.1-6. إذا حذفت بيانات المنصة، في الحالات المشار إليها أعلاه، فهل تتخذ خطوات لحذف بيانات المنصة في أقرب وقت ممكن نسبيًا؟

قد يستند نطاق الوقت الممكن نسبيًا إلى الأنظمة والبيانات، ولكن يجب ألا يتجاوز 120 يومًا بشكل عام. ينطبق هذا السؤال فقط على بيانات المنصة، وليس البيانات التي يتم تجميعها أو تخزينها بشكل مستقل بواسطة هذا التطبيق.

لا ينطبق هذا على بيانات المنصة التي يُطلب منك خلاف ذلك الاحتفاظ بها بموجب القانون أو اللوائح المعمول بها.

  • [ ] نعم
  • [ ] لا

ما الحالات التي ستحتفظ بموجبها ببيانات المنصة لأكثر من 120 يومًا؟ ملاحظة: لا ينطبق هذا على بيانات المنصة التي يُطلب منك خلاف ذلك الاحتفاظ بها بموجب القانون أو اللوائح المعمول بها.

إذا حددت "لا" في السؤال 3.1-6، فسيتم عرض ما يلي:

3.1-6.أ. ما الحالات التي ستحتفظ بموجبها ببيانات المنصة لأكثر من 120 يومًا؟

ملاحظة: لا ينطبق هذا على بيانات المنصة التي يُطلب منك خلاف ذلك الاحتفاظ بها بموجب القانون أو اللوائح المعمول بها.

إذا حددت "نعم" في السؤال 3.1-5، فسيتم عرض ما يلي:

3.1-5.ب. لقد أشرت أعلاه إلى أنك تحذف بيانات المنصة عندما لا تعد ضرورية لغرض تجاري مشروع. يرجى وصف كيفية تحديد متى لم تعد بيانات المنصة ضرورية لغرض تجاري مشروع.

فيما يتعلق بهذا السؤال، لا تتضمن "بيانات المنصة" البيانات المدرجة في شروط المنصة 3.هـ.

3.1-5.ج. لقد أشرت أعلاه إلى أنك تحذف بيانات المنصة عندما يطلب أحد المستخدمين ذلك. يُرجى وصف كيف يطلب المستخدمون حذف بياناتهم. يُرجى تضمين لقطات شاشة إن أمكن.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

فيما يتعلق بهذا السؤال، لا تتضمن "بيانات المنصة" البيانات المدرجة في شروط المنصة 3.هـ.

أمان البيانات

3.1-أ. بموجب شرط المنصة 6.أ.1، تتطلب Meta أن تحافظ على الضمانات الإدارية والمادية والتقنية المصممة لمنع أي وصول غير مصرح به لبيانات المنصة أو إحداث تلف بها أو فقدانها أو تغييرها أو إفشائها أو نشرها أو اختراقها.

راجع أفضل ممارسات أمان بيانات المطوّر، نظرة عامة على تقييم حماية البيانات والأسئلة المتكررة لمزيد من المعلومات.

تأكد من أنك تتشاور مع الأشخاص المناسبين قبل الإجابة على المجموعة التالية من الأسئلة. يجب أن يشمل ذلك كبير مسؤولي أمن المعلومات لديك أو شخصًا له دور معادل في مؤسستك أو شركة أمن سيبراني مؤهلة (على سبيل المثال، شركة تتمتع بخبرة لا تقل عن 5 سنوات في إجراء عمليات تدقيق ISO 27001) لضمان دقة الردود المقدمة.

حدّد "أنا متفهم" لمتابعة التقييم.

[ ] أنا متفهم

3.1-ب. كتذكير، يتم تعريف "بيانات المنصة" مسرد مصطلحات شروط المنصة كما يلي: "أي معلومات أو بيانات أو أي محتوى آخر تحصل عليه من جانبنا، من خلال المنصة أو من خلال تطبيقك سواء بشكل مباشر أو غير مباشر وسواء قبل أو أثناء أو بعد التاريخ الذي توافق فيه على هذه الشروط، بما في ذلك البيانات التي تم إخفاء هويتها أو تجميعها أو اشتقاقها من هذه البيانات. وتتضمن بيانات المنصة رموز التطبيقات ورموز الصفحات ورموز الوصول والمفاتيح السرية للتطبيقات ورموز المستخدمين."

لتجنب الالتباس، يتضمن ذلك بيانات مثل معرف المستخدم وعنوان البريد الإلكتروني وكل البيانات التي تتلقاها من استدعاءات API إلى graph.facebook.com.

للإجابة على الأسئلة التالية، ستحتاج إلى فهم شامل لكيفية نقل بيانات منصة Meta المتعلقة بهذا التطبيق وتخزينها ومعالجتها في برامجك وأنظمتك.

ينطبق هذا السؤال على كل الأذونات والميزات والإمكانيات الموجودة في هذا التطبيق. ولمعرفة الأذونات والميزات والإمكانيات المتوفرة في هذا التطبيق، انتقل إلى لوحة التحكم في هذا التطبيق. يمكنك الوصول إلى لوحة التحكم عن طريق تحديد التطبيق في صفحة "تطبيقاتي".

حدّد "أنا متفهم" للمتابعة.

[ ] أنا متفهم

3.1-7. إذا كانت لديك شهادة لأمان المعلومات تفي بكل المعايير التالية، فيمكنك إرسالها كدليل على أنك قمت بتنفيذ إجراءات وقائية إدارية ومادية وتقنية كافية تهدف إلى حماية بيانات المنصة:

  • يجب أن يكون نوع الشهادة SOC 2 أو ISO 27001 أو ISO 27018 أو ما يعادله.
  • يجب أن يتم إصدار الشهادة لمؤسستك بواسطة مدقق مستقبل (بدلاً من إصدارها لجهة خارجية).
  • يجب أن تكون الشهادة صالحة في الوقت الحالي — شهادة SOC 2 صادرة خلال العام الماضي، أو شهادة ISO صادرة خلال السنوات الثلاث الماضية.
  • يجب أن يغطي نطاق التدقيق بشكل شامل الأنظمة التي تستخدمها لمعالجة بيانات منصة Meta.

هل لديك شهادة أمان تفي بهذه المعايير؟

[ ] نعم [ ] لا

إذا حددت "نعم" في السؤال 3.1-7، فسيتم عرض ما يلي:

3.1-7.أ. ما نوع شهادات أمان البيانات التي لديك؟ حدّد كل ما ينطبق. * [ ] تقرير SOC2 Type 2 * [ ] شهادة ISO 27001 * [ ] شهادة ISO 27018 * [ ] شهادة أخرى معادلة * إذا حددت "شهادة أخرى معادلة" فسيتم عرض ما يلي: *ما اسم هذه الشهادة الأمنية؟

3.1-7.أ.1.ب. يُرجى تحميل نسخة من شهادة الأمان. يُرجى التأكد من أن الملفات غير محميّة بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا حددت الخيار د في السؤال 3.1-7.أ، فسيتم عرض ما يلي:

3.1-7.أ.1.أ. ما اسم شهادة الأمان هذه؟

3.1-8. هل تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية (على سبيل المثال، قواعد البيانات أو حاويات تخزين الكائنات أو تخزين مجموعات البيانات داخل السحابة أو أي نوع آخر من البيئة المستضافة)؟

حدّد "نعم" إذا قمت بإضافة بيانات المنصة في أي مساحة تخزين ثابتة في بيئة السحابية للواجهة الخلفية أو بيئة الخادم التي تحتفظ بالبيانات بعد إيقاف تشغيل الجهاز، مثل مساحة التخزين السحابي أو ملفات السجل أو قواعد البيانات التي يمكن الوصول إليها من خلال موقع ويب أو API.

حدّد "لا" إذا قمت بأي مما يلي:

  • معالجة بيانات المنصة بشكل حصري لدى العملاء الذين يمتلكهم المستخدمون النهائيون في تطبيقك وعدم نقل بيانات المنصة مطلقًا إلى أي بيئة واجهة خلفية

  • معالجة بيانات المنصة في بيئة الواجهة الخلفية ولكن لا تتم إضافة أي من هذه البيانات على أي وحدة تخزين ثابتة

  • [ ] نعم

  • [ ] لا

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-8.أ. لقد أشرت في السؤال السابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. أي من الأنواع التالية من بيانات المنصة تخزنها في بيئة الواجهة الخلفية؟ حدّد كل ما ينطبق.

  • تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

  • يشير "التخزين" إلى إضافة بيانات المنصة في أي بيئة تحتفظ بالبيانات بعد إيقاف تشغيل الجهاز (على سبيل المثال، ملفات السجل، أو قواعد بيانات الكائنات أو قواعد البيانات العلائقية، أو الأقراص).

أ. معرف مستخدم Meta أو معرف مستخدم مجزأ

ب. عنوان البريد الإلكتروني

ج. صورة الملف الشخصي

د. رمز وصول مستخدم API في Meta

هـ. المفتاح السري للتطبيق

و. بيانات المنصة الأخرى غير مدرجة أعلاه

3.1-8.ب. أي من حلول الاستضافة التالية تستخدمها لمعالجة بيانات المنصة في بيئة الواجهة الخلفية لديك؟

  • تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

حدّد كل ما ينطبق.

أ. Amazon Web Services (AWS)

ب. Microsoft Azure

ج. Microsoft Azure PlayFab

د. Google Cloud Platform (GCP)

هـ. Alibaba / Aliyun

و. Tencent

ز. Oracle Cloud

ح. Heroku

ط. Digital Ocean

ي. مركز بيانات مملوك لمؤسسة أخرى مع خوادم مملوكة لمؤسستي

ك. مركز البيانات والخوادم المملوكة لمؤسستي

ل. أخرى

إذا قمت بتحديد الخيار ل في السؤال 3.1-8.ب، فسيتم عرض ما يلي:

3.1-8.1.i. في السؤال السابق قمت بتحديد "أخرى" للإشارة إلى أنك تستخدم خيار استضافة غير مدرج. قم بوصف نهج استضافة بيئة الواجهة الخلفية لديك.

إذا قمت بتحديد الخيار ب أو ج أو د أو هـ أو و في السؤال 3.1-8.أ والخيار ج، ح، ط، ي، ك، أو ل في السؤال 3.1-8.ب، فسيتم عرض ما يلي:

3.1-9.أ. هل تفرض التشفير في حالة السكون لجميع بيانات المنصة التي تخزنها في بيئة الواجهة الخلفية لديك؟

التشفير في حالة السكون يحمي بيانات المنصة من خلال جعل البيانات غير قابلة لفك التشفير من دون مفتاح فك تشفير. يوفر ذلك طبقة إضافية من الحماية ضد الوصول غير المُصرح به للقراءة. إذا قمت بتخزين بيانات المنصة في بيئة الواجهة الخلفية، فإننا نطلب منك حماية تلك البيانات من خلال التشفير في حالة عدم السكون أو أي طريقة حماية بديلة مقبولة.

يقوم بعض موفري خدمات الاستضافة بتمكين التشفير في حالة السكون بشكل افتراضي أو توفير خيارات تكوين لتمكينه. قبل الإجابة على هذا السؤال، تأكد من تطبيق التشفير في حالة السكون على الخدمات التي تستخدمها لتخزين بيانات المنصة. إذا كان الأمر كذلك، فأجب بـ "نعم" على هذا السؤال.

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا، ولكن موفري خدمات الاستضافة لدينا لديهم شهادة SOC 2 أو ISO 27001 التي تنص على أن الأمان المادي وعناصر التحكم الآمنة في التخلص من الوسائط قد تم تقييمها من قبل جهة خارجية.

[ ] لا

إذا حددت الخيار ب أو ج أو د أو هـ أو و في السؤال 3.1-8.أ والخيار ج، ح، ط، ي، ك، أو ل في السؤال 3.1-8.ب، فسيتم عرض ما يلي:

3.1-9.ب. هل تفرض التشفير في حالة السكون بالنسبة لجميع بيانات المنصة التي تخزنها في بيئة الواجهة الخلفية لديك؟

يقوم بعض موفري خدمات الاستضافة بتمكين التشفير في حالة السكون بشكل افتراضي أو توفير خيارات تكوين لتمكينه. قبل الإجابة على هذا السؤال، تأكد من تطبيق التشفير في حالة السكون على الخدمات التي تستخدمها لتخزين بيانات المنصة. إذا كان الأمر كذلك، فأجب بـ "نعم" على هذا السؤال.

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا

إذا حددت "نعم" في السؤال 3.1-9.أ أو "نعم" في السؤال 3-1-9.ب، فسيتم عرض ما يلي:

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

3.1-9.ب.1. لقد أشرت في السؤال السابق إلى أنك تفرض التشفير في حالة السكون على جميع بيانات المنصة المخزنة في بيئة الواجهة الخلفية لديك. قم بتحميل شرح مكتوب (على سبيل المثال: مستند سياسة أو إجراءات) ينص على أن جميع بيانات المنصة المخزنة في بيئة الواجهة الخلفية يجب أن تكون محمية بموجب التشفير في حالة السكون.

إذا قمت بتصنيف البيانات وحمايتها بشكل مختلف وفقًا لمجموعة من مستويات حساسية البيانات، فيجب أن يشير شرحك بوضوح إلى مستوى الحساسية المخصص لبيانات المنصة المستلمة من Meta، ويجب عليك تحميل السياسات ذات الصلة.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

3.1-9.ب.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، لقطة شاشة لمثيل قاعدة بيانات) يوضح كيفية تنفيذ هذه الحماية عمليًا: أن جميع بيانات المنصة المخزنة في بيئة الواجهة الخلفية لديك محمية بموجب التشفير في حالة السكون.

تأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا حددت "لا" في السؤال 3.1-9.أ، فسيتم عرض ما يلي:

3.1-9.ج.1. ما نوع الأدلة التي تمتلكها والتي توضح أنه قد تم تقييم الأمن المادي لموفر خدمة الاستضافة وضوابط التخلص الآمن من الوسائط؟

لإثبات أنك تتبع شروط منصة Meta، يجب التأكد من أن مراجعة ISO 27001 أو SOC 2 الخاصة بموفر خدمة الاستضافة تفيد بأن لديه أمان مادي داخل النطاق وضوابط للتخلص الآمن من الوسائط. في معايير ISO/IEC 27001: لعام 2013 أو 2017، هذه هي الضوابط أ. 8.3، أ.11.1، أ.11.2. في معيار SOC 2، هذه هي الضوابط CC6.4 وCC6.5.

أ. مراجعة ISO 27001 لموفر خدمة الاستضافة، حيث ينص بيان قابلية التطبيق (SOA) المرتبط بها على أنه تم تقييم الأمان المادي وضوابط التخلص الآمن من الوسائط

ب. تقرير مراجعة حسابات SOC 2 تنص على أنه تم اختبار الأمان المادي وضوابط التخلص الآمن من الوسائط ولم تكن هناك نتائج سلبية تتعلق بهذه الضوابط

ج. لا شيء مما سبق

إذا قمت بتحديد الخيار أ أو ب في السؤال 3.1-9.ج.1، فسيتم عرض ما يلي:

3.1-9.ج.2. ما تاريخ إصدار شهادة ISO 27001 أو SOC 2 الخاصة بموفر خدمة الاستضافة؟

3.1-10. هل يقوم أي شخص في مؤسستك بتخزين بيانات المنصة في نقاط النهاية التنظيمية أو الأجهزة الشخصية (على سبيل المثال، على أجهزة الكمبيوتر المحمولة أو الهواتف الذكية)؟

يشير "التخزين" إلى إضافة بيانات المنصة في أي بيئة تحتفظ بالبيانات بعد إيقاف تشغيل الأجهزة، مثل أجهزة الكمبيوتر المحمولة ومحركات أقراص USB ومحركات الأقراص الثابتة القابلة للإزالة وخدمات التخزين السحابية مثل Dropbox أو Google Drive.

ملاحظة: يتم استبعاد بيانات المنصة التي يتم الاحتفاظ بها داخل برامج الويب أو الأجهزة المحمولة، للمستخدمين الفرديين الذين يستفيدون من خدمتك، من نطاق هذا السؤال.

  • [ ] نعم. يقوم شخص واحد أو أكثر في مؤسستي بتخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية.
  • [ ] لا. لا يقوم أي شخص في مؤسستي، بأي حال من الأحوال، بتخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية.

إذا حددت "نعم" في السؤال 3.1-10، فسيتم عرض ما يلي:

3.1-10.أ. عندما يقوم الأشخاص في مؤسستك بتخزين بيانات المنصة على نقاط النهاية التنظيمية أو الأجهزة الشخصية ، أي من تدابير الحماية هذه تقوم بتنفيذها لتقليل مخاطر فقدان البيانات؟

نطلب منك تنفيذ إجراءات الحماية لتقليل مخاطر الوصول إلى بيانات المنصة عند تخزينها في حالة السكون.

حدّد كل ما ينطبق.

أ. البرامج أو الخدمات التي تفرض تشفير القرص بالكامل على الأجهزة التنظيمية (مثل Bitlocker أو FileVault)

ب. برنامج منع فقدان بيانات نقطة النهاية (DLP) الموجود على جميع الأجهزة المُدارة لمراقبة الإجراءات المتعلقة ببيانات المنصة المخزنة وتسجيلها

ج. يلتزم الأشخاص في مؤسستي باتباع سياسة الاستخدام المقبول التي تسمح فقط بمعالجة بيانات المنصة إذا كان هناك غرض تجاري واضح وقابل للتنفيذ وتنص على أنه يجب حذف البيانات عندما لا يعد الغرض التجاري موجودًا

د. لا شيء مما سبق

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد الخيار أ أو ب في السؤال 3.1-10.أ، فسيتم عرض ما يلي:

3.1-10.أ.1. لقد أشرت في السؤال السابق إلى أنك تحمي بيانات المنصة المخزنة على الأجهزة التنظيمية أو الشخصية من خلال تنفيذ تشفير القرص بالكامل على هذه الأجهزة أو باستخدام برنامج منع فقدان بيانات نقطة النهاية (DLP). قم بتحميل شرح مكتوب (على سبيل المثال، مستند السياسة أو الإجراء) يوضح كيفية تنفيذ هذه الحماية الفنية.

إذا قمت بتصنيف البيانات وحمايتها بشكل مختلف وفقًا لمجموعة من مستويات حساسية البيانات، فيجب أن يشير شرحك بوضوح إلى مستوى الحساسية المخصص لبيانات المنصة المستلمة من Meta، ويجب عليك تحميل السياسات ذات الصلة.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد الخيار أ أو ب في السؤال 3.1-10.أ، فسيتم عرض ما يلي:

3.1-10.أ.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: الحماية الفنية لبيانات المنصة المخزنة على الأجهزة التنظيمية أو الشخصية. [السؤال الأساسي]

على سبيل المثال:

  • لقطة شاشة لسياسة المجموعة التي تتطلب تمكين BitLocker للأجهزة المُدارة

  • لقطة شاشة لأداة إدارة DLP توضح تمكين مراقبة بيانات تحديد الهوية الشخصية في جميع نقاط النهاية

  • لقطة شاشة لأداة أو منتج آخر يستخدمه مسؤولو تكنولوجيا المعلومات لديك لفرض استخدام وسائل الحماية الفنية على جميع الأجهزة التنظيمية

  • يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا قمت بتحديد الخيار ج فقط في السؤال 3.1-10.أ، فسيتم عرض ما يلي:

3.1-10.أ.3. لقد أشرت في سؤال سابق إلى أن الأشخاص في مؤسستك ملزمون باتباع سياسة الاستخدام المقبول عند محاولة بتخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يحتوي على سياسة الاستخدام المقبول لديك.

نطلب أن تصف هذه السياسة ما يلي بوضوح:

  • الأغراض التجارية المسموح بها لمعالجة بيانات المنصة على الأجهزة التنظيمية أو الشخصية

  • مطالبة بحذف البيانات عندما لا يكون هذا الغرض موجودًا

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد الخيار ج فقط في السؤال 3.1-10.أ، فسيتم عرض ما يلي:

3.1-10.أ.4. يمكنني أن أؤكد أن جميع الأشخاص في مؤسستي الذين قد يقومون بمعالجة بيانات المنصة على الأجهزة التنظيمية أو الشخصية: يتم إبلاغهم بسياسة الاستخدام المقبول لهذه البيانات، وأقروا بفهمهم لهذه السياسة، ويتم إبلاغهم بهذه السياسة كجزء من عملية تأهيلهم كموظفين جدد

[ ] نعم، يمكنني التأكيد.

[ ] لا، لا يمكنني التأكيد.

إذا حددت "نعم" في السؤال 3.1-8 و"لا" في السؤال 3-1-10، فسيتم عرض ما يلي:

3.1-10.ب. لقد أشرت في السؤال السابق إلى أنه لا يقوم أي شخص في مؤسستك بتخزين بيانات المنصة تحت، بأي حال من الأحوال، على الأجهزة التنظيمية أو الشخصية.

هل أبلغت الأشخاص في مؤسستك بأن تخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية غير مسموح به، بأي حال من الأحوال، وطلبت منهم الإقرار بهذا الالتزام؟

يشير "التخزين" إلى إضافة بيانات المنصة في أي بيئة تحتفظ بالبيانات بعد إيقاف تشغيل الأجهزة، مثل أجهزة الكمبيوتر المحمولة ومحركات أقراص USB ومحركات الأقراص الثابتة القابلة للإزالة وخدمات التخزين السحابية مثل Dropbox أو Google Drive.

تتطلب سياساتنا من المؤسسات إبلاغ جميع الأشخاص في مؤسستهم، بما في ذلك المستخدمين ذوي الامتيازات العالية مثل المسؤولين، بأن تخزين بيانات المنصة غير مسموح به.

[ ] نعم

[ ] لا

إذا حددت "لا" في السؤال 3.1-8 و"لا" في سؤال 3.1-10، فسيتم عرض ما يلي:

3.1-10.ج. لقد أشرت في السؤال السابق إلى أنه لا يقوم أي شخص في مؤسستك بتخزين بيانات المنصة تحت، بأي حال من الأحوال، على الأجهزة التنظيمية أو الشخصية.

هل أبلغت الأشخاص في مؤسستك بأن تخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية غير مسموح به، بأي حال من الأحوال، وطلبت منهم الإقرار بهذا الالتزام؟

يشير "التخزين" إلى إضافة بيانات المنصة في أي بيئة تحتفظ بالبيانات بعد إيقاف تشغيل الأجهزة، مثل أجهزة الكمبيوتر المحمولة ومحركات أقراص USB ومحركات الأقراص الثابتة القابلة للإزالة وخدمات التخزين السحابية مثل Dropbox أو Google Drive.

تتطلب سياساتنا من المؤسسات إبلاغ جميع الأشخاص في مؤسستهم، بما في ذلك المستخدمين ذوي الامتيازات العالية مثل المسؤولين، بأن تخزين بيانات المنصة غير مسموح به.

[ ] نعم

[ ] هذا ليس ضروريًا، لأن بيانات المنصة لا يمكن للأشخاص في مؤسستي الوصول إليها مطلقًا.

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في أي من السؤالين 3-1-10.ب أو السؤال 3-1-1.ج، فسيتم عرض ما يلي:

3.1-10.ج.1. لقد أشرت في سؤال سابق إلى أنه لا يجوز بأي حال من الأحوال أن يقوم الأشخاص في مؤسستك بتخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) ينص على أنه يجب على الأشخاص في مؤسستك عدم تخزين بيانات المنصة على هذه الأجهزة.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا حددت "نعم" في أي من السؤالين 3-1-10.ب أو السؤال 3-1-1.ج، فسيتم عرض ما يلي:

3.1-10.ج.2. يمكنني أن أؤكد أن جميع الأشخاص في مؤسستي:

تم إبلاغهم بالسياسة التي تحظر عليهم تخزين بيانات المنصة على الأجهزة التنظيمية أو الشخصية

قد أقروا بفهمهم لهذه السياسة

يتم إبلاغهم بهذه السياسة كجزء من عملية تأهيلهم كموظفين جدد

[ ] نعم، يمكنني التأكيد.

[ ] لا، لا يمكنني التأكيد.

إذا حددت "لا" في السؤال 3.1-8 و"لا" في سؤال 3.1-10، فسيتم عرض ما يلي:

3.1-10.د. قم بتحميل مخطط تدفق البيانات ووصف لكيفية استخدام تطبيقك لبيانات المنصة.

يجب تضمين التفاصيل التالية:

أظهر كيف يجري تطبيقك استدعاءات واجهات API في Meta، مثل graph.facebook.com وحدّد جميع المكونات التي تستخدم بيانات المنصة، بما في ذلك تلك التي تخزن بيانات المنصة أو تخزنها مؤقتًا أو تعالجها أو تنقلها عبر الشبكات

قم بوصف حالات الاستخدام الأساسية (أي التدفقات التي توفر نتائج قيمة لمستخدمي تطبيقك) التي تدعمها.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-11.أ. هل تقوم بتمكين بروتوكول الأمان TLS 1.2 أو أي بروتوكول أعلى لكل اتصالات الشبكة التي تمر عبر الشبكات العامة التي يتم نقل بيانات المنصة إليها أو تتصل بها أو تعبر خلالها؟

التشفير أثناء النقل يحمي بيانات المنصة عند نقلها عبر شبكات غير موثوق بها (على سبيل المثال، الإنترنت) من خلال جعلها غير قابلة لفك التشفير باستثناء في الأجهزة الأصلية وأجهزة الوجهة. لن تتمكن الأطراف في منتصف عملية النقل من قراءة بيانات المنصة حتى إذا تمكنت من الاطلاع على حركة بيانات الشبكة (يعرف ذلك أيضًا باسم هجوم الوسيط). TLS هي الشكل الأكثر شيوعًا للتشفير أثناء النقل لأنه يمثل تقنية تستخدمها المتصفحات لتأمين عمليات التواصل مع مواقع الويب مثل البنوك.

نطلب من جميع جهات تسجيل البيانات على الويب (على سبيل المثال، أدوات موازنة التحميل على الإنترنت) التي تتلقى بيانات المنصة أو ترجعها أن تقوم بتمكين TLS 1.2 أو إصدار أحدث. يمكن استخدام 1.0 وTLS 1.1 فقط من أجل التوافق مع أجهزة العميل غير القادرة على استخدام TLS 1.2 أو الإصدارات الأحداث. نوصي، ولكن لا نطلب، بتطبيق التشفير أثناء النقل على عمليات نقل بيانات المنصة التي تكون بالكامل ضمن شبكات خاصة موثوقة تتحكم فيها (على سبيل المثال، داخل السحابة الخاصة الافتراضية (VPC)). لمزيد من المعلومات حول هذا المطلب وكيفية تحميل أي دليل مطلوب، يرجى الرجوع إلى متطلبات أمن البيانات.

[ ] نعم

[ ] لا

إذا حددت "لا" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-11.ب. هل تقوم بتمكين بروتوكول الأمان TLS 1.2 أو إصدار أعلى لتشفير البيانات في كل اتصالات الشبكة التي تمر عبر الشبكات العامة التي يتم نقل بيانات المنصة إليها أو تتصل بها أو تعبر خلالها؟

التشفير أثناء النقل يحمي بيانات المنصة عند نقلها عبر شبكات غير موثوق بها (على سبيل المثال، الإنترنت) من خلال جعلها غير قابلة لفك التشفير باستثناء في الأجهزة الأصلية وأجهزة الوجهة. لن تتمكن الأطراف في منتصف عملية النقل من قراءة بيانات المنصة حتى إذا تمكنت من الاطلاع على حركة بيانات الشبكة (يعرف ذلك أيضًا باسم هجوم الوسيط). TLS هي الشكل الأكثر شيوعًا للتشفير أثناء النقل لأنه يمثل تقنية تستخدمها المتصفحات لتأمين عمليات التواصل مع مواقع الويب مثل البنوك.

نطلب من جميع جهات تسجيل البيانات على الويب (على سبيل المثال، أدوات موازنة التحميل على الإنترنت) التي تتلقى بيانات المنصة أو ترجعها أن تقوم بتمكين TLS 1.2 أو إصدار أحدث. يمكن استخدام 1.0 وTLS 1.1 فقط من أجل التوافق مع أجهزة العميل غير القادرة على استخدام TLS 1.2 أو الإصدارات الأحداث. نوصي، ولكن لا نطلب، بتطبيق التشفير أثناء النقل على عمليات نقل بيانات المنصة التي تكون بالكامل ضمن شبكات خاصة موثوقة تتحكم فيها (على سبيل المثال، داخل السحابة الخاصة الافتراضية (VPC)). لمزيد من المعلومات حول هذا المطلب وكيفية تحميل أي دليل مطلوب، يرجى الرجوع إلى متطلبات أمن البيانات.

[ ] نعم

[ ] هذا ليس ضروريًا. نحن لا ننقل أبدًا بيانات المنصة عبر الإنترنت لأي سبب بخلاف الطلبات المباشرة إلى Meta.

[ ] لا

إذا حددت "نعم" في أي من السؤالين 3-1-11.أ أو 3-1-11.ب، فسيتم عرض ما يلي:

3.1-11.ج. لقد أشرت في السؤال السابق إلى أنك تقوم بتمكين بروتوكول الأمان TLS 1.2 أو بروتوكول أحدث لتشفير البيانات أثناء النقل. هل تضمن عدم نقل بيانات المنصة مطلقًا عبر الشبكات العامة في شكل غير مشفر (على سبيل المثال، عبر HTTP أو FTP) وعدم استخدام بروتوكولات الأمان SSL 2.0 وSSL 3.0 مطلقًا؟

نشترط عدم نقل بيانات المنصة مطلقًا عبر الشبكات غير موثوقة في صورة غير مشفرة، ويجب عدم استخدام SSL 2.0 أو SSL 3.0 مطلقًا. لمزيد من المعلومات حول هذا المطلب وكيفية تحميل أي أدلة مطلوبة، يرجى الرجوع إلى متطلبات أمن البيانات لدينا.

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في أي من السؤالين 3-1-11.أ أو 3-1-11.ب، فسيتم عرض ما يلي:

3.1-11.أ.1. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية تمكين بروتوكول الأمان TLS 1.2 أو بروتوكول أحدث للبيانات أثناء النقل.

يجب أن يتضمن المستند البيانات التالية: 1. لا يتم أبدًا نقل بيانات المنصة بدون تشفير أثناء النقل 2. لا يتم استخدام الإصدار 2 من SSL والإصدار 3 من SSL مطلقًا

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في أي من السؤالين 3-1-11.أ أو 3-1-11.ب، فسيتم عرض ما يلي:

3.1-11.أ.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، لقطة شاشة كاملة لنتائج تقرير Qualys SSL الذي يتم تشغيله وفقًا لأحد نطاقات الويب لديك) والذي يوضح كيفية تنفيذ هذه الحماية عمليًا: تمكين بروتوكول الأمان TLS 1.2 أو بروتوكول أحدث للبيانات التي يتم نقلها. [السؤال الأساسي]

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx

إذا حددت "لا" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-12.أ. خلال الـ 12 شهرًا الماضية، أي من الطرق التالية استخدمتها لاختبار البرنامج الذي تستخدمه لمعالجة بيانات المنصة بحثًا عن الثغرات الأمنية ومشكلات الأمان؟

يشير هذا السؤال فقط إلى البرنامج الذي تقوم بإنشائه أو الحزمة (على سبيل المثال، مكتبات الرموز) لمعالجة بيانات المنصة، بدلاً من البرامج التي يتم إنشاؤها أو صيانتها بواسطة شركات أخرى (على سبيل المثال، أنظمة تشغيل Android أو iOS).

حدّد كل ما ينطبق.

أ. اختبار أمان التطبيق الثابت (SAST)

ب. اختبار أمان التطبيق الديناميكي (DAST)

ج. اختبار الاختراق من قبل فريق داخلي

د. اختبار الاختراق من قبل شركة أمن خارجية

هـ. يتم الحصول على تقارير الثغرات الأمنية من جانب الباحثين الخارجيين من خلال برنامج الكشف عن الثغرات الأمنية (VDP) أو برنامج مكافآت اكتشاف الثغرات الأمنية

و. طريقة أخرى لتحديد الثغرات الأمنية

ز. لا شيء مما سبق

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا قمت بتحديد أي اختيارات من أ إلى ز في السؤال 3.1-12.أ، فسيتم عرض ما يلي:

3.1-12.أ.1. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية اختبار البرنامج الذي تستخدمه لمعالجة بيانات المنصة بحثًا عن الثغرات الأمنية ومشكلات الأمان.

يجب تضمين جميع إجراءات الاختبار التالية في شرحك المكتوب:

  1. اختبار الثغرات الأمنية مرة واحدة على الأقل كل 12 شهرًا

  2. توفير عملية لفرز النتائج على أساس الخطورة

  3. التأكد من معالجة الثغرات الأمنية عالية الخطورة، والتي قد تؤدي إلى الوصول غير المصرح به إلى بيانات المنصة، في الوقت المناسب

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد أي من الخيارات من أ إلى و في السؤال 3.1-12.أ، فسيتم عرض ما يلي:

3.1-12.أ.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، ملخص لنتائج اختبار اختراق حديث) يوضح كيفية تنفيذ هذه الحماية عمليًا: اختبر البرنامج الذي تستخدمه لمعالجة بيانات المنصة بحثًا عن الثغرات والمشكلات الأمنية.

يجب تضمين التفاصيل التالية في الدليل: 1. شرح للنطاق ومنهجية الاختبار 2. تاريخ إجراء الاختبار (لكي يكون مقبولاً، يجب ألا يكون التاريخ قبل 12 شهرًا من التاريخ الذي أبلغناك فيه بشأن هذا التقييم.) 3. إن أمكن، ملخص لأي ثغرات أمنية شديدة وعالية الخطورة لم تتم معالجتها

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-12.ب. خلال الـ 12 شهرًا الماضية، أي من الطرق التالية استخدمتها لاختبار الثغرات الأمنية ومشكلات الأمان في بيئة الواجهة الخلفية لديك حيث تقوم بمعالجة بيانات المنصة؟

يشير هذا السؤال فقط إلى البرنامج الذي تقوم بإنشائه أو الحزمة (على سبيل المثال، مكتبات الرموز ) لمعالجة بيانات المنصة، بدلاً من البرامج التي يتم إنشاؤها أو صيانتها بواسطة شركات أخرى (على سبيل المثال، خدمة التحليلات التي تعتمد عليها كموفر خدمة).

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

حدّد كل ما ينطبق.

أ. اختبار أمان التطبيق الثابت (SAST)

ب. اختبار أمان التطبيق الديناميكي (DAST)

ج. مسح الويب

د. اختبار الاختراق من قبل فريق داخلي

هـ. اختبار الاختراق من قبل شركة أمن خارجية

و. يتم الحصول على تقارير الثغرات الأمنية من جانب الباحثين الخارجيين من خلال برنامج الكشف عن الثغرات الأمنية (VDP) أو برنامج مكافآت اكتشاف الثغرات الأمنية

ز. طريقة أخرى لتحديد الثغرات الأمنية

ح. هذا ليس ضروريًا لأن مؤسستي تستخدم حل واجهة خلفية بدون رمز

ط. لا شيء مما سبق

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد أي من الخيارات من أ إلى ز في السؤال 3.1-12.ب، فسيتم عرض ما يلي:

3.1-12.ب.1. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية اختبار الثغرات الأمنية ومشكلات الأمان في بيئة الواجهة الخلفية لديك حيث تقوم بمعالجة بيانات المنصة.

يجب تضمين جميع إجراءات الاختبار التالية في شرحك المكتوب:

  1. اختبار الثغرات الأمنية مرة واحدة على الأقل كل 12 شهرًا

  2. توفير عملية لفرز النتائج على أساس الخطورة

  3. التأكد من معالجة الثغرات الأمنية عالية الخطورة، والتي قد تؤدي إلى الوصول غير المصرح به إلى بيانات المنصة، في الوقت المناسب

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد أي من الخيارات من أ إلى ز في السؤال 3.1-12.ب، فسيتم عرض ما يلي:

3.1-12.ب.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، ملخص لنتائج اختبار اختراق حديث) يوضح كيفية تنفيذ هذه الحماية عمليًا: اختبار الثغرات الأمنية ومشكلات الأمان في بيئة الواجهة الخلفية لديك حيث تقوم بمعالجة بيانات المنصة.

يجب تضمين التفاصيل التالية في الدليل:

  1. شرح للنطاق ومنهجية الاختبار

  2. تاريخ إجراء الاختبار (لكي يكون مقبولاً، يجب ألا يكون التاريخ قبل 12 شهرًا من التاريخ الذي أبلغناك فيه بشأن هذا التقييم.)

  3. إن أمكن، ملخص لأي ثغرات أمنية شديدة وعالية الخطورة لم تتم معالجتها

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا قمت بتحديد أي من الخيارات: من أ إلى ب أو من د إلى ط في السؤال 3.1-8.ب

3.1-12.ج. هل تختبر البيئة السحابية التي تستخدمها لمعالجة بيانات المنصة بحثًا عن التكوينات الأمنية الخاطئة (على سبيل المثال، استخدام أداة مثل NCC Scout Suite لتحديد التكوينات الخاطئة) كل 12 شهرًا على الأقل؟

تتطلب Meta منك اتخاذ خطوات لاختبار برنامجك بحثًا عن الثغرات الأمنية ومشكلات الأمان مرة واحدة على الأقل كل 12 شهرًا لمنع الوصول غير المصرح به إلى بيانات المنصة.

[ ] نعم

[ ] لا ينطبق لأن مؤسستي تعتمد فقط على خدمة الواجهة الخلفية التي لا تكشف عن أي خيارات حساسة لتكوين الأمان

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا حددت "نعم" في السؤال 3.1-12.ج، فسيتم عرض ما يلي:

3.1-12.ج.1. قم بتحميل شرح كتابي (على سبيل المثال: مستند سياسة أو إجراءات) يوضح كيفية اختبار البيئة السحابية التي تستخدمها لمعالجة بيانات المنصة بحثًا عن التكوينات الأمنية الخاطئة.

يجب تضمين جميع إجراءات الاختبار التالية في شرحك المكتوب:

  1. اختبار الثغرات الأمنية مرة واحدة على الأقل كل 12 شهرًا.

  2. توفير عملية لفرز النتائج على أساس الخطورة.

  3. التأكد من معالجة الثغرات الأمنية عالية الخطورة، والتي قد تؤدي إلى الوصول غير المصرح به إلى بيانات المنصة، في الوقت المناسب.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

تتطلب Meta منك اتخاذ خطوات لاختبار برنامجك بحثًا عن الثغرات الأمنية ومشكلات الأمان مرة واحدة على الأقل كل 12 شهرًا لمنع الوصول غير المصرح به إلى بيانات المنصة.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-12.ج، فسيتم عرض ما يلي:

3.1-12.ج.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، ملخص لاختبار NCC Scout Suite) يوضح كيفية تنفيذ هذه الحماية عمليًا: اختبر البيئة السحابية التي تستخدمها لمعالجة بيانات المنصة بحثًا عن التكوينات الأمنية الخاطئة.

يجب تضمين التفاصيل التالية في الدليل:

  1. شرح للنطاق ومنهجية الاختبار

  2. تاريخ إجراء الاختبار (لكي يكون مقبولاً، يجب ألا يكون التاريخ قبل 12 شهرًا من التاريخ الذي أبلغناك فيه بشأن هذا التقييم.)

  3. إن أمكن، ملخص لأي ثغرات أمنية شديدة وعالية الخطورة لم تتم معالجتها

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-13.أ. هل يقوم تطبيقك أو برنامجك بتخزين رموز الوصول على أجهزة العميل أو البرنامج التي يمكن قراءتها بواسطة تطبيق أو مستخدم مختلف؟

يشير "جهاز العميل" إلى جهاز ما، مثل الهاتف المحمول الذي يعمل بنظام Android أو iPhone، والذي ينتمي إلى المستخدمين النهائيين لتطبيقك أو خدمتك.

حدّد "لا" إذا لم يكن لديك تطبيق أو برنامج يعمل على أجهزة العملاء، مثل الهواتف المحمولة.

[ ] نعم

[ ] لا

إذا لم يتم تكوين هذا التطبيق كتطبيق سطح المكتب/أصلي، فسيتم عرض ما يلي:

3.1-13.ب. هل يتم الكشف عن المفتاح السري لتطبيق فيسبوك للعملاء أو أجهزة العميل (على سبيل المثال، ضمن الرموز المجمعة)؟

[ ] نعم

[ ] نعم، ولكن تم تكوين تطبيقي كتطبيق سطح مكتب أو تطبيق أصلي

[ ] لا

إذا قمت بتحديد الخيار د في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-13.ج. أنت تتلقى هذا السؤال لأنك أشرت في سؤال سابق إلى أنك تقوم بتخزين رموز وصول مستخدم API من Meta في بيئة الواجهة الخلفية لديك. كيف تحمي هذه الرموز من الاستخدام غير المصرح به؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

تعتبر رموز الوصول أساسية لأمان واجهات API من Meta. نطلب من المطوّرين حماية رموز الوصول من الوصول غير المصرح به. تعرف على رموز الوصول.

حدّد كل ما ينطبق.

أ. عن طريق تخزين هذه البيانات في مخزن بيانات (على سبيل المثال، Vault من Hashicorp) مع خدمة إدارة مفاتيح منفصلة (KMS)

ب. باستخدام تشفير التطبيق (على سبيل المثال، لا تتم كتابة رموز وصول المستخدم مطلقًا، أو يتم إلغاء تشفيرها في قواعد البيانات أو أي مساحة تخزين ثابتة أخرى)

ج. من خلال تكوين التطبيق ليطلب المعلمة appsecret_proof لاستدعاءات API إلى Meta

د. أستخدم أسلوبًا مختلفًا لحماية رموز وصول المستخدم

هـ. لا شيء مما سبق

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد أ أو ب أو ج أو د في السؤال 3.1-13.ج، فسيتم عرض ما يلي:

3.1-13.ج.1. طرح السؤال السابق كيفية حماية رموز وصول المستخدم المخزنة في بيئة الواجهة الخلفية لديك من الاستخدام غير المصرح به. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية حماية رموز الوصول هذه.

يجب أن يحتوي الشرح المكتوب على ما يلي:

  1. وصف لكيفية حماية رموز وصول المستخدم من الوصول غير المصرح به للقراءة

  2. شرط بعدم كتابة رموز وصول المستخدم مطلقًا في ملفات السجل في شكل نص واضح (غير مشفر)

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

تعتبر رموز الوصول أساسية لأمن واجهات API في Meta. نطلب من المطوّرين حماية رموز الوصول من الوصول غير المصرح به. تعرف على رموز الوصول.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

3.1-13.ج.2 قم بتحميل دليل واحد على الأقل (على سبيل المثال، لقطة شاشة لمفتاح رمز الوصول، ولكن ليس قيمته) يوضح كيفية تنفيذ هذه الحماية عمليًا: حماية رموز الوصول المخزنة في بيئة الواجهة الخلفية لديك من الاستخدام غير المصرح به. [السؤال الأساسي]

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا قمت بتحديد الخيار هـ في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-13.د. أنت تتلقى هذا السؤال لأنك أشرت في سؤال سابق إلى أنك تقوم بتخزين المفتاح السري للتطبيق في بيئة الواجهة الخلفية لديك. كيف تحمي المفتاح السري للتطبيق من الاستخدام غير المصرح به؟

المفتاح السري للتطبيق هو معلمة مرتبطة بتقنيات Meta والتي يمكن استخدامها كرمز وصول في بعض استدعاءات API لتغيير تكوين التطبيق، على سبيل المثال تكوين استدعاءات حدث Webhook. يمكنك العثور على المفتاح السري للتطبيق في لوحة معلومات التطبيق ضمن الإعدادات > الإعدادات الأساسية. لمزيد من المعلومات حول المفتاح السري للتطبيق، راجع وثائق المطوّرين لدينا حول أمان تسجيل الدخول. لمزيد من المعلومات حول متطلبات لحماية المفاتيح السرية للتطبيقات ورموز وصول المستخدمين، بما في ذلك أي دليل قد يلزم توفيره، راجع حماية المفتاح السري لتطبيق Meta ورموز الوصول.

نطلب منك حماية المفتاح السري للتطبيق باتباع إحدى الطريقتين:

  1. من خلال عدم الكشف عنه مطلقًا خارج بيئة الخادم الآمنة. وهذا يعني عدم إرجاعه من خلال استدعاء شبكة إلى متصفح أو تطبيق هواتف محمولة وألا يتم تضمين المفتاح السري للتطبيق في رمز يتم توزيعه إلى عملاء الهواتف المحمولة أو الأصلية/أجهزة الكمبيوتر.

  2. أو عن طريق تكوين مصادقة التطبيق بالنوع "تطبيق أصلي أو تطبيق كمبيوتر" حتى لا تثق واجهات API من Meta بعد ذلك في استدعاءات API التي تتضمن المفتاح السري للتطبيق.

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

حدّد كل ما ينطبق.

أ. عن طريق تخزين هذه البيانات في مخزن بيانات (على سبيل المثال، Vault من Hashicorp) مع خدمة إدارة مفاتيح منفصلة (KMS)

ب. باستخدام تشفير التطبيق (على سبيل المثال، لا تتم كتابة المفتاح السري للتطبيق مطلقًا، أو إلغاء تشفيره في قواعد البيانات أو أي مساحة تخزين ثابتة أخرى)

ج. أستخدم أسلوبًا مختلفًا لحماية المفاتيح السرية للتطبيقات

د. لا شيء مما سبق

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد الخيار أ أو ب أو ج في السؤال 3.1-13.د، فسيتم عرض ما يلي:

3.1-13.د.1. لقد أشرت في السؤال السابق إلى أنك تحمي المفتاح السري للتطبيق المخزن في بيئة الواجهة الخلفية لديك من الاستخدام غير المصرح به. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية تنفيذ هذه الحماية.

يجب أن يحتوي الشرح المكتوب على ما يلي:

  1. وصف لكيفية حماية المفتاح السري للتطبيق من الوصول غير المصرح به للقراءة

  2. شرط بعدم كتابة المفتاح السري للتطبيق مطلقًا في ملفات السجل في شكل نص واضح (غير مشفر)

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يُعد المفتاح السري للتطبيق أساسيًا لأمان واجهات API في Meta. نطلب من المطوّرين حماية المفتاح السري للتطبيق من الوصول غير المصرح به. تعرف على المفتاح السري للتطبيق.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد الخيار أ أو ب أو ج في السؤال 3.1-13.د، فسيتم عرض ما يلي:

3.1-13.د.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، لقطة شاشة لمدير المفاتيح السرية للتطبيقات لديك والذي تحتوي على المفتاح السري للتطبيق مع القيمة المحجوبة) يوضح كيفية تنفيذ هذه الحماية عمليًا: حماية المفتاح السري للتطبيق المخزن في بيئة الواجهة الخلفية لديك من الاستخدام غير المصرح به.

للاطلاع على مثال على الأدلة المقبولة، انتقل إلى دليل الأدلة لهذا السؤال.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-15.أ. هل تحتاج إلى المصادقة متعددة العوامل (MFA) للوصول إلى أدوات التعاون والاتصال الخاصة بك؟

نطلب توفير MFA أو حماية بديلة مقبولة لجميع مستخدمي أدوات التعاون والتواصل (مثل البريد الإلكتروني وSlack). لا نطلب أي أسلوب معين لتنفيذ مصادقة MFA.

[ ] نعم

[ ] لا، لكننا نفرض سياسة تعقيد كلمة السر وتأخيرات في التراجع عن المصادقة وعمليات إغلاق تلقائية للحساب بالتزامن مع محاولات تسجيل الدخول الفاشلة.

[ ] لا

3.1-15.ب. هل تحتاج إلى المصادقة متعددة العوامل (MFA) للوصول الكامل إلى أداة مستودع الرموز (على سبيل المثال، GitHub) أو أي أداة يتم استخدامها لتتبع التغييرات التي تطرأ على التطبيق وأي من رموز النظام وتكويناته؟

نطلب توفير مصادقة MFA أو حماية بديلة مقبولة لجميع مستخدمي مستودع الرموز لديك. لا نطلب أي أسلوب معين لتنفيذ مصادقة MFA.

[ ] نعم

[ ] لا، لكننا نفرض سياسة تعقيد كلمة السر وتأخيرات في التراجع عن المصادقة وعمليات إغلاق تلقائية للحساب بالتزامن مع محاولات تسجيل الدخول الفاشلة.

[ ] لا

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-15.ج. هل تحتاج إلى المصادقة متعددة العوامل (MFA) للوصول الكامل إلى أدوات نشر البرامج، على سبيل المثال Jenkins أو أداة أخرى للدمج المستمر أو النشر المستمر (CI/CD)؟

نطلب توفير مصادقة MFA أو حماية بديلة مقبولة لجميع مستخدمي أدوات نشر البرامج. لا نطلب أي أسلوب معين لتنفيذ مصادقة MFA.

[ ] نعم

[ ] لا، لكننا نفرض سياسة تعقيد كلمة السر وتأخيرات في التراجع عن المصادقة وعمليات إغلاق تلقائية للحساب بالتزامن مع محاولات تسجيل الدخول الفاشلة.

[ ] لا

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-15.د. هل تحتاج إلى مصادقة متعددة العوامل (MFA) للوصول إلى الأدوات الإدارة في الواجهة الخلفية لديك، على سبيل المثال، البوابة الإدارية السحابية؟

نطلب توفير مصادقة MFA أو حماية بديلة مقبولة لجميع مستخدمي الأدوات الإدارية السحابية أو الخادم. لا نطلب أي أسلوب معين لتنفيذ مصادقة MFA.

[ ] نعم

[ ] لا، لكننا نفرض سياسة تعقيد كلمة السر وتأخيرات في التراجع عن المصادقة وعمليات إغلاق تلقائية للحساب بالتزامن مع محاولات تسجيل الدخول الفاشلة.

[ ] لا

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-15.هـ. هل تحتاج إلى مصادقة متعددة العوامل (MFA) لجميع عمليات الوصول عن بُعد إلى الخوادم، على سبيل المثال عبر SSH؟

نطلب توفير مصادقة MFA أو حماية بديلة مقبولة لجميع عمليات الوصول عن بُعد إلى الخوادم. لا نطلب أي أسلوب معين لتنفيذ مصادقة MFA.

[ ] نعم

[ ] لا، لكننا نفرض سياسة تعقيد كلمة السر وتأخيرات في التراجع عن المصادقة وعمليات إغلاق تلقائية للحساب بالتزامن مع محاولات تسجيل الدخول الفاشلة.

[] لا ينطبق. ليس لدينا إمكانية الوصول عن بُعد إلى الخوادم.

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا حددت "نعم" في أي سؤال من الأسئلة 3.1-15.أ حتى3.1-15.هـ، فسيتم عرض ما يلي:

3.1-15. هـ.1. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح متطلباتك للمصادقة متعددة العوامل (MFA) أو التدابير الأخرى لمنع الاستيلاء على الحساب (على سبيل المثال، تعقيد كلمة المرور مع التراجع عن المصادقة وإغلاق الحساب التلقائي عند فشل محاولة تسجيل الدخول).

يجب أن يتضمن شرحك متطلبات المصادقة الخاصة بك لجميع عمليات الوصول إلى أي أدوات تعاون واتصال، ومستودعات الرموز، وأدوات نشر البرامج، والأدوات إدارة الواجهة الخلفية، والوصول عن بُعد إلى الخوادم عبر أداة مثل SSH.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في أي سؤال من الأسئلة 3.1-15.أ حتى3.1-15.هـ، فسيتم عرض ما يلي:

3.1-15.هـ.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: المصادقة متعددة العوامل أو التدابير الأخرى لمنع الاستيلاء على الحساب.

يجب أن يوضح الدليل الذي توفره كيفية استخدام المصادقة لحماية الوصول الكامل إلى أي أدوات تعاون واتصال، ومستودعات الرموز، وأدوات نشر البرامج، والأدوات إدارة الواجهة الخلفية، والوصول عن بُعد إلى الخوادم عبر أداة مثل SSH.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-16. هل لديك نظام لصيانة الحسابات يدير عملية منح إمكانية الوصول للأشخاص في مؤسستك وإلغائها ومراجعتها؟

نطلب منك أن يكون لديك نظام لصيانة الحسابات وأن تقوم بمراجعة منح الوصول بانتظام، بما لا يقل عن مرة واحدة كل 12 شهرًا. يجب أن تتوفر لديك عملية لإلغاء الوصول على الفور عندما:

  • لا يعد الوصول مطلوبًا

  • لا يعد الوصول مستخدمًا

  • يغادر شخص ما المؤسسة

[ ] نعم

[ ] لا

إذا حددت "نعم" في السؤال 3.1-16، فسيتم عرض ما يلي:

3.1-16.أ. أي من العمليات أدناه تقوم بتنفيذها كجزء من نظام صيانة الحسابات؟

حدّد كل ما ينطبق.

أ. نقوم بمراجعة جميع عمليات منح الوصول مرة واحدة على الأقل كل 12 شهرًا ونقوم بإلغاء الوصول الذي لم يعد مطلوبًا.

ب. نقوم بمراجعة جميع عمليات منح الوصول مرة واحدة على الأقل كل 12 شهرًا ونقوم بإلغاء الوصول الذي لم يعد مستخدمًا.

ج. نقوم على الفور بإلغاء جميع عمليات منح الوصول عندما يغادر شخص ما المؤسسة.

د. لا شيء مما سبق

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا قمت بتحديد أي من الخيارات أ إلى ج في السؤال 3.1-16.أ، فسيتم عرض ما يلي:

3.1-16.أ.1. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) ينص على ما يلي: المتطلبات المتعلقة بنظام صيانة الحسابات لديك.

يجب أن يتضمن الشرح المكتوب متطلبات:

  1. إلغاء الوصول الذي لم يعد مطلوبًا

  2. إلغاء الوصول الذي لم يعد يتم استخدامه

  3. إلغاء الوصول فورًا عندما يغادر شخص ما مؤسستك

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا قمت بتحديد أي من الخيارات أ إلى ج في السؤال 3.1-16.أ، فسيتم عرض ما يلي:

3.1-16.أ.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين الأداة أو لقطة الشاشة) يوضح كيفية تنفيذ هذه الحماية عمليًا: تنفيذ نظام صيانة الحسابات.

يجب أن يوضح الدليلة كيفية:

  1. إلغاء الوصول الذي لم يعد مطلوبًا

  2. إلغاء الوصول الذي لم يعد يتم استخدامه

  3. إلغاء الوصول فورًا عندما يغادر شخص ما مؤسستك

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا حددت "نعم" في السؤال 3.1-8، فسيتم عرض ما يلي:

3.1-17.أ. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. فيما يتعلق بالبرنامج الذي تستخدمه لمعالجة بيانات المنصة في بيئة الواجهة الخلفية، هل تقوم بكل ما يلي: توفر طريقة محددة وقابلة للتكرار لتحديد التصحيحات في برامج الجهات الخارجية التي تعمل على حل الثغرات الأمنية، وتعطي الأولوية للتصحيحات المتوفرة بناءً على المخاطر (على سبيل المثال، بناءً على خطورة CVSS)، وتقوم بتطبيق التصحيحات كنشاط مستمر

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] هذا ليس ضروريًا لأن مؤسستي تستخدم حلاً في الواجهة الخلفية بدون رمز.

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-17.أ، فسيتم عرض ما يلي:

3.1-17.أ.1. لقد أشرت في السؤال السابق إلى أن لديك عمليات للحفاظ على تحديث الرموز وبيئة الواجهة الخلفية لديك. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية الحفاظ على تحديث الرموز وبيئة الواجهة الخلفية لديك.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-17.أ، فسيتم عرض ما يلي:

3.1-17.أ.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: الحفاظ على تحديث الرموز وبيئة الواجهة الخلفية لديك.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-17.ب. فيما يتعلق ببرنامج الجهة الخارجية الذي تستخدمه لمعالجة بيانات المؤسسة في تطبيق الهواتف المحمولة مثل تطبيق Android أو iPhone، هل تقوم بكل ما يلي: توفر طريقة محددة وقابلة للتكرار لتحديد التصحيحات في برنامج الجهة الخارجية والتي تعمل على حل الثغرات الأمنية، وتحدد أولويات التصحيحات المتوفرة بناءً على المخاطر (على سبيل المثال، بناءً على خطورة CVSS)، وتقوم بتطبيق التصحيحات كنشاط مستمر

[ ] نعم

[ ] هذا ليس ضروريًا نظرًا إلى أن مؤسستي لا تقوم بمعالجة بيانات المنصة في تطبيق الهواتف المحمولة.

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا حددت "نعم" في السؤال 3.1-17.ب، فسيتم عرض ما يلي:

3.1-17. ب.1. لقد أشرت في السؤال السابق إلى أنك تحافظ على تحديث برامج الجهة الخارجية في تطبيق الهواتف المحمولة لديك. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية تحديث الرموز الخارجية في تطبيق الهواتف المحمولة لديك.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-17.ب، فسيتم عرض ما يلي:

3.1-17.ب.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: الحفاظ على تحديث الرمز الخارجي في تطبيق الهواتف المحمولة لديك.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-17.ج. فيما يتعلق بأنظمة التشغيل وبرامج مكافحة الفيروسات والمتصفحات التي تعمل على أجهزة الكمبيوتر المحمولة والأنظمة والتطبيقات الأخرى التي يستخدمها الأشخاص في مؤسستك لإنشاء تطبيقك وتشغيله، هل تقوم بكل ما يلي: توفر طريقة محددة وقابلة للتكرار لتحديد التصحيحات في برنامج الجهة الخارجية والتي تعمل على حل الثغرات الأمنية، وتحدد أولويات التصحيحات المتوفرة بناءً على المخاطر (على سبيل المثال، بناءً على خطورة CVSS)، وتقوم بتطبيق التصحيحات كنشاط مستمر

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-17.ج، فسيتم عرض ما يلي:

3.1-17.ج.1. لقد أشرت في السؤال السابق إلى أنك تحافظ على تحديث البرامج الخارجية في الأنظمة والتطبيقات المستخدمة لإنشاء تطبيقك وتشغيله. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية تحديث البرامج الخارجية وبرنامج مكافحة الفيروسات.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-17.ج، فسيتم عرض ما يلي:

3.1-17.ج.2. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: الحفاظ على تحديث البرامج الخارجية وبرامج مكافحة الفيروسات. [السؤال الأساسي]

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-21. هل لديك طريقة متوفرة تتيح للجمهور إبلاغك بالثغرات الأمنية في هذا التطبيق؟

[ ] نعم

[ ] لا

إذا حددت "لا" في السؤال 3.1-21، فسيتم عرض ما يلي:

3.1-21.أ. هل يوجد عنوان بريد إلكتروني أو رقم هاتف أو نموذج جهة اتصال متوفر للجمهور يمكن للأشخاص استخدامه للاتصال بك، ويتم التحقق منه بانتظام؟

[ ] نعم

[ ] لا

إذا قمت بتحديد أي من الخيارات ب إلى و في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-22. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. هل تقوم بجمع سجلات مراجعة حسابات المسؤولين في بيئة الواجهة الخلفية تلك؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22، فسيتم عرض ما يلي:

3.1-22.أ. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية جمع سجلات مراجعة المسؤول في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك

إذا حددت "نعم" في السؤال 3.1-22، فسيتم عرض ما يلي:

3.1-22.أ.1. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: جمع سجلات مراجعة المسؤول في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا قمت بتحديد أي من الخيارات ب إلى و في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-22.ب. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. هل تقوم بجمع سجلات مراجعة أحداث التطبيق في بيئة الواجهة الخلفية هذه؟ يمكن أن تشمل أحداث التطبيق ما يلي:

  • فشل التحقق من صحة الإدخالات والمخرجات

  • فشل المصادقة والتحكم في الوصول

  • أخطاء التطبيق وأحداث النظام

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا

إذا حددت "نعم" في السؤال 3.1-22.ب، فسيتم عرض ما يلي:

3.1-22.ب.1. هل تتضمن سجلات مراجعة أحداث التطبيق هذه، في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة، جميع الحقول التالية؟

  • معرف مستخدم Meta (عند مشاركته معك)

  • نوع الحدث

  • التاريخ والوقت

  • مؤشر النجاح أو الفشل

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22.ب، فسيتم عرض ما يلي:

3.1-22.ب.2. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح النهج الذي تتبعه في جمع سجلات مراجعة أحداث التطبيق لبيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22.ب، فسيتم عرض ما يلي:

3.1-22.ب.3. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: جمع سجلات مراجعة أحداث التطبيق في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا قمت بتحديد أي من الخيارات ب إلى و في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-22.ج. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. هل لديك سياسات أو إجراءات معمول بها لمنع الوصول غير المصرح به والتلاعب بسجلات المراجعة في بيئة الواجهة الخلفية هذه؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا

3.1-22.د. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. بالنسبة لهذه البيئة، هل تحتفظ بسجلات المراجعة لمدة 30 يومًا على الأقل؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم [ ] لا

إذا قمت بتحديد أي من الخيارات ب إلى و في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-22.هـ. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. هل تستخدم حلاً آليًا لمراجعة سجلات مراجعة أحداث التطبيق في بيئة الواجهة الخلفية هذه من أجل العثور على مؤشرات للأحداث الأمنية اليومية أو الحوادث التي تؤدي إلى مخاطر أو أضرار (على سبيل المثال، محاولات تجاوز عناصر التحكم في الوصول أو استغلال الثغرات الأمنية في البرامج)؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا

إذا حددت "نعم" في السؤال 3.1-22.هـ، فسيتم عرض ما يلي: 3.1-22.هـ.1. هل تقوم بمراجعة سجلات مراجعة أحداث التطبيق هذه في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة كل 7 أيام على الأقل؟

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22.هـ، فسيتم عرض ما يلي:

3.1-22.هـ.2. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية مراجعة سجلات مراجعة أحداث التطبيق في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة كل 7 أيام على الأقل.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22.هـ، فسيتم عرض ما يلي:

3.1-22.هـ.3. قم بتحميل دليل واحد على الأقل (على سبيل المثال، تكوين أداة أو لقطة شاشة من تطبيقك) يوضح كيفية تنفيذ هذه الحماية عمليًا: مراجعة سجلات مراجعة أحداث التطبيق في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة كل 7 أيام على الأقل.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا قمت بتحديد أي من الخيارات ب إلى و في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-22.و. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. هل تقوم بمراجعة سجلات مراجعة المسؤول في هذه البيئة من أجل العثور على مؤشرات للأحداث الأمنية اليومية أو الحوادث التي تؤدي إلى مخاطر أو أضرار (على سبيل المثال، محاولات تجاوز عناصر التحكم في الوصول أو استغلال الثغرات الأمنية في البرامج)؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

[ ] نعم

[ ] لا

إذا حددت "نعم" في السؤال 3.1-22.و، فسيتم عرض ما يلي:

3.1-22.و.1. هل تقوم بمراجعة سجلات مراجعة المسؤول هذه في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة كل 7 أيام على الأقل؟

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22.و، فسيتم عرض ما يلي:

3.1-22.و.2 قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح النهج الذي تتبعه لمراجعة سجلات مراجعة المسؤول في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة للعثور على مؤشرات للأحداث أو الحوادث الأمنية اليومية كل 7 أيام على الأقل.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

إذا قمت بتحديد أي من الخيارات ب إلى و في السؤال 3.1-8.أ، فسيتم عرض ما يلي:

3.1-22.ز. لقد أشرت في سؤال سابق إلى أنك تقوم بتخزين بيانات المنصة في بيئة الواجهة الخلفية لديك. إذا حددت حدثًا أو حادثة أمنية يومية تؤدي إلى خطر أو تلف لسجلات المراجعة في بيئة الواجهة الخلفية هذه، فهل لديك عملية لإجراء مزيد من التحقيق؟

تشير "البيئة الواجهة الخلفية" إلى بيئة سحابية أو خادم يمكن للبرامج أو العملاء الوصول إليها عن بُعد، مثل موقع الويب أو API.

تذكير: في حالة وقوع حدث أو حادث أمني، فإن سياساتنا تتطلب منك إبلاغنا به على الفور.

[ ] نعم

[ ] لا

إخلاء المسؤولية: هذا السؤال ينطبق فقط على بعض المطوّرين. يرجى الاطلاع على نموذج التقييم المحدد الخاص بك لتحديد ما إذا كانت هذه المتطلبات تنطبق عليك.

إذا حددت "نعم" في السؤال 3.1-22.ز، فسيتم عرض ما يلي:

3.1-22.ز.1. قم بتحميل شرح مكتوب (على سبيل المثال، مستند سياسة أو إجراء) يوضح كيفية التحقيق في الأحداث أو الحوادث الأمنية اليومية في بيئة الواجهة الخلفية لديك حيث يتم تخزين بيانات المنصة، والتي تؤدي إلى مخاطر أو تلف سجلات المراجعة.

يرجى تمييز المكان الذي تم توضيح هذه الشروط فيه ضمن سياستك أو وضع دائرة حوله.

يرجى التأكد من أن الملفات ليست محمية بكلمة سر. يمكنك تحميل عدة ملفات على أن يكون حجم كل ملف 2 جيجابايت بحد أقصى. نقبل الملفات بتنسيقات ‎.xls و‎.xlsx و‎.csv و‎.doc و‎.docx و‎.pdf و‎.txt و‎.jpeg و‎.jpg و‎.png و‎.ppt و‎.pptx و‎.mov و‎.mp4 و‎.zip و‎.zipx.

3.1-23. هل لديك عمليات أمنية مطبقة للأشخاص الذين لديهم حق الوصول إلى بيانات المنصة؟

يمكن أن تتضمن هذه العمليات واحدًا أو أكثر مما يلي:

  • إكمال عمليات التحقق من الخلفية قبل الوصول إلى بيانات المنصة

  • توقيع اتفاقيات السرية قبل الوصول إلى التدريب على بيانات المنصة للموظفين الجدد حول سياسات وإجراءات أمن المعلومات

  • تدريب منتظم ومستمر للتوعية الأمنية (أي سنويًا)

  • التدريب المتعلق بأدوار وظيفية محددة يمكنها الوصول إلى بيانات المنصة

  • إرجاع الأصول (على سبيل المثال، جهاز كمبيوتر محمول أو هاتف محمول) عند الانفصال عن المؤسسة

[ ] نعم

[ ] لا