Fragen zur datenschutzrechtlichen Beurteilung

Hier findest du alle Fragen für die datenschutzrechtliche Beurteilung. Wenn deine Beurteilung mit 3.1 beginnt, hast du sie am oder nach dem 15. Februar 2024 erhalten. Die nachfolgenden Fragen gilt es zu beantworten.

Wenn deine Beurteilung nicht nummeriert ist, hast du sie vor dem 15. Februar 2024 erhalten. Diese vorigen Fragen findest du hier.

Die folgenden Fragen sind Teil der aktualisierten datenschutzrechtlichen Beurteilung 2024. Wie du siehst, beginnen die Nummern für die Fragen mit der entsprechenden Versionsnummer. Für Version 3.1 lauten die Fragen 3.1-1, 3.1-2 usw. Wir aktualisieren unsere Fragen fortlaufend, um sie an die jeweiligen Branchenstandards anzupassen. Entwickler*innen bekommen je nachdem, wann sie die Beurteilung erhalten haben, möglicherweise unterschiedliche Fragen.

Anweisungen für die Verwendung:

  1. Wir empfehlen App-Administrator*innen, diese mit ihren internen Teams zu überprüfen, um so sicherzustellen, dass die Apps den Anforderungen unserer Plattform-Nutzungsbedingungen entsprechen. Alle App-Administrator*innen werden benachrichtigt, wenn für eine App eine datenschutzrechtliche Beurteilung erforderlich ist.

  2. Bitte beachte, dass nur Einreichungen in Englisch angenommen werden. Du kannst gerne ein beliebiges Übersetzungstool einsetzen, um deine Beurteilungen in englischer Sprache einreichen zu können.

  3. Diese Fragen werden hier nur zu deiner Information angezeigt. Welche Fragen für eine bestimmte App erforderlich sind, variiert je nach den Daten, auf die App Zugriff hat. Wenn eine App Zugriff auf bestimmte Arten von Daten hat, musst du deine Antworten möglicherweise auch belegen.

  4. Wenn du gerade eine datenschutzrechtliche Beurteilung durchführst oder Folgefragen unserer Reviewer*innen bearbeitest, fahre bitte damit fort und beachte, dass sich die Fragen, die du gerade beantwortest, von den aktualisierten Fragen hier unterscheiden können.

Datennutzung

3.1-1. Nutzt die App Plattformdaten, um bestimmte Personen zu benachteiligen (d. h. einige Personen erhalten etwas, was andere nicht erhalten), und zwar aufgrund von ethnischer Zugehörigkeit, Hautfarbe, nationaler Herkunft, Religion, Alter, Geschlecht, sexueller Orientierung, Geschlechtsidentität, Familienstand, Behinderung, Gesundheitszustand oder genetischen Merkmalen?

Diese Frage bezieht sich nicht auf die Verwendung von Geschlecht und Alter in Dating-Apps, von Geschlecht für sprachliche Belange, von Alter zur Einschränkung nicht jugendfreier Inhalte oder andere Szenarien, in denen Plattformdaten zur Verbesserung der Nutzungserfahrung in der App verwendet werden. Wenn deine App eine dieser Verwendungsarten umfasst, lautet deine Antwort „Nein“, sofern du die Informationen nicht verwendest, um andere zu benachteiligen.

  • [ ] Ja
  • [ ] Nein

Wenn du mit „Ja“ antwortest, werden dir folgende zusätzliche Fragen gestellt:

3.1-1.a.A. Welche Plattformdaten verwendet die App, um bestimmte Personen aufgrund von ethnischer Zugehörigkeit, Hautfarbe, nationaler Herkunft, Religion, Alter, Geschlecht, sexueller Orientierung, Geschlechtsidentität, Familienstand, Behinderung, Gesundheitszustand oder genetischen Merkmalen zu benachteiligen?

3.1-1.a.B. Wie verwendet die App Plattformdaten, um bestimmte Personen aufgrund von ethnischer Zugehörigkeit, Hautfarbe, nationaler Herkunft, Religion, Alter, Geschlecht, sexueller Orientierung, Geschlechtsidentität, Familienstand, Behinderung, Gesundheitszustand oder genetischen Merkmalen zu benachteiligen?

3.1-1.a.C. Seit wann verwendet die App Plattformdaten auf diese Weise?


3.1-2. Verwendet die App Plattformdaten, um Entscheidungen bezüglich Unterbringung, Beschäftigung, Versicherung, Bildungsmöglichkeiten, Krediten, staatlichen Leistungen oder Einwanderungsstatus zu treffen?

Wenn du mit „Ja“ antwortest, werden dir folgende zusätzliche Fragen gestellt:

3.1-2.a.A. Welche Plattformdaten verwendet die App, um Entscheidungen bezüglich Unterbringung, Beschäftigung, Versicherung, Bildungsmöglichkeiten, Krediten, staatlichen Leistungen oder Einwanderungsstatus zu treffen?

3.1-2.a.B. Wie verwendet die App Plattformdaten, um Entscheidungen bezüglich Unterbringung, Beschäftigung, Versicherung, Bildungsmöglichkeiten, Krediten, staatlichen Leistungen oder Einwanderungsstatus zu treffen?

3.1-2.a.C. Seit wann verwendet die App Plattformdaten auf diese Weise?


3.1-3. Verwendet die App Plattformdaten für überwachungsbezogene Aktivitäten? Überwachung umfasst die Verarbeitung von Plattformdaten zu Personen, Gruppen oder Veranstaltungen für Zwecke der Strafverfolgung oder der nationalen Sicherheit.

Wenn du mit „Ja“ antwortest, werden dir folgende zusätzliche Fragen gestellt:

3.1-3.a.A. Welche Plattformdaten verwendet die App für überwachungsbezogene Aktivitäten?

3.1-3.a.B. Wie verwendet die App Plattformdaten für Überwachungsaktivitäten?

3.1-3.a.C. Seit wann verwendet die App Plattformdaten zu diesem Zweck?

Teilen von Daten

3.1-4. Einige der folgenden Fragen beziehen sich auf Dienstleister und Unterdienstleister. Ein Dienstleister ist eine Person oder ein Unternehmen, die bzw. das dir Services zur Verfügung stellt, um dir die Nutzung der Plattform oder der Plattformdaten zu erleichtern. Ein Unterdienstleister ist ein Dienstleister, der von einem anderen Dienstleister eingesetzt wird, um ihm Services mit Bezug auf die Plattformdaten zur Verfügung zu stellen.

Google Cloud und Amazon Web Services (AWS) sind Beispiele für gängige, große Dienstanbieter. Du kannst für die Verarbeitung oder Nutzung von Plattformdaten aber auch mit kleineren Unternehmen zusammenarbeiten, z. B. mit einem lokalen Webentwicklungsunternehmen in deinem Land oder deiner Region.

Gehören folgende Antwortmöglichkeiten zu deinen Aktivitäten?

Wähle alle zutreffenden Antworten aus.

  • a. Ich teile keine Plattformdaten, die ich über diese App erhalte
  • b. Verkauf oder Lizenzierung von Plattformdaten an eine andere Person oder ein anderes Unternehmen oder Unterstützung anderer dabei
  • c. Kauf von Plattformdaten von einer anderen Person oder ein anderes Unternehmen oder Unterstützung anderer dabei
  • d. Teilen von Plattformdaten, damit eine Person oder ein Unternehmen eine Dienstleistung für dich erbringt (ein Dienstleister)
  • e. Teilen von Plattformdaten, damit eine andere Person oder ein anderes Unternehmen (außerhalb deines Unternehmens) auf die Plattform oder die Plattformdaten zugreifen und diese verwenden kann
  • f. Auf ausdrückliche Anweisung eines*einer Nutzer*in dieser App Plattformdaten teilen
  • g. Teilen von Plattformdaten für andere Zwecke, die hier nicht aufgeführt sind. Bitte erläutern.

Wenn du Option b in Frage 3.1-4 auswählst, wird dir Folgendes angezeigt:

3.1-4.a.A. Welche Arten von Plattformdaten verkaufst oder lizenzierst du?

3.1-4.a.B. Welche Berechtigungen, Funktionen, Fähigkeiten oder anderen Kanäle nutzt diese App, um auf diese Plattformdaten zuzugreifen und sie zu erfassen?

3.1-4.a.C. Führe alle Einrichtungen, Unternehmen und Dritte auf, an die du Plattformdaten aus dieser App verkaufst oder lizenzierst, und erkläre jeweils den Zweck der Weitergabe.

3.1-4.a.D. Seit wann verkaufst oder lizenzierst du Plattformdaten?

Wenn du Option d in Frage 3.1-4 auswählst, wird dir Folgendes angezeigt:

3.1-4.b. Du hast oben angegeben, dass du Plattformdaten mit Dienstleistern teilst. Aktiviere bitte die Felder unten, um anzugeben, mit welchen Dienstleistern du Plattformdaten teilst. In den folgenden Fragen wirst du aufgefordert zu beschreiben, mit wem du Plattformdaten teilst, und zu erklären, wie und warum du sie teilst.

Hinweis: Gib bitte keine Meta-Dienste oder -Produkte als Dienstanbieter an.

Wähle alle zutreffenden Antworten aus. Wenn du Plattformdaten mit mehr als einem der hier aufgelisteten Dienstanbieter und weiteren, nicht aufgelisteten Dienstanbietern teilst, wähle bitte die zutreffenden Antworten sowie „Sonstige(s)“ aus. Du kannst z. B. Apple, Google und „Sonstige(s)“ auswählen, um alle deine Dienstleister anzugeben.

  • a. Google (z. B. Play Store, Firebase, Cloud, AdMob, Analytics)
  • b. Amazon (z. B. Amazon Web Services)
  • c. Salesforce (z. B. Heroku, Marketing Cloud)
  • d. Apple (z. B. App Store)
  • e. Microsoft (z. B. App Center, Azure, Playfab)
  • f. GitHub
  • g. AppLovin (z. B. Adjust)
  • h. Appsflyer
  • i. Stripe
  • j. Twilio (z.B. Segment, SendGrid)
  • k. Sonstige(s) (du wirst aufgefordert, eine Liste hochzuladen)

Wenn du Option k in Frage 3.1-4.b auswählst, wird dir Folgendes angezeigt:

3.1-4.b.i. Lade bitte eine CSV- oder Excel-Datei hoch, in der alle Dienstanbieter aufgelistet sind, mit denen du zusätzlich zu den in der obigen Liste aufgeführten Anbietern Plattformdaten teilst. Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Option d in Frage 3.1-4 und Option k in Frage 3.1-4.b auswählst, wird dir Folgendes angezeigt:

3.1-4.c. Verfügst du über eine schriftliche Vereinbarung mit allen Dienstleistern, mit denen du Plattformdaten teilst, die sie und alle ihre Unterdienstleister (falls vorhanden) dazu verpflichtet, die Plattformdaten nur auf deine Anweisung hin und nur zur Erbringung der von dir angeforderten Dienstleistung zu nutzen – und nicht für ihre eigenen Zwecke oder zum Nutzen ihrer eigenen Kund*innen?

Eine schriftliche Vereinbarung kann die Nutzungsbedingungen, eine nicht ausgehandelte Standardvereinbarung oder einen unterzeichneten Vertrag umfassen. Wenn du z. B. Google Cloud als Dienstanbieter nutzt, entspricht die schriftliche Vereinbarung den Nutzungsbedingungen, denen du zustimmst.

[ ] Ja [ ] Nein

Wenn du die Antwort „Ja“ auswählst, wird dir Folgendes angezeigt:

3.1-4.c.i. Bitte markiere die folgenden Kästchen, um anzugeben, welche Formulierungen in deinen schriftlichen Datenvereinbarungen mit Dienstleistern enthalten sind. Wähle alle zutreffenden Antworten aus.

a. Formulierungen, die Dienstleister dazu verpflichten, Plattformdaten nur für die Erbringung der von dir angefragten Dienstleistungen zu verwenden

b. Formulierungen, die Dienstleister dazu verpflichten, Plattformdaten nur im Rahmen deiner Anweisungen zu verwenden

c. Formulierungen, die es Dienstleistern verbieten, Plattformdaten mit Drittanbietern zu teilen, es sei denn, sie werden von dir anderweitig angewiesen

d. Formulierungen, die es Dienstleistern verbieten, Plattformdaten für eigene Zwecke oder Zwecke von Drittanbietern zu verarbeiten

e. Formulierungen, die Dienstleister dazu verpflichten, Daten, die sie von dir erhalten haben, zu löschen, wenn du ihre Dienstleistung nicht mehr nutzt

3.1-4.c.iv. Sind dir Fälle bekannt, in denen deine Dienstleister und/oder ihre Unterdienstleister (falls vorhanden) in einer Weise gehandelt haben, die nicht mit den Nutzungsbedingungen der Meta-Plattform vereinbar ist? Beispiele hierfür sind das Verkaufen von Plattformdaten oder Plattformdaten nicht zu löschen, wenn du ihre Dienste nicht mehr nutzt.

[ ] Ja [ ] Nein

3.1-4.c.v. Ist in den Vereinbarungen mit deinen Dienstleistern oder Unterdienstleistern (z. B. in den Nutzungsbedingungen) festgelegt, wie und wann diese die von dir erhaltenen Daten löschen müssen, wenn du deren Dienst nicht mehr nutzt?

[ ] Ja [ ] Nein

Wenn du Frage 3.1-4.c.v. mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-4.c.vi. Wie stellst du sicher, dass ein Dienstleister oder Unterdienstleister die Plattformdaten, die er von dir erhalten hat, löscht, wenn du ihn nicht mehr nutzt?

Wenn du Option e in Frage 3.1-4 auswählst, wird dir Folgendes angezeigt:

3.1-4.d. Die nächsten Fragen beziehen sich auf Tech-Anbieter, d. h. Entwickler*innen von Apps, deren Hauptzweck darin besteht, Plattformintegrationen im Namen von Kund*innen oder Klienten zu verwalten, damit diese auf ihre Daten in Meta-Produkten zugreifen und sie verwalten können. Beispiele für Technologieanbieter sind SaaS-Anbieter (Software as a Service) und -Agenturen.

  • Definition des Begriffs „Technologieanbieter“: Eine Einzelperson oder ein Unternehmen, die bzw. das Zugriff auf Meta-APIs erhalten hat, um im Namen anderer Einzelpersonen oder Unternehmen Integrationen zu erstellen, zu pflegen und zu entfernen. Dazu zählen Einzelpersonen oder Unternehmen, die eine einzelne Integration im Namen eines*einer einzelnen Kund*in oder mehrerer Kund*innen erstellen.

Du hast oben angegeben, dass diese App Personen oder Unternehmen (Kunden) den Zugriff auf und die Nutzung von Plattformdaten ermöglicht. Das bedeutet, dass du ein Technologieanbieter bist.

Verarbeitest du die Plattformdaten, die du über diese App erhältst, nur im Namen deiner Kund*innen und auf deren Anweisung? [ ] Ja [ ] Nein

Wenn du Frage 3.1-4.d mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-4.d.i.A. Für wen werden die Plattformdaten verarbeitet, außer auf Anweisung deines Kund*innen und in dessen*deren Namen?

3.1-4.d.i.B. Welche Plattformdaten verarbeitest du für diese Person oder dieses Unternehmen?

3.1-4.d.i.C. Warum verarbeitest du Plattformdaten für diese Person oder dieses Unternehmen?

3.1-4.d.i.D. Seit wann verarbeitest du diese Plattformdaten?

3.1-4.d.i.E. Wie verarbeitest du diese Plattformdaten?

3.1-4.e. Werden die Plattformdaten jeder deiner Kund*innen (entweder logisch, z. B. in separaten Tabellen, oder physisch) getrennt von den Daten deiner anderen Kund*innen und den Daten, die du für deine eigenen Zwecke verwaltest, gespeichert?

[ ] Ja [ ] Nein

Wenn du Frage 3.1-4.e mit Nein beantwortest, wird dir folgender Inhalt angezeigt:

3.1-4.f. Du hast angegeben, dass du Plattformdaten unter anderen als den in den vorherigen Fragen genannten Umständen teilst. Beschreibe bitte die Daten, die du unter diesen Umständen teilst.

  • Wo werden sie gespeichert?
  • Wie werden die Daten gespeichert und geschützt?
  • Wer hat Zugriff darauf?
  • Wie wird der Zugriff gesteuert?

Wenn du „Sonstige(s) – bitte erläutern“ auswählst, wird dir Folgendes angezeigt:

  • Du hast angegeben, dass du Plattformdaten unter anderen als den in den vorherigen Fragen genannten Umständen teilst. Beschreibe bitte die Daten, die du unter diesen Umständen teilst.

Beantworte dabei folgende Fragen:

  • Mit wem, außer den jeweiligen Nutzer*innen dieser App oder Website, werden diese Daten geteilt?
  • Wie werden die Daten geteilt?
  • Seit wann teilst du Daten mit der/den von dir erwähnten Instanz(en)?
  • Werden die Daten derzeit nach wie vor geteilt?

3.1-4.f.i. Verfügst du für Plattformdaten, die unter solchen Umständen geteilt werden, über eine schriftliche Vereinbarung mit dem jeweiligen Empfänger der Plattformdaten, die es diesem untersagt, die Plattformdaten in einer Weise zu nutzen, die gegen die Plattform-Nutzungsbedingungen und Entwicklungsrichtlinien von Meta verstößt (oder gegen andere Bedingungen, die für deine Nutzung der Plattformdaten gelten)?

Beispiele für eine schriftliche Vereinbarung sind allgemeine Geschäftsbedingungen, eine nicht verhandelte Standardvereinbarung oder ein unterzeichneter Vertrag.

[ ] Ja [ ] Nein

3.1-4.g. Sind dir Verstöße gegen die Plattform-Nutzungsbedingungen von Meta durch diese Empfänger*innen von Plattformdaten bekannt? Dazu zählt etwa der Kauf oder Verkauf sowie die Lizenzierung von Plattformdaten.

[ ] Ja [ ] Nein

Wenn du auf Frage 3.1-4.g mit Ja antwortest, wird Folgendes angezeigt:

3.1-4.g.i. Du hast angegebenen, dass Empfänger*innen von Plattformdaten gegen die Plattform-Nutzungsbedingungen von Meta verstoßen haben. Bitte gib uns weitere Details.

Wenn du Option f in Frage 3.1-4 auswählst, wird dir Folgendes angezeigt:

3.1-4.i.A. Du hast oben angegeben, dass du die Plattformdaten, die du über diese App erhältst, einer anderen Person oder einem anderen Unternehmen zur Verfügung stellst, wenn Nutzer*innen dich zum Teilen von Plattformdaten auffordern.

Beschreibe, wie Nutzer*innen dich dazu auffordern, Plattformdaten mit einer anderen Person oder einem anderen Unternehmen zu teilen.

3.1-4.i.B. Lade bitte Screenshots des Einwilligungsvorgangs für diese Weitergabe hoch. Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Datenlöschung

3.1-5. Würdest du Plattformdaten in ALLEN der folgenden Fälle löschen, außer wenn die Aufbewahrung gemäß unseren Nutzungsbedingungen erlaubt ist?

a. Wenn das Beibehalten der Plattformdaten nicht mehr für einen legitimen geschäftlichen Zweck notwendig ist,

b. Wenn dich ein*e Nutzer*in dazu auffordert

c. Wenn ein*e Nutzer*in kein Konto mehr bei deiner Anwendung hat (gilt nur, wenn du Nutzer*innenkonten anbietest)

d. Wenn Meta dich dazu auffordert, und

e. sofern dies gesetzlich oder aufgrund von Vorschriften erforderlich ist.

Bei dieser Frage umfasst der Begriff „Plattformdaten“ nicht die Daten, die unter Plattform-Begriff 3.e „Ausnahmen“ aufgeführt sind. Nähere Informationen zu unseren Löschanforderungen findest du unter Plattform-Begriff 3d „Aufbewahrung, Löschung und Zugänglichkeit von Plattformdaten“. Beachte, dass eine Löschung unter bestimmten Umständen nicht erforderlich ist, wenn die Plattformdaten zusammengefasst, unkenntlich gemacht oder anonymisiert wurden, sodass sie nicht mit einem*einer bestimmten Nutzer*in, Browser oder Gerät in Verbindung gebracht werden können. Die Speicherung aggregierter und anonymer Daten für geschäftliche Zwecke in Verbindung mit dem Nutzungserlebnis, z. B. für die Abrechnung, ist zulässig.

  • [ ] Ja
  • [ ] Nein

Wenn du für Frage 3.1-5 Nein auswählst, wird dir Folgendes angezeigt:

3.1-5.a. Unter welchen der oben genannten Umstände würdest du Plattformdaten NICHT löschen? Warum?

3.1-6. Unternimmst du Schritte, um Plattformdaten so schnell wie möglich zu löschen, wenn du sie unter den oben erwähnten Umständen löschst?

Die Löschfrist hängt von den jeweiligen Systemen und Daten ab, sollte aber generell nicht länger als 120 Tage sein. Diese Frage bezieht sich nur auf Plattformdaten, nicht auf Daten, die von dieser App unabhängig erfasst oder gespeichert werden.

Dies betrifft nicht die Plattformdaten, zu deren Aufbewahrung du aufgrund geltender Gesetze oder Bestimmungen verpflichtet bist.

  • [ ] Ja
  • [ ] Nein

Unter welchen Bedingungen würdest du Plattformdaten länger als 120 Tage aufbewahren? Hinweis: Dies betrifft nicht die Plattformdaten, zu deren Aufbewahrung du aufgrund geltender Gesetze oder Bestimmungen verpflichtet bist.

Wenn du Frage 3.1-6 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-6.a. Unter welchen Bedingungen würdest du Plattformdaten länger als 120 Tage aufbewahren?

Hinweis: Dies betrifft nicht die Plattformdaten, zu deren Aufbewahrung du aufgrund geltender Gesetze oder Bestimmungen verpflichtet bist.

Wenn du Frage 3.1-5 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-5.b. Du hast oben angegeben, dass du Plattformdaten löschst, wenn diese nicht mehr für einen legitimen geschäftlichen Zweck notwendig sind. Beschreibe bitte, wie du entscheidest, wann Plattformdaten nicht mehr für einen legitimen geschäftlichen Zweck erforderlich sind.

Bei dieser Frage umfasst der Begriff „Plattformdaten“ nicht die Daten, die unter Plattform-Nutzungsbedingungen 3(e) aufgeführt sind.

3.1-5.c. Du hast oben angegeben, dass du Plattformdaten löschst, wenn ein*e Nutzer*in dies verlangt. Beschreibe bitte, wie Nutzer*innen die Löschung ihrer Daten verlangen können. Füge ggf. Screenshots hinzu.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Bei dieser Frage umfasst der Begriff „Plattformdaten“ nicht die Daten, die unter Plattform-Nutzungsbedingungen 3(e) aufgeführt sind.

Datensicherheit

3.1-A. Gemäß Plattform-Nutzungsbedingung 6.a.i verlangt Meta von dir, administrative, physische und technische Sicherheitsvorkehrungen zu treffen, die den unberechtigten Zugriff, die Zerstörung, den Verlust, die Veränderung, die Offenlegung, die Verbreitung oder die Kompromittierung von Plattformdaten verhindern sollen.

Weitere Informationen findest du in unserem Best-Practices-Leitfaden zum Thema Datensicherheit für Entwickler*innen, unserer Übersicht zur datenschutzrechtlichen Beurteilung und unseren FAQs.

Ziehe unbedingt die zuständigen Personen hinzu, bevor du die nächsten Fragen beantwortest. Dabei sollte es sich um deinen Chief Information Security Officer, eine Person mit einer vergleichbaren Rolle für deine Organisation oder ein qualifiziertes Cybersicherheitsunternehmen handeln (z. B. ein Unternehmen mit mindestens fünf Jahren Erfahrung in der Durchführung von ISO 27001-Audits), damit die Antworten präzise ausfallen.

Aktiviere das Kontrollkästchen „Ich verstehe“, um mit der Beurteilung fortzufahren.

[ ] Ich verstehe


3.1-B. Zur Erinnerung: „Plattformdaten“ wird in unserem Glossar der Plattform-Begriffe folgendermaßen definiert: „alle Informationen, Daten oder sonstigen Inhalte, die du von uns über die Plattform oder über deine App erhältst, ob direkt oder indirekt oder vor, am oder nach dem Datum, an dem du diesen Nutzungsbedingungen zustimmst, einschließlich anonymisierter oder zusammengefasster Daten oder aus diesen Daten abgeleiteter Daten. Plattformdaten umfasst App-Schlüssel, Seitenschlüssel, Zugriffsschlüssel, App-Geheimcodes und Nutzerschüssel.“

Um Unklarheiten vorzubeugen: Dies beinhaltet Daten wie Nutzer-ID, E-Mail-Adresse und alle Daten, die du von API-Aufrufen an graph.facebook.com erhältst.

Zur Beantwortung der folgenden Fragen musst du genau verstehen, wie Meta-Plattformdaten im Zusammenhang mit dieser App in deiner Software und deinen Systemen übertragen, gespeichert und verarbeitet werden.

Diese Frage bezieht sich auf alle Berechtigungen, Funktionen und Fähigkeiten in dieser App. Die Berechtigungen, Funktionen und Fähigkeiten dieser App findest du im Dashboard dieser App. Du kannst das Dashboard aufrufen, indem du die App auf deiner Seite „Meine Apps“ auswählst.

Aktiviere das Kontrollkästchen „Ich verstehe“, um den Vorgang fortzusetzen.

[ ] Ich verstehe


3.1-7. Wenn du über eine Informationssicherheitszertifizierung verfügst, die alle folgenden Kriterien erfüllt, kannst du sie als Nachweis dafür vorlegen, dass du ausreichende administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Plattformdaten getroffen hast:

  • Der Zertifizierungstyp muss SOC 2, ISO 27001, ISO 27018 oder ein vergleichbarer Typ sein.
  • Ein unabhängiger Prüfer muss die Zertifizierung für deine Organisation (nicht für einen Dritten) ausgestellt haben.
  • Die Zertifizierung muss aktuell gültig sein – ein SOC-2-Zertifikat, das innerhalb des letzten Jahres ausgestellt wurde, oder ein ISO-Zertifikat, das innerhalb der letzten drei Jahre ausgestellt wurde.
  • Der Prüfungsumfang muss die Systeme abdecken, die du zur Verarbeitung von Meta-Plattformdaten verwendest.

Verfügst du über eine Sicherheitszertifizierung, die diese Kriterien erfüllt?

[ ] Ja [ ] Nein

Wenn du Frage 3.1-7 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-7.a. Über welche Datensicherheitszertifizierungen verfügst du? Wähle alle zutreffenden Optionen aus. * [ ] SOC 2 Typ II-Bericht * [ ] Zertifizierung nach ISO 27001 * [ ] Zertifizierung nach ISO 27018 * [ ] Eine vergleichbare Zertifizierung * Wenn du "Eine vergleichbare Zertifizierung" auswählst, wird folgende Frage angezeigt: * Wie heißt diese Sicherheitszertifizierung?

3.1-7.a.i.B. Lade bitte eine Kopie deiner Sicherheitszertifizierung hoch. Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Option d in Frage 3.1-7.a auswählst, wird dir Folgendes angezeigt:

3.1-7.a.i.A. Wie heißt diese Sicherheitszertifizierung?


3.1-8. Speicherst du Plattformdaten in deiner Backend-Umgebung (z. B. Datenbanken, Objektspeicher-Buckets oder Blockspeicher innerhalb einer Cloud oder anderen Art gehosteter Umgebung)?

Wähle „Ja“ aus, wenn du in einer Cloud- oder Server-Backend-Umgebung Plattformdaten in einem dauerhaften Speicher sicherst, wo sie auch nach Abschalten verwahrt bleiben. Dabei kann es sich um Laufwerke handeln, Protokolldateien oder Datenbanken mit Zugriff per Website bzw. API.

Wähle Nein aus, wenn du eine der folgenden Aktionen nutzt:

  • Verarbeitung von Plattformdaten ausschließlich auf Clients im Besitz von Endnutzer*innen deiner App. Keine Übermittlung an Backend-Umgebungen

  • Plattformdaten werden in einer Backend-Umgebung verarbeitet, aber diese Daten werden nie in einen dauerhaften Speicher geschrieben

  • [ ] Ja

  • [ ] Nein

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-8.a. Du hast bei der vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Welche der folgenden Arten von Plattformdaten werden in deiner Backend-Umgebung gespeichert? Wähle alle zutreffenden Antworten aus.

  • „Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

  • „Speichern“ bezeichnet das Aufzeichnen von Plattformdaten in einer Umgebung, in der Daten auch nach Abschalten verwahrt bleiben (z. B. Protokolldateien, Objekt- bzw. relationale Datenbanken oder Laufwerke).

a. Meta-Nutzer-ID oder Benutzer-ID mit Hash

b. E-Mail-Adresse

c. Profilbild

d. Meta API-Nutzerzugriffsschlüssel

e. App-Geheimcode

f. Andere Plattformdaten, die nicht oben aufgeführt wurden

3.1-8.b. Mit welchen dieser Hosting-Lösungen verarbeitest du Plattformdaten in deiner Backend-Umgebung?

  • „Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

Wähle alle zutreffenden Antworten aus.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba / Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Ein Rechenzentrum im Besitz einer anderen Organisation mit Servern im Besitz meiner Organisation

k. Rechenzentrum und Server im Besitz meiner Organisation

l. Sonstiges

Wenn du Option l in Frage 3.1-8.b auswählst, wird dir Folgendes angezeigt:

3.1-8.b.i. In der vorherigen Frage hast du „Sonstiges“ ausgewählt, um anzugeben, dass du eine nicht aufgelistete Hosting-Option verwendest. Beschreibe, wie deine Backend-Umgebung gehostet wird.

Wenn du Option b, c, d, e oder f in Frage 3.1-8.a und Option c, h, i, j, k oder l in Frage 3.1-8.b auswählst, wird dir Folgendes angezeigt:

3.1-9.a. Setzt du eine Verschlüsselung im Ruhezustand für alle Plattformdaten durch, die du in deiner Backend-Umgebung speicherst?

Die Verschlüsselung ruhender Daten schützt Plattformdaten, indem sie den Zugriff ohne Entschlüsselungscode verhindert. Das bietet zusätzlichen Schutz vor unautorisiertem Lesezugriff. Wenn du Plattformdaten in einer Backend-Umgebung speicherst, schreiben wir deren Schutz per Verschlüsselung ruhender Daten oder mit einer anderen geeigneten Methode vor.

Einige Hosting-Anbieter aktivieren standardmäßig die Verschlüsselung für gespeicherte („ruhende“) Daten oder bieten entsprechende Konfigurationsoptionen. Überprüfe bitte vor der Beantwortung dieser Frage, ob Verschlüsselung ruhender Daten auf die Dienste angewendet wird, die du zum Speichern von Plattformdaten nutzt. Wenn ja, beantworte diese Frage mit „Ja“.

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein, aber unsere Hosting-Anbieter haben eine SOC 2- oder ISO 27001-Zertifizierung, die bescheinigt, dass ihre Kontrollmechanismen für die physische Sicherheit und sichere Medienentsorgung von Dritten beurteilt wurden.

[ ] Nein

Wenn du Option b, c, d, e oder f für die Frage 3.1-8.a auswählst und nicht Option c, h, i, j, k oder l für die Frage 3.1-8.b, wird dir Folgendes angezeigt:

3.1-9.b. Setzt du eine Verschlüsselung ruhender Daten für alle Plattformdaten durch, die du in deiner Backend-Umgebung speicherst?

Einige Hosting-Anbieter aktivieren standardmäßig die Verschlüsselung für gespeicherte („ruhende“) Daten oder bieten entsprechende Konfigurationsoptionen. Bevor du diese Frage beantwortest, überprüfe bitte, ob die Verschlüsselung für ruhende Daten auf Dienste angewendet wird, die du zum Speichern von Plattformdaten nutzt. Wenn ja, beantworte diese Frage bitte mit „Ja“.

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-9.a oder 3.1-9.b mit Ja beantwortest, wird dir Folgendes angezeigt:

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

3.1-9.b.i. Du hast in der vorherigen Frage angegeben, dass du für alle in der Backend-Umgebung gespeicherten Plattformdaten Verschlüsselung im Ruhezustand durchsetzt. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, dass alle Plattformdaten in deiner Backend-Umgebung durch Verschlüsselung im Ruhezustand geschützt werden müssen.

Wenn du Daten nach einer Reihe an Sensibilitätsstufen unterschiedlich kategorisierst und schützt, sollte deine Erklärung deutlich darauf hinweisen, welche Sensibilitätsstufe den von Meta erhaltenen Plattformdaten zugewiesen ist. Die entsprechende Richtlinie solltest du hochladen.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

3.1-9.b.ii. Lade mindestens einen Nachweis hoch (z. B. eine Bildschirmaufnahme einer Datenbankinstanz), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: alle Plattformdaten in deiner Backend-Umgebung werden durch Verschlüsselung im Ruhezustand geschützt.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Frage 3.1-9.a. mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-9.c.i. Welche Art von Nachweisen hast du, die belegen, dass die physische Sicherheit und die Kontrollen zur sicheren Medienentsorgung deines Hostinganbieters bewertet wurden?

Um zu belegen, dass du die Plattform-Nutzungsbedingungen von Meta befolgst, musst du bestätigen, dass die Überprüfung deines Hosting-Anbieters gemäß ISO 27001 oder SOC 2 die physische Sicherheit und das sichere Löschen von Medien umfasst hat. Bei den Standards ISO/IEC 27001:2013 bzw. 2017 handelt es sich dabei um die Kontrollen A.8.3, A.11.1 und A.11.2. Bei SOC 2 sind es die Kontrollen CC6.4 und CC6.5.

a. Eine ISO 27001-Prüfung meines Hosting-Anbieters, bei dem die zugehörige Erklärung zur Anwendbarkeit (Statement of Applicability, SOA) ausführt, dass die physische Sicherheit und Kontrollen zur sicheren Löschung von Medien evaluiert wurden

b. Ein SOC-2-Prüfungsbericht, wonach die physische Sicherheit und das sichere Löschen von Medien getestet wurden und dabei keine negativen Feststellungen gemacht wurden

c. Nichts davon

Wenn du Option a oder b in Frage 3.1-9.c.i auswählst, wird dir Folgendes angezeigt:

3.1-9.c.ii. An welchem Datum wurde das ISO 27001- oder SOC 2-Zertifikat deines Hosting-Anbieters ausgestellt?

3.1-10. Gibt es Personen in deiner Organisation, die Plattformdaten auf Organisationsendpunkten oder privaten Geräten speichern (z. B. Laptops oder Smartphones)?

„Speichern“ bezeichnet das Aufzeichnen von Plattformdaten in einer Umgebung, in der Daten auch nach Abschalten verwahrt bleiben, z. B. Laptops, USB-Laufwerke, externe Festplatten und Cloud-Speicherdienste wie Dropbox oder Google Drive).

Hinweis: Plattformdaten, die für einzelne Nutzer*innen in Web- oder Mobile Clients gespeichert wurden, fallen nicht unter diese Frage.

  • [ ] Ja. Ja, eine oder mehrere Personen in meiner Organisation speichern Plattformdaten auf ihren Geräten der Organisation oder privaten Geräten.
  • [ ] Nein. In meiner Organisation werden niemals Plattformdaten auf Organisationsgeräten oder persönlichen Geräten gespeichert.

Wenn du Frage 3.1-10 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-10.a. Welche dieser Schutzmaßnahmen werden implementiert, wenn Personen in deiner Organisation Plattformdaten auf Organisationsendpunkten oder privaten Geräten speichern, um das Risiko von Datenverlusten zu reduzieren?

Du musst Schutzvorkehrungen implementieren, um das Zugangsrisiko zu Plattformdaten zu reduzieren, wenn diese im Ruhezustand gespeichert werden.

Wähle alle zutreffenden Antworten aus.

a. Software oder Dienst, die/der eine volle Laufwerkverschlüsselung auf Geräten der Organisation erzwingt (z. B. Bitlocker oder FileVault)

b. Software für Endpoint Data Loss Prevention (DLP) auf allen verwalteten Geräten, um Handlungen im Zusammenhang mit gespeicherten Plattformdaten zu überwachen und zu protokollieren

c. Personen in meiner Organisation sind verpflichtet, Nutzungsrichtlinien einzuhalten, die das Verarbeiten von Plattformdaten nur gestatten, wenn es einen klaren und umsetzbaren Geschäftszweck gibt, und die vorgeben, dass die Daten gelöscht werden müssen, wenn der Geschäftszweck nicht mehr besteht.

d. Nichts davon

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Option a oder b in Frage 3.1-10.a auswählst, wird dir Folgendes angezeigt:

3.1-10.a.i. Du hast bei der vorherigen Frage angegeben, dass du auf Geräten einer Organisation bzw. privaten Geräten gespeicherte Plattformdaten schützt, indem du entweder Festplattenverschlüsselung auf diesen Geräten implementierst oder per Data-Loss-Prevention-Software (DLP) für Endpunkte. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du diese technischen Schutzvorkehrungen implementierst.

Wenn du Daten nach einer Reihe an Sensibilitätsstufen unterschiedlich kategorisierst und schützt, sollte deine Erklärung deutlich darauf hinweisen, welche Sensibilitätsstufe den von Meta erhaltenen Plattformdaten zugewiesen ist. Die entsprechende Richtlinie solltest du hochladen.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Option a oder b in Frage 3.1-10.a auswählst, wird dir Folgendes angezeigt:

3.1-10.a.ii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: technische Schutzvorkehrungen für Plattformdaten, die auf Geräten der Organisation bzw. privaten Geräten gespeichert werden. [Primäre Frage]

Beispiel:

  • Eine Bildschirmaufnahme einer Gruppenrichtlinie, gemäß der BitLocker für berufliche Geräte aktiviert sein muss

  • Eine Bildschirmaufnahme eines DLP-Management-Tools, auf der zu sehen ist, dass PII-Datenüberwachung für alle Endpunkte aktiviert ist

  • Eine Bildschirmaufnahme eines anderen Tools oder Produkts, mit dem deine IT-Admins den Gebrauch technischer Schutzvorkehrungen auf allen Geräten der Organisation durchsetzen

  • Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du nur Option c in Frage 3.1-10.a auswählst, wird dir Folgendes angezeigt:

3.1-10.a.iii. Du hast in einer vorherigen Frage angegeben, dass Personen in deiner Organisation verpflichtet sind, Nutzungsrichtlinien einzuhalten, wenn sie Plattformdaten auf Organisations- oder persönlichen Geräten speichern. Lade eine schriftliche Erklärung hoch (z. B. eine Richtlinie oder ein Dokument zum Verfahren), die deine Nutzungsrichtlinien enthält.

Diese Richtlinie muss deutlich die folgenden Punkte beschreiben:

  • Die zulässigen Geschäftszwecke für die Verarbeitung von Plattformdaten auf Organisationsgeräten oder privaten Geräten

  • Die Notwendigkeit, die Daten zu löschen, wenn dieser Zweck nicht mehr besteht

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du nur Option c in Frage 3.1-10.a auswählst, wird dir Folgendes angezeigt:

3.1-10.a.iv. Ich kann für alle Personen in meiner Organisation, die möglicherweise Plattformdaten auf Organisations- oder persönlichen Geräten verarbeiten, Folgendes bestätigen: Wurden über die Nutzungsrichtlinien für diese Daten informiert Haben bestätigt, dass sie diese Richtlinien verstanden haben Werden im Rahmen ihrer Einarbeitung als neue Mitarbeiter*innen über diese Richtlinie informiert

[ ] Ja, das kann ich bestätigen.

[ ] Nein, das kann ich nicht bestätigen.

Wenn du Frage 3.1-8 mit Ja und Frage 3.1-10 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-10.b. Du hast bei der vorherigen Frage angegeben, dass in deiner Organisation niemals Plattformdaten auf Organisationsgeräten oder persönlichen Geräten gespeichert werden.

Hast du die Personen in deiner Organisation darüber informiert, dass das Speichern von Plattformdaten auf Organisations- oder persönlichen Geräten unter keinen Umständen gestattet ist, und mussten diese Personen diese Informationen bestätigen?

„Speichern“ bezeichnet das Aufzeichnen von Plattformdaten in einer Umgebung, in der Daten auch nach Abschalten verwahrt bleiben, z. B. Laptops, USB-Laufwerke, externe Festplatten und Cloud-Speicherdienste wie Dropbox oder Google Drive).

Gemäß unseren Richtlinien müssen Organisationen alle Personen in ihrer Organisation (einschließlich Nutzer*innen mit hohen Privilegien wie Administrator*innen) anweisen, dass die Speicherung von Plattformdaten nicht gestattet ist.

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-8 und 3.1-10 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-10.c. Du hast bei der vorherigen Frage angegeben, dass in deiner Organisation niemals Plattformdaten auf Organisationsgeräten oder persönlichen Geräten gespeichert werden.

Hast du die Personen in deiner Organisation darüber informiert, dass das Speichern von Plattformdaten auf Organisations- oder persönlichen Geräten unter keinen Umständen gestattet ist, und mussten diese Personen diese Informationen bestätigen?

„Speichern“ bezeichnet das Aufzeichnen von Plattformdaten in einer Umgebung, in der Daten auch nach Abschalten verwahrt bleiben, z. B. Laptops, USB-Laufwerke, externe Festplatten und Cloud-Speicherdienste wie Dropbox oder Google Drive).

Gemäß unseren Richtlinien müssen Organisationen alle Personen in ihrer Organisation (einschließlich Nutzer*innen mit hohen Privilegien wie Administrator*innen) anweisen, dass die Speicherung von Plattformdaten nicht gestattet ist.

[ ] Ja

[ ] Das ist nicht nötig, da Plattformdaten niemals für Personen in meiner Organisation zugänglich sind.

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-10.b oder 3.1-10-c mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-10.c.i. Du hast in einer vorherigen Frage angegeben, dass Personen in deiner Organisation unter keinen Umständen Plattformdaten auf Organisations- oder persönlichen Geräten speichern. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, dass Personen in deiner Organisation Plattformdaten nicht auf diesen Geräten speichern dürfen.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-10.b oder 3.1-10-c mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-10.c.ii. Ich kann Folgendes für alle Personen in meiner Organisation bestätigen:

Wurden über die Richtlinie informiert, die verbietet, Plattformdaten auf beruflichen oder privaten Geräten zu speichern

Haben bestätigt, dass sie diese Richtlinien verstanden haben

Werden im Rahmen ihrer Einarbeitung als neue Mitarbeiter*innen über diese Richtlinie informiert

[ ] Ja, das kann ich bestätigen.

[ ] Nein, das kann ich nicht bestätigen.

Wenn du Frage 3.1-8 und 3.1-10 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-10.d. Lade ein Daten-Flow-Diagramm und eine Beschreibung dazu hoch, wie deine App Plattformdaten nutzt.

Die folgenden Details sollten enthalten sein:

Lege dar, wie deine App Meta-APIs abruft, z. B. graph.facebook.com, und identifiziere alle Komponenten, die Plattformdaten nutzen (einschließlich solcher, die Plattformdaten speichern, zwischenspeichern, verarbeiten oder zwischen Netzwerken übertragen).

Beschreibe die primären Anwendungsfälle (also Flows, die den Nutzer*innen deiner App nützliche Ergebnisse liefern), die du unterstützt.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-11.a. Aktivierst du bei der Übertragung von Plattformdaten das Sicherheitsprotokoll TLS 1.2 oder höher zum Verschlüsseln von Daten für alle Netzwerkverbindungen, die über öffentliche Netzwerke erfolgen oder diese durchlaufen?

Die Verschlüsselung während der Übertragung schützt die Plattformdaten, wenn sie über nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden, indem sie außer für das Herkunfts- und das Zielgerät unlesbar gemacht werden. Zwischengeschaltete Parteien (etwa bei einem Man-in-the-Middle-Angriff) sollten Plattformdaten nicht auslesen können, selbst wenn sie den Netzwerk-Traffic sehen können. TLS ist die am weitesten verbreitete Übertragungsverschlüsselung, weil mit dieser Technologie auch Webbrowser ihre Kommunikation mit Websites (z. B. Banken) schützen.

Für alle Web Listener (z. B. Lastverteiler für ausgehende Daten), die Plattformdaten erhalten oder zurückgeben, muss TLS 1.2 oder höher aktiviert sein. TLS 1.0 und TLS 1.1 dürfen nur für Kompatibilität mit Client-Geräten verwendet werden, die nicht mindestens TLS 1.2-fähig sind. Es wird empfohlen, ist aber nicht notwendig, die Verschlüsselung im Transit auf die Übermittlung von Plattformdaten anzuwenden, die vollständig innerhalb vertrauenswürdiger privater Netzwerke in deiner Kontrolle liegen (z. B. innerhalb einer Virtual Private Cloud (VPC)). Weitere Informationen zu dieser Voraussetzung und zum Upload der erforderlichen Nachweise findest du in unseren Anforderungen an die Datensicherheit.

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-8 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-11.b. Aktivierst du bei der Übertragung von Plattformdaten das Sicherheitsprotokoll TLS 1.2 oder höher zum Verschlüsseln von Daten für alle Netzwerkverbindungen, die über öffentliche Netzwerke erfolgen oder diese durchlaufen?

Die Verschlüsselung während der Übertragung schützt die Plattformdaten, wenn sie über nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden, indem sie außer für das Herkunfts- und das Zielgerät unlesbar gemacht werden. Zwischengeschaltete Parteien (etwa bei einem Man-in-the-Middle-Angriff) sollten Plattformdaten nicht auslesen können, selbst wenn sie den Netzwerk-Traffic sehen können. TLS ist die am weitesten verbreitete Übertragungsverschlüsselung, weil mit dieser Technologie auch Webbrowser ihre Kommunikation mit Websites (z. B. Banken) schützen.

Für alle Web Listener (z. B. Lastverteiler für ausgehende Daten), die Plattformdaten erhalten oder zurückgeben, muss TLS 1.2 oder höher aktiviert sein. TLS 1.0 und TLS 1.1 dürfen nur für Kompatibilität mit Client-Geräten verwendet werden, die nicht mindestens TLS 1.2-fähig sind. Es wird empfohlen, ist aber nicht notwendig, die Verschlüsselung im Transit auf die Übermittlung von Plattformdaten anzuwenden, die vollständig innerhalb vertrauenswürdiger privater Netzwerke in deiner Kontrolle liegen (z. B. innerhalb einer Virtual Private Cloud (VPC)). Weitere Informationen zu dieser Voraussetzung und zum Upload der erforderlichen Nachweise findest du in unseren Anforderungen an die Datensicherheit.

[ ] Ja

[ ] Dies ist nicht erforderlich. Wir übermitteln Plattformdaten ausschließlich für direkte Anfragen bei Meta über das Internet.

[ ] Nein

Wenn du Frage 3.1-11.a oder 3.1-11.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-11.c. Du hast bei der vorigen Frage angegeben, dass du zur Verschlüsselung von übermittelten Daten das Sicherheitsprotokoll TLS 1.2 oder höher aktivierst. Gewährleistest du, dass Plattformdaten niemals unverschlüsselt über öffentliche Netzwerke übertragen werden (z. B. per HTTP oder FTP) und dass niemals SSL 2.0 und SSL 3.0 genutzt werden?

Plattformdaten dürfen niemals unverschlüsselt zwischen nicht vertrauenswürdigen Netzwerken übermittelt werden. Es darf niemals SSL 2.0 oder SSL 3.0 genutzt werden. Weitere Informationen zu dieser Voraussetzung sowie zum Upload der erforderlichen Nachweise findest du in unseren Anforderungen an die Datensicherheit.

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-11.a oder 3.1-11.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-11.a.i. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du Daten bei Übertragungen durch das Sicherheitsprotokoll TLS 1.2 oder höher schützt.

Dein Dokument sollte folgende Angaben enthalten: 1. Plattformdaten werden nie ohne Verschlüsselung übertragen. 2. SSL-Version 2 und SSL-Version 3 werden nie verwendet.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-11.a oder 3.1-11.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-11.a.ii. Lade mindestens einen Nachweis hoch (z. B. eine Vollbildaufnahme der Ergebnisse eines Qualys-SSL-Berichts, der für eine deiner Web-Domains ausgeführt wurde), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: das Sicherheitsprotokoll TLS 1.2 oder höher für übermittelte Daten aktivieren. [Primäre Frage]

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Frage 3.1-8 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-12.a. Welche der folgenden Ansätze hast du in den letzten 12 Monaten verfolgt, um die Software, mit der du Plattformdaten verarbeitest, auf Schwachstellen und Sicherheitsrisiken zu testen?

Diese Frage bezieht sich nur auf Software, die du erstellst oder bündelst (z. B. Code-Bibliotheken), um Plattformdaten zu verarbeiten, nicht auf Software, die von anderen Unternehmen erstellt oder gepflegt wird (wie Android- oder iOS-Betriebssysteme).

Wähle alle zutreffenden Antworten aus.

a. Statische Anwendungssicherheitstests (SAST)

b. Dynamische Anwendungssicherheitstests (DAST)

c. Penetrationstest durch internes Team

d. Penetrationstest durch externe Sicherheitsfirma

e. Schwachstellenberichte von externen Forscher*innen, die über ein Vulnerability Disclosure Program (VDP) oder Bug-Bounty-Programm erhalten wurden

f. Sonstiger Ansatz zum Identifizieren von Schwachstellen

g. Nichts davon

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du eine der Auswahlmöglichkeiten von a bis g in Frage 3.1-12.a auswählst, wird dir Folgendes angezeigt:

3.1-12.a.i. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du die Software auf Schwachstellen und Sicherheitsrisiken testest, mit der du Plattformdaten verarbeitest.

Deine schriftliche Erklärung sollte die folgenden Testverfahren enthalten:

  1. Mindestens alle 12 Monate wird auf Sicherheitsschwachstellen getestet

  2. Ein Vorgang zum Vorselektieren von Ergebnissen nach Schweregrad

  3. Sicherstellen, dass Schwachstellen mit hohem Schweregrad, die zu unautorisiertem Zugriff auf Plattformdaten führen könnten, sehr zeitnah beseitigt werden

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du eine der Optionen von a bis g in Frage 3.1-12.a auswählst, wird dir Folgendes angezeigt:

3.1-12.a.ii. Lade mindestens einen Nachweis hoch (z. B. die Zusammenfassung des Ergebnisses eines kürzlich durchgeführten Penetrationstests), der zeigt, wie du diese Schutzvorkehrungen in der Praxis umsetzt: die Software, mit der du Plattformdaten verarbeitest, auf Schwachstellen und Sicherheitsrisiken testen.

Folgende Details sollten in deinen Nachweisen enthalten sein: 1. Eine Erklärung des Umfangs und der Testmethodik 2. Das Datum, an dem die Testaktivitäten stattgefunden haben (das Datum darf nicht mehr als 12 Monate vor dem Datum liegen, an dem wir dich über diese Beurteilung informiert haben.) 3. Falls zutreffend: eine Zusammenfassung aller nicht behobener Schwachstellen mit kritischem und hohem Schweregrad

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-12.b. Welche der folgenden Ansätze hast du in den letzten 12 Monaten verfolgt, um in deiner Backend-Umgebung, in der du Plattformdaten verarbeitest, auf Schwachstellen und Sicherheitsrisiken zu testen?

Diese Frage bezieht sich nur auf Software, die du erstellst oder bündelst (z. B. Code-Bibliotheken), um Plattformdaten zu verarbeiten, nicht auf Software, die von anderen Unternehmen erstellt oder gepflegt wird (z. B. eine Analyse-Dienstleistung, auf die du als Dienstleister zugreifst).

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

Wähle alle zutreffenden Antworten aus.

a. Statische Anwendungssicherheitstests (SAST)

b. Dynamische Anwendungssicherheitstests (DAST)

c. Web Scan

d. Penetrationstest durch internes Team

e. Penetrationstest durch externe Sicherheitsfirma

f. Schwachstellenberichte von externen Forscher*innen, die über ein Vulnerability Disclosure Program (VDP) oder Bug-Bounty-Programm erhalten wurden

g. Sonstiger Ansatz zum Identifizieren von Schwachstellen

h. Das ist nicht nötig, da meine Organisation eine Backend-Lösung ohne Coding nutzt.

i. Nichts davon

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du eine der Optionen von a bis g in Frage 3.1-12.b auswählst, wird dir Folgendes angezeigt:

3.1-12.b.i. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du in deiner Backend-Umgebung, wo du Plattformdaten verarbeitest, auf Schwachstellen und Sicherheitsrisiken testest.

Deine schriftliche Erklärung sollte die folgenden Testverfahren enthalten:

  1. Mindestens alle 12 Monate wird auf Sicherheitsschwachstellen getestet

  2. Ein Vorgang zum Vorselektieren von Ergebnissen nach Schweregrad

  3. Sicherstellen, dass Schwachstellen mit hohem Schweregrad, die zu unautorisiertem Zugriff auf Plattformdaten führen könnten, sehr zeitnah beseitigt werden

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du eine der Optionen von a bis g in Frage 3.1-12.b auswählst, wird dir Folgendes angezeigt:

3.1-12.b.ii. Lade mindestens einen Nachweis hoch (z. B. die Zusammenfassung des Ergebnisses eines kürzlich durchgeführten Penetrationstests), der zeigt, wie du diese Schutzvorkehrungen in der Praxis umsetzt: die Backend-Umgebung, mit der du Plattformdaten verarbeitest, auf Schwachstellen und Sicherheitsrisiken testen.

Folgende Details sollten in deinen Nachweisen enthalten sein:

  1. Eine Erklärung des Umfangs und der Testmethodik

  2. Das Datum, an dem die Testaktivitäten stattgefunden haben (das Datum darf nicht mehr als 12 Monate vor dem Datum liegen, an dem wir dich über diese Beurteilung informiert haben.)

  3. Falls zutreffend: eine Zusammenfassung aller nicht behobener Schwachstellen mit kritischem und hohem Schweregrad

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du eine der Optionen a, b oder d bis i in Frage 3.1-8.b auswählst

3.1-12.c. Testest du die Cloud-Umgebung auf Sicherheitsfehlkonfigurationen, mit der du Plattformdaten verarbeitest (z. B. mit einem Tool wie NCC Scout Suite zur Identifizierung von Fehlkonfigurationen), mindestens alle 12 Monate?

Meta verlangt von dir, mindestens einmal alle 12 Monate Schritte zum Testen deiner Software auf Schwachstellen und Sicherheitsprobleme zu unternehmen, um unautorisiertem Zugriff auf Plattformdaten vorzubeugen.

[ ] Ja

Nicht zutreffend, da meine Organisation sich nur auf einen Backend-Service stützt, der keine vertraulichen Sicherheitskonfigurationsoptionen offenlegt

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-12.c mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-12.c.i. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du die Cloud-Umgebung auf Sicherheitsfehlkonfigurationen testest, mit der du Plattformdaten verarbeitest.

Deine schriftliche Erklärung sollte die folgenden Testverfahren enthalten:

  1. Mindestens alle 12 Monate wird auf Sicherheitsschwachstellen getestet

  2. Ein Vorgang zum Vorselektieren von Ergebnissen nach Schweregrad

  3. Sicherstellen, dass Schwachstellen mit hohem Schweregrad, die zu unautorisiertem Zugriff auf Plattformdaten führen könnten, sehr zeitnah beseitigt werden

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Meta verlangt von dir, mindestens einmal alle 12 Monate Schritte zum Testen deiner Software auf Schwachstellen und Sicherheitsprobleme zu unternehmen, um unautorisiertem Zugriff auf Plattformdaten vorzubeugen.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-12.c mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-12.c.ii. Lade mindestens einen Nachweis hoch (z. B. eine Zusammenfassung eines NCC Scout Suite-Tests), der zeigt, wie du diese Schutzvorkehrungen in der Praxis umsetzt: die Cloud-Umgebung auf Sicherheitsfehlkonfigurationen testen, mit der du Plattformdaten verarbeitest.

Folgende Details sollten in deinen Nachweisen enthalten sein:

  1. Eine Erklärung des Umfangs und der Testmethodik

  2. Das Datum, an dem die Testaktivitäten stattgefunden haben (das Datum darf nicht mehr als 12 Monate vor dem Datum liegen, an dem wir dich über diese Beurteilung informiert haben.)

  3. Falls zutreffend: eine Zusammenfassung aller nicht behobener Schwachstellen mit kritischem und hohem Schweregrad

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-13.a. Speichert deine App oder Software jemals Zugriffsschlüssel auf Kund*innengeräten, die für andere Apps oder Nutzer*innen lesbar sind?

„Kund*innengeräte“ beschreibt eine Hardware wie zum Beispiel ein Android- oder iPhone-Handy, das Endanwendern deiner App oder deines Dienstes gehört.

Wähle „Nein“ aus, wenn du keine App oder Software hast, die auf Kund*innengeräten wie Mobiltelefonen läuft.

[ ] Ja

[ ] Nein

Wenn diese App nicht als Desktop/nativ konfiguriert ist, wird dir Folgendes angezeigt:

3.1-13.b. Wird der Facebook-App-Geheimcode jemals auf Kund*innengeräten offengelegt (z. B. in kompiliertem Code)?

[ ] Ja

[ ] Ja, aber meine App ist als native oder Desktop-App konfiguriert.

[ ] Nein

Wenn du Option d in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-13.c. Wir stellen diese Frage, weil du in einer vorherigen Antwort angegeben hast, dass du Meta-API-Nutzer-Zugriffsschlüssel in deiner Backend-Umgebung speicherst. Wie schützt du diese Schlüssel vor unbefugter Nutzung?

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

Zugriffsschlüssel sind entscheidend für die Sicherheit der APIs von Meta. Entwickler*innen müssen Zugriffsschlüssel vor nicht autorisiertem Zugriff schützen. Erfahre mehr über Zugriffsschlüssel.

Wähle alle zutreffenden Antworten aus.

a. Indem diese Daten in einem Datentresor (z. B. Vault von Hashicorp) mit separatem Key Management Service (KMS) gespeichert werden

b. Durch Anwendung von App-Verschlüsselung (z. B. die Nutzer-Zugriffsschlüssel werden nie unverschlüsselt in Datenbanken oder einen anderen dauerhaften Speicher geschrieben)

c. Indem wir die App so konfigurieren, dass sie den Parameter „appsecret_proof“ für API-Abrufe an Meta erfordert

d. Ich verfolge einen anderen Ansatz, um Nutzer-Zugriffsschlüssel zu schützen.

e. Nichts davon

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du a, b, c oder d in Frage 3.1-13.c auswählst, wird dir Folgendes angezeigt:

3.1-13.c.i. In der vorigen Frage wollten wir wissen, wie du Nutzer-Zugriffsschlüssel, die in deiner Backend-Umgebung gespeichert sind, vor unbefugter Nutzung schützt. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du wie du diese Zugriffsschlüssel schützt.

Deine schriftliche Erklärung sollte Folgendes enthalten:

  1. Beschreibung, wie Nutzer-Zugriffsschlüssel vor nicht autorisiertem Lesezugriff geschützt wird

  2. Erfordernis, dass Nutzer-Zugriffsschlüssel niemals als Klartext (unverschlüsselt) in Protokolldateien erfasst werden dürfen

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Zugriffsschlüssel sind entscheidend für die Sicherheit der APIs von Meta. Entwickler*innen müssen Zugriffsschlüssel vor nicht autorisiertem Zugriff schützen. Erfahre mehr über Zugriffsschlüssel.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

3.1-13.c.ii Lade mindestens einen Nachweis hoch (z. B. eine Bildschirmaufnahme eines Zugriffsschlüssels, aber nicht seinen Wert), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: den in der Backend-Umgebung gespeicherten Zugriffsschlüssel vor nicht autorisiertem Zugriff schützen [Primäre Frage]

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Option e in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-13.d. Wir stellen diese Frage, weil du in einer vorherigen Antwort angegeben hast, dass du den App-Geheimcode in deiner Backend-Umgebung speicherst. Wie schützt du den App-Geheimcode vor unbefugter Nutzung?

Der App-Geheimcode ist ein mit Meta-Technologien assoziierter Parameter, der bei bestimmten API-Aufrufen als Zugriffsschlüssel genutzt werden kann, um die Konfiguration einer App zu ändern (z. B. zur Konfiguration von Webhook-Rückrufen). Den App-Geheimcode einer App findest du im App-Dashboard unter „Einstellungen“ > „Allgemeines“. Weitere Informationen zu App-Geheimcodes findest du in der Entwicklungsdokumentation zur Login-Sicherheit. Mehr zu unseren Vorschriften zum Schutz von App-Geheimcodes und Nutzer-Zugriffsschlüsseln, darunter möglicherweise vorzulegende Nachweise, findest du unter Den Meta-App-Geheimcode und Zugriffsschlüssel schützen.

Du musst den App-Geheimcode auf eine von zwei Arten schützen:

  1. Indem der Geheimcode nie außerhalb einer sicheren Serverumgebung sichtbar ist. Das bedeutet, dass er nie von einem Netzwerkaufruf an einen Browser oder eine mobile App zurückgegeben wird, und der Geheimcode wird nicht in Code eingebettet, der an mobile oder native/Desktop-Clients verteilt wird.

  2. Oder indem du die App-Authentifizierung mit dem Typ „Native oder Desktop-App“ konfigurierst, damit die Meta-APIs API-Aufrufen nicht mehr vertrauen, die den App-Geheimcode enthalten.

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

Wähle alle zutreffenden Antworten aus.

a. Indem diese Daten in einem Datentresor (z. B. Vault von Hashicorp) mit separatem Key Management Service (KMS) gespeichert werden

b. Durch Anwendung von App-Verschlüsselung (z. B. das App-Geheimnis wird nie unverschlüsselt in Datenbanken oder einen anderen dauerhaften Speicher geschrieben)

c. Ich nutze einen anderen Ansatz für den Schutz von App-Geheimcodes.

d. Nichts davon

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Option a, b oder c in Frage 3.1-13.d auswählst, wird dir Folgendes angezeigt:

3.1-13.d.i. Du hast in der vorherigen Frage angegeben, dass du den in der Backend-Umgebung gespeicherten App-Geheimcode vor nicht autorisiertem Zugriff schützt. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du diese Schutzvorkehrung implementierst.

Deine schriftliche Erklärung sollte Folgendes enthalten:

  1. Beschreibung, wie das App-Geheimnis vor nicht autorisiertem Lesezugriff geschützt wird

  2. Erfordernis, dass der App-Geheimcode niemals als Klartext (unverschlüsselt) in Protokolldateien erfasst werden darf

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Der App-Geheimcode ist entscheidend für die Sicherheit der APIs von Meta. Entwickler*innen müssen den App-Geheimcode vor nicht autorisiertem Zugriff schützen. Erfahre mehr über App-Geheimcodes.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Option a, b oder c in Frage 3.1-13.d auswählst, wird dir Folgendes angezeigt:

3.1-13.d.ii. Lade mindestens einen Nachweis hoch (z. B. eine Bildschirmaufnahme deines Geheimcode-Managers, der den App-Geheimcode mit dem geschwärzten Wert enthält), der zeigt, wie du diese Schutzvorkehrungen in der Praxis umsetzt: den in der Backend-Umgebung gespeicherten App-Geheimcode vor nicht autorisiertem Zugriff schützen.

Ein Beispiel für einen akzeptablen Nachweis findest du in unserem Nachweis-Leitfaden für diese Frage.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-15.a. Erforderst du die mehrstufige Authentifizierung (MFA) für jeden Zugriff auf deine Tools zur Zusammenarbeit und Kommunikation?

Für alle Nutzer*innen unserer Zusammenarbeits- und Kommunikationstools (z. B. E-Mail, Slack) ist eine Multi-Faktor-Authentifizierung oder eine akzeptable alternative Sicherheitsmethode erforderlich. Für die Implementierung der Multi-Faktor-Authentifizierung verlangen wir keine bestimmte Methode.

[ ] Ja

[ ] Nein, aber wir setzen eine Richtlinie zur Passwortkomplexität durch und haben Verzögerungen bei Authentifizierungsversuchen sowie automatische Kontosperren bei fehlgeschlagenen Logins eingerichtet.

[ ] Nein

3.1-15.b. Erforderst du die mehrstufige Authentifizierung (MFA) für jeden Zugriff auf dein Code-Repository (z. B. GitHub) oder andere Tools, mit denen du Änderungen an der App bzw. an Code und Konfiguration des Systems erfasst?

Für alle Nutzer*innen deines Code-Repository ist eine mehrstufige Authentifizierung oder eine akzeptable alternative Sicherheitsmethode erforderlich. Für die Implementierung der mehrstufigen Authentifizierung verlangen wir keine bestimmte Methode.

[ ] Ja

[ ] Nein, aber wir setzen eine Richtlinie zur Passwortkomplexität durch und haben Verzögerungen bei Authentifizierungsversuchen sowie automatische Kontosperren bei fehlgeschlagenen Logins eingerichtet.

[ ] Nein

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-15.c. Erforderst du die mehrstufige Authentifizierung (MFA) für jeden Zugriff auf deine Tools für die Software-Bereitstellung, z. B. Jenkins oder ein anderes Tool für kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD)?

Für alle Nutzer*innen deiner Tools zur Software-Bereitstellung ist eine mehrstufige Authentifizierung oder eine akzeptable alternative Sicherheitsmethode erforderlich. Für die Implementierung der Multi-Faktor-Authentifizierung verlangen wir keine bestimmte Methode.

[ ] Ja

[ ] Nein, aber wir setzen eine Richtlinie zur Passwortkomplexität durch und haben Verzögerungen bei Authentifizierungsversuchen sowie automatische Kontosperren bei fehlgeschlagenen Logins eingerichtet.

[ ] Nein

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-15.d. Erforderst du die mehrstufige Authentifizierung (MFA) für jeden Zugriff auf deine Tools zur Verwaltung der Backend-Umgebung, z. B. ein Cloud-Admin-Portal?

Für alle Nutzer*innen deiner Cloud- oder Server-Verwaltungstools ist eine mehrstufige Authentifizierung oder eine akzeptable alternative Sicherheitsmethode erforderlich. Für die Implementierung der mehrstufigen Authentifizierung verlangen wir keine bestimmte Methode.

[ ] Ja

[ ] Nein, aber wir setzen eine Richtlinie zur Passwortkomplexität durch und haben Verzögerungen bei Authentifizierungsversuchen sowie automatische Kontosperren bei fehlgeschlagenen Logins eingerichtet.

[ ] Nein

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-15.e. Erforderst du die mehrstufige Authentifizierung (MFA) für jeden Remote-Zugriff auf Server, z. B. über SSH?

Für jeden Remote-Server-Zugriff ist eine mehrstufige Authentifizierung oder eine akzeptable alternative Sicherheitsmethode erforderlich. Für die Implementierung der mehrstufigen Authentifizierung verlangen wir keine bestimmte Methode.

[ ] Ja

[ ] Nein, aber wir setzen eine Richtlinie zur Passwortkomplexität durch und haben Verzögerungen bei Authentifizierungsversuchen sowie automatische Kontosperren bei fehlgeschlagenen Logins eingerichtet.

[ ] Nicht zutreffend. Wir haben keinen Remote-Zugang zu Servern.

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du die Fragen 3.1-15.a bis 3.1-15.e mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-15.e.i. Lade eine schriftliche Erklärung (z. B. ein Dokument zur Richtlinie oder zum Verfahren) hoch, die deine Vorschriften für die mehrstufige Authentifizierung oder andere Maßnahmen, um Kontoübernahmen zu verhindern, erläutert (z. B. Passwortstärke mit Authentifizierungs-Backoff und automatische Kontosperrung bei fehlgeschlagenen Anmeldeversuchen).

Deine Erklärung sollte deine Erfordernisse für die Authentifizierung umfassen, und zwar für jeden Zugriff auf alle Tools zur Zusammenarbeit und zur Kommunikation, Code Repositories, Software-Bereitstellungstools, Backend-Verwaltungstools und Remote-Zugriff auf Server, z. B. über SSH.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du die Fragen 3.1-15.a bis 3.1-15.e mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-15.e.ii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: mehrstufige Authentifizierung oder andere Maßnahmen, um Kontoübernahmen zu verhindern.

Deine Nachweise sollten zeigen, wie du mittels Authentifizierung jeden Zugriff schützt, und zwar auf alle Tools zur Zusammenarbeit und zur Kommunikation, Code Repositories, Software-Bereitstellungstools, Backend-Verwaltungstools und Remote-Zugriff auf Server, z. B. über SSH.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-16. Verfügst du über ein System für die Kontopflege zur Verwaltung der Zuweisung, Widerrufung und Prüfung von Zugriffsrechten und Berechtigungen?

Es ist erforderlich, dass du ein System zur Kontopflege hast und regelmäßig Zugangsberechtigungen überprüfst, nicht seltener als einmal alle 12 Monate. In folgenden Fällen benötigst du ein Verfahren zum sofortigen Widerruf des Zugangs:

  • Zugriff wird nicht mehr benötigt

  • Zugriff wird nicht mehr genutzt

  • Eine Person verlässt die Organisation

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-16 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-16.a. Welche Verfahren, die du implementierst, umfasst dein System für die Kontopflege?

Wähle alle zutreffenden Antworten aus.

a. Wir überprüfen alle gewährten Zugänge mindestens einmal alle 12 Monate und widerrufen nicht mehr benötigte Zugangsrechte.

b. Wir überprüfen alle gewährten Zugänge mindestens einmal alle 12 Monate und widerrufen nicht mehr genutzte Zugänge.

c. Wir widerrufen umgehend alle Zugriffsberechtigungen, wenn eine Person die Organisation verlässt.

d. Nichts davon

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du eine der Optionen von a bis c in Frage 3.1-16.a auswählst, wird dir Folgendes angezeigt:

3.1-16.a.i. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der Folgendes erläutert wird: Voraussetzungen für das System zur Pflege von Konten.

Deine schriftliche Erklärung muss die folgenden Erfordernisse enthalten:

  1. Nicht mehr benötigten Zugang widerrufen

  2. Zugänge widerrufen, die nicht mehr genutzt werden

  3. Umgehender Widerruf des Zugriffs, wenn eine Person deine Organisation verlässt

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du eine der Optionen von a bis c in Frage 3.1-16.a auswählst, wird dir Folgendes angezeigt:

3.1-16.a.ii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: System für die Kontopflege implementieren.

Dein Nachweis muss Folgendes enthalten:

  1. Nicht mehr benötigten Zugang widerrufen

  2. Zugänge widerrufen, die nicht mehr genutzt werden

  3. Umgehender Widerruf des Zugriffs, wenn eine Person deine Organisation verlässt

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.a. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Treffen in Bezug auf die Software, die du zur Verarbeitung von Plattformdaten in deiner Backend-Umgebung verwendest, alle folgenden Punkte auf dich zu: Eine definierte und wiederholbare Möglichkeit, Patches in Drittanbieter-Software zu identifizieren, die Sicherheitsschwachstellen beheben Priorisieren der verfügbaren Patches basierend auf Risiko (z. B. basierend auf CVSS-Schweregrad) Fortlaufend Patches anwenden

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Das ist nicht nötig, da meine Organisation eine Backend-Lösung ohne Coding nutzt.

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-17.a mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.a.i. Du hast in der vorigen Frage angegeben, dass du über Prozesse für die Aktualisierung deines Codes und deiner Backend-Umgebung verfügst. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du deinen Code und deine Backend-Umgebung auf dem aktuellen Stand hältst.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-17.a mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.a.ii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: deinen Code und deine Backend-Umgebung auf dem aktuellen Stand halten.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-17.b. Machst du in Bezug auf die Drittanbieter-Software, die du für die Verarbeitung von Plattformdaten in einer mobilen App, wie der Android- oder iPhone-App verwendest, Folgendes: Eine definierte und wiederholbare Möglichkeit, Patches in Drittanbieter-Software zu identifizieren, die Sicherheitsschwachstellen beheben Priorisieren der verfügbaren Patches basierend auf Risiko (z. B. basierend auf CVSS-Schweregrad) Fortlaufend Patches anwenden

[ ] Ja

[] Das ist nicht nötig, da meine Organisation keine Plattformdaten in einer mobilen App verarbeitet.

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-17.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.b.i. Du hast in der vorigen Frage angegeben, dass du Drittanbieter-Software in deiner mobilen App auf dem neuesten Stand hältst. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du Drittanbieter-Code in deiner mobilen App aktuell hältst.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-17.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.b.ii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: Drittanbieter-Code in deiner mobilen App aktuell halten.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-17.c. Machst du in Bezug auf die Betriebssysteme, Antivirus-Software, Browser auf Laptops sowie weiteren Systeme und Apps, die von anderen Personen in deiner Organisation zum Entwickeln und Betreiben deiner App verwendet werden, Folgendes: Eine definierte und wiederholbare Möglichkeit, Patches in Drittanbieter-Software zu identifizieren, die Sicherheitsschwachstellen beheben Priorisieren der verfügbaren Patches basierend auf Risiko (z. B. basierend auf CVSS-Schweregrad) Fortlaufend Patches anwenden und verifizieren

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-17.c mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.c.i. Du hast in der vorigen Frage angegeben, dass du Drittanbieter-Software in den Systemen und Anwendungen für die Entwicklung und den Betrieb deiner App aktuell hältst. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du diese Drittanbieter- und Antivirus-Software aktuell hältst.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-17.c mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-17.c.ii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: Drittanbieter- und Antivirus-Software aktuell halten. [Primäre Frage]

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-21. Verfügst du über einen öffentlich zugänglichen Kanal, über den Sicherheitslücken in dieser App an dich gemeldet werden können?

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-21 mit Nein beantwortest, wird dir Folgendes angezeigt:

3.1-21.a. Gibt es eine öffentlich zugängliche E-Mail-Adresse, Telefonnummer oder ein Kontaktformular, über die bzw. das man mit dir Kontakt aufnehmen kann, wobei die Nachrichten regelmäßig geprüft werden?

[ ] Ja

[ ] Nein

Wenn du eine der Optionen von b bis f in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-22. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Erfasst du Admin-Prüfungsprotokolle für diese Backend-Umgebung

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.a. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du Admin-Prüfungsprotokolle für deine Backend-Umgebung, in der Plattformdaten gespeichert werden, erfasst.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22 mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.a.i. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: Admin-Prüfungsprotokolle für deine Backend-Umgebung, in der Plattformdaten gespeichert werden, erfassen.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du eine der Optionen von b bis f in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-22.b. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Erfasst du Prüfungsprotokolle für App-Events dieser Backend-Umgebung? Beispiele für mögliche App-Events:

  • Fehler bei Ein- und Ausgabevalidierung

  • Fehler bei Authentifizierung und Zugriffskontrolle

  • App-Fehler und System-Events

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-22.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.b.i. Enthalten diese Prüfungsprotokolle für App-Events deiner Backend-Umgebung, in der Plattformdaten gespeichert werden, sämtliche der folgenden Felder?

  • Meta-Nutzer-ID (falls bekannt)

  • Eventtyp

  • Datum und Uhrzeit

  • Indikator für „Erfolgreich“ oder „Fehlgeschlagen“

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.b.ii. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der dein Ansatz zum Erfassen von Prüfungsprotokolle für App-Events deiner Backend-Umgebung erläutert wird.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22.b mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.b.iii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: Prüfungsprotokolle für App-Ereignisse deiner Backend-Umgebung erfassen, in der Plattformdaten gespeichert werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du eine der Optionen von b bis f in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-22.c. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Gibt es Richtlinien oder vorgeschriebene Verfahren, um unberechtigten Zugriff auf Prüfungsprotokolle für diese Backend-Umgebung bzw. deren Manipulation zu verhindern?

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein

3.1-22.d. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Speicherst du Prüfungsprotokolle für diese Umgebung mindestens 30 Tage lang?

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja [ ] Nein

Wenn du eine der Optionen von b bis f in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-22.e. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Nutzt du eine automatisierte Lösung, um Prüfungsprotokolle für App-Events auf Indikatoren für alltägliche Sicherheitsereignisse oder Zwischenfälle mit Sicherheits- bzw. Schadensrisiko (z. B. Umgehungsversuche der Zugriffskontrolle oder Softwareschwachstellen) zu prüfen?

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-8 mit Ja beantwortest, wird dir Folgendes angezeigt: 3.1-22.e.i. Überprüfst du diese Prüfungsprotokolle für App-Events für deine Backend-Umgebung, in der Plattformdaten gespeichert werden, mindestens alle 7 Tage?

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22.e mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.e.ii. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du mindestens alle 7 Tage Prüfungsprotokolle für App-Events für deine Backend-Umgebung überprüfst, in der Plattformdaten gespeichert werden.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22.e mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.e.iii. Lade mindestens einen Nachweis hoch (z. B. eine Tool-Konfiguration oder Bildschirmaufnahme deiner Anwendung), auf dem zu sehen ist, wie du diese Schutzvorkehrungen in der Praxis umsetzt: Prüfungsprotokolle für App-Events überprüfen für deine Backend-Umgebung, wo Plattformdaten gespeichert werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du eine der Optionen von b bis f in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-22.f. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Überprüfst du Prüfungsprotokolle für Admins für diese Umgebung, um Indikatoren für alltägliche Sicherheitsereignisse oder Zwischenfälle mit Sicherheits- bzw. Schadensrisiko (z. B. Umgehungsversuche der Zugriffskontrolle oder Softwareschwachstellen) zu finden?

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

[ ] Ja

[ ] Nein

Wenn du Frage 3.1-22.f mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.f.i. Überprüfst du diese Prüfungsprotokolle für Admins für deine Backend-Umgebung, in der Plattformdaten gespeichert werden, mindestens alle 7 Tage?

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22.f mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.f.ii Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du Prüfungsprotokolle für Admins mindestens alle 7 Tage für deine Backend-Umgebung überprüfst, in der Plattformdaten gespeichert werden, um Indikatoren alltäglicher Sicherheitsvorfälle oder -Events zu finden.

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

Wenn du eine der Optionen von b bis f in Frage 3.1-8.a auswählst, wird dir Folgendes angezeigt:

3.1-22.g. Du hast in einer vorigen Frage angegeben, dass du Plattformdaten in deiner Backend-Umgebung speicherst. Gibt es einen Prozess zur weiteren Untersuchung, wenn du ein alltägliches Sicherheitsereignis oder einen Zwischenfall mit Sicherheits- bzw. Schadensrisiko für deine Prüfungsprotokolle in dieser Backend-Umgebung identifizierst?

„Backend-Umgebung“ bezeichnet eine Cloud- oder Server-Umgebung, auf die Kund*innen remote zugreifen können, etwa eine Website oder Web-API.

Erinnerung: Wenn ein Sicherheitsereignis oder -vorfall auftritt, erfordern unsere Richtlinien, dass du es umgehend an uns meldest.

[ ] Ja

[ ] Nein

HAFTUNGSAUSSCHLUSS: Diese Frage richtet sich nur an einige Entwickler*innen. Entnimm bitte deinem spezifischen Beurteilungsformular, ob diese Anforderungen für dich gelten.

Wenn du Frage 3.1-22.g mit Ja beantwortest, wird dir Folgendes angezeigt:

3.1-22.g.i. Lade eine schriftliche Erklärung hoch (z. B. ein Dokument zur Richtlinie oder zum Verfahren), in der erläutert wird, wie du alltägliche Sicherheitsereignisse oder -zwischenfälle untersuchst, die zu Risiken oder Schäden an deinen Prüfungsprotokollen führen (bezogen auf deine Backend-Umgebung, in der Plattformdaten gespeichert werden).

Bitte hebe hervor, wo in deiner Richtlinie diese Bedingungen beschrieben werden.

Achte bitte darauf, dass die Dateien nicht passwortgeschützt sind. Du kannst mehrere Dateien (max. 2 GB pro Datei) hochladen. Akzeptierte Dateitypen: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip und .zipx.

3.1-23. Gibt es vorgeschriebene Sicherheitsabläufe für Personen, die auf Plattformdaten zugreifen können?

Beispiele für mögliche Abläufe:

  • Erfolgreiche Hintergrundprüfung vor dem Zugriff auf Plattformdaten

  • Unterschriebene Vertraulichkeitsvereinbarung vor dem Zugriff auf Plattformdaten Schulung für neue Mitarbeiter*innen zu Richtlinien und Abläufen zur Informationssicherheit

  • Regelmäßige und fortlaufende Sicherheitsschulungen (d. h. jährlich)

  • Schulung zu bestimmten Positionen mit Zugriff auf Plattformdaten

  • Rückgabe von Assets (z. B. Laptop oder Mobiltelefon) bei Verlassen der Organisation

[ ] Ja

[ ] Nein