Preguntas de la evaluación de protección de datos

En este documento puedes encontrar todas las preguntas de la evaluación de protección de datos. Si la evaluación empieza por 3.1, la recibiste el 15 de febrero de 2024 o más tarde. Puedes consultar las preguntas a continuación.

Si la evaluación no está numerada, la recibiste antes del 15 de febrero de 2024. Puedes consultar las preguntas anteriores aquí.

Las preguntas siguientes forman parte de la evaluación de protección de datos actualizada de 2024. Verás que los números de las preguntas empiezan por el número de la versión correspondiente; en el caso de la versión 3.1, las preguntas serán 3.1-1, 3.1-2, etc. Estamos actualizando constantemente nuestras preguntas para estar al día con los estándares del sector y los desarrolladores pueden recibir diferentes preguntas en función de cuándo hayan recibido la evaluación.

Instrucciones de uso:

Recomendamos a los administradores de aplicaciones que las revisen con sus equipos internos para asegurarse de que las aplicaciones cumplan los requisitos de nuestras Condiciones de la plataforma. Todos los administradores de aplicaciones recibirán una notificación si la evaluación de protección de datos es necesaria para cada aplicación.
Ten en cuenta que solo se aceptarán los envíos en inglés. No dudes en utilizar las herramientas de traducción que necesites para poder enviar la evaluación en inglés.
Estas preguntas se muestran aquí únicamente para tu comodidad. Las preguntas necesarias para cada aplicación variarán en función de los datos a los que tenga acceso. Si una aplicación tiene acceso a determinados tipos de datos, es posible que también debas proporcionar pruebas para fundamentar las respuestas.
Si actualmente estás completando la evaluación de protección de datos o estás respondiendo a las preguntas de seguimiento de nuestros revisores, sigue con estos procesos y ten en cuenta que las preguntas que puedas estar respondiendo podrían ser diferentes de las que se actualizarán aquí.

Uso de datos

3.1-1. ¿Utiliza la aplicación Datos de la plataforma para perjudicar a determinadas personas (es decir, impedir que unas personas obtengan algo que otras sí reciben) en función de su raza, etnia, color, nacionalidad, religión, edad, sexo, orientación sexual, identidad de género, estado civil, discapacidad, enfermedad o trastorno genético?

Esta pregunta no se aplica al hecho de usar el género y la edad en las aplicaciones de citas, el género para consideraciones lingüísticas, la edad para restringir contenido para adultos u otros casos parecidos en los que los Datos de la plataforma se usen de forma pertinente para mejorar la experiencia del usuario en la aplicación. Si tu aplicación está relacionada con uno de estos usos, tu respuesta es "no", ya que no estás usando la información para generar una desventaja.

[ ] Sí
[ ] No

Si tu respuesta es “Sí”, deberás responder también a estas preguntas adicionales:

3.1-1.a.A. ¿Qué Datos de la plataforma usa la aplicación para desfavorecer a personas en función de la raza, la etnia, el color, la nacionalidad, la religión, la edad, el sexo, la orientación sexual, la identidad de género, el estado civil, la discapacidad, la enfermedad o el trastorno genético?

3.1-1.a.B. ¿Cómo utiliza la aplicación los Datos de la plataforma para desfavorecer a personas en función de la raza, la etnia, el color, la nacionalidad, la religión, la edad, el sexo, la orientación sexual, la identidad de género, el estado civil, la discapacidad, la enfermedad o el trastorno genético?

3.1-1.a.C. ¿Cuándo empezó la aplicación a usar Datos de la plataforma de esta manera?

3.1-2. ¿La aplicación usa Datos de la plataforma a la hora de tomar decisiones sobre las oportunidades de vivienda, empleo, seguro, educación, crédito, beneficios gubernamentales o de condición de inmigrante?

Si tu respuesta es “Sí”, deberás responder también a estas preguntas adicionales:

3.1-2.a.A. ¿Qué Datos de la plataforma utiliza la aplicación a la hora de tomar decisiones sobre oportunidades de vivienda, empleo, seguro, educación o crédito, ayudas gubernamentales o condición de inmigrante?

3.1-2.a.B. ¿Cómo emplea la aplicación los Datos de la plataforma a la hora de tomar decisiones sobre las oportunidades de vivienda, empleo, seguro, educación, crédito, beneficios gubernamentales o de condición de inmigrante?

3.1-2.a.C. ¿Cuándo empezó la aplicación a usar Datos de la plataforma de esta manera?

3.1-3. ¿La aplicación utiliza Datos de la plataforma para actividades relacionadas con la vigilancia? "Vigilancia" incluye el tratamiento de Datos de la plataforma sobre personas, grupos o eventos para fines de seguridad nacional u orden público.

Si tu respuesta es “Sí”, deberás responder también a estas preguntas adicionales:

3.1-3.a.A. ¿Qué Datos de la plataforma usa la aplicación para actividades relacionadas con la vigilancia?

3.1-3.a.B. ¿Cómo usa la aplicación los Datos de la plataforma para las actividades relacionadas con la vigilancia?

3.1-3.a.C. ¿Cuándo empezó la aplicación a usar Datos de la plataforma con este fin?

Uso compartido de datos

3.1-4. Algunas de las preguntas siguientes están relacionadas con los proveedores y subproveedores de servicios. Un proveedor de servicios es una persona o una empresa que te ofrece servicios para que puedas usar la Plataforma o los Datos de la plataforma. Por su parte, un subproveedor de servicios es un proveedor al que otro proveedor recurre para recibir servicios con respecto a los Datos de la plataforma.

Google Cloud y Amazon Web Services (AWS) son ejemplos de grandes proveedores de servicios que es habitual usar, aunque también es posible que trabajes con empresas más pequeñas, como una empresa de desarrollo web local de tu país o región, para tratar o usar los Datos de la plataforma.

¿Llevas a cabo alguna de estas acciones?

Selecciona todas las opciones que correspondan.

a. No comparto los Datos de la plataforma que recibo mediante esta aplicación.
b. Vender Datos de la plataforma a otra persona o empresa, autorizar su acceso a ellos, o bien facilitar y permitir que los demás puedan hacerlo.
c. Comprar Datos de la plataforma a otra persona o empresa, o bien facilitar y permitir que los demás puedan hacerlo.
d. Compartir Datos de la plataforma para permitir que una persona o empresa te proporcione un servicio (proveedor de servicios).
e. Compartir Datos de la plataforma para permitir que otra persona o empresa (ajena a tu negocio) acceda a la Plataforma o a los Datos de la plataforma y los use.
f. Compartir Datos de la plataforma por indicación expresa de un usuario de la aplicación.
g. Compartir Datos de la plataforma por otros motivos que no se han indicado. Explícalos.

Si seleccionas la opción b en la pregunta 3.1-4, se mostrará lo siguiente:

3.1-4.a.A. ¿Qué tipos de Datos de la plataforma vendes u ofreces bajo licencia?

3.1-4.a.B. ¿Qué permisos, características, funciones u otros canales usa la aplicación para acceder a los Datos de la plataforma y recogerlos?

3.1-4.a.C. Enumera todas las entidades, empresas y todos los terceros a los que vendes Datos de la plataforma o autorizas su acceso a ellos desde esta aplicación y explica la finalidad de compartirlos en cada caso.

3.1-4.a.D. ¿Cuándo empezaste a vender Datos de la plataforma o conceder licencias?

Si seleccionas la opción d en la pregunta 3.1-4, se mostrará lo siguiente:

3.1-4.b. Anteriormente has indicado que compartes Datos de la plataforma con proveedores de servicios. Marca las casillas a continuación para indicar con qué proveedores de servicios compartes dichos datos. En las siguientes preguntas se te pedirá que describas con quién compartes los datos y que expliques cómo y por qué.

Nota: No incluyas servicios o productos de Meta como proveedores de servicios.

Selecciona todas las opciones que correspondan. Si compartes datos de la plataforma con más de un proveedor de servicios que se indica aquí y con proveedores que no aparecen en la lista, selecciona todos los correspondientes y la opción "Otros". Por ejemplo, puedes seleccionar Apple, Google y "Otros" para representar a todos tus proveedores de servicios.

a. Google (p. ej., Play Store, Firebase, Cloud, AdMob, Analytics)
b. Amazon (p. ej. Amazon Web Services)
c. Salesforce (por ejemplo, Heroku, Marketing Cloud)
d. Apple (p. ej., App Store)
e. Microsoft (p. ej., App Center, Azure o PlayFab)
f. GitHub
g. AppLovin (p. ej. Adjust)
h. Appsflyer
i. Stripe
j. Twilio (p. ej. Segment, SendGrid)
k. Otros (se te solicitará que subas una lista)

Si seleccionas la opción k en la pregunta 3.1-4, se mostrará lo siguiente:

3.1-4.b.i. Sube un archivo Excel o CSV con una lista de los proveedores de servicios con los que compartes los Datos de la Plataforma, además de los indicados en la lista anterior. Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos con un tamaño máximo de 2 GB cada uno. Aceptamos estos formatos: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

Si seleccionas la opción d en la pregunta 3.1-4 y la opción k en la pregunta 3.1-4.b, se mostrará lo siguiente:

3.1-4.c. ¿Tienes un acuerdo por escrito con cada uno de los proveedores de servicios con los que compartes Datos de la plataforma por el que se les exige (y a sus proveedores de servicios, si los hubiera) usar los Datos de la plataforma solo según tus instrucciones y únicamente para proporcionar el servicio que has solicitado (no para sus propios fines ni para beneficiar a sus clientes)?

Un acuerdo escrito puede incluir las condiciones del servicio, un acuerdo estándar no negociado o un contrato firmado. Por ejemplo, si usas Google Cloud como proveedor de servicios, el acuerdo escrito son las Condiciones del servicio que aceptas.

[ ] Sí [ ] No

Si seleccionas “Sí”, se mostrará lo siguiente:

3.1-4.c.i. Marca las casillas siguientes para indicar el tipo de texto incluido en tus acuerdos de datos escritos con los proveedores de servicios. Selecciona todas las opciones que correspondan.

a. Texto que pide a los proveedores de servicios que solo usen los Datos de la plataforma para proporcionar el servicio que has solicitado.

b. Texto que pide a los proveedores de servicios que solo usen los Datos de la plataforma de acuerdo con tus instrucciones.

c. Texto que prohíbe a los proveedores de servicios compartir Datos de la plataforma con terceros a menos que se lo hayas indicado.

d. Texto que prohíbe a los proveedores de servicios tratar datos de la plataforma para sus propios fines o para terceros.

e. Texto que pide a los proveedores de servicios que eliminen los Datos de la plataforma que han recibido de ti cuando dejes de usar su servicio.

3.1-4.c.iv. ¿Tienes constancia de alguna situación en la que tus proveedores de servicios o sus respectivos subproveedores de servicios (si los hay) hayan actuado de un modo que no cumpla las Condiciones de la plataforma de Meta, por ejemplo, que hayan vendido Datos de la plataforma o que no los hayan eliminado después de que hayas dejado de usar sus servicios?

[ ] Sí [ ] No

3.1-4.c.v. Si dejas de usar un proveedor o subproveedor de servicios, ¿los acuerdos firmados con ellos (como sus condiciones del servicio) especifican cómo y cuándo el proveedor de servicios debe eliminar los datos que ha recibido de ti?

[ ] Sí [ ] No

Si seleccionas “No” en la pregunta 3.1-4.c.v, se mostrará lo siguiente:

3.1-4.c.vi. Si dejas de usar un proveedor o subproveedor de servicios, ¿cómo te aseguras de que elimine los Datos de la plataforma que ha recibido de ti?

Si seleccionas la opción e en la pregunta 3.1-4, se mostrará lo siguiente:

3.1-4.d. Las siguientes preguntas tienen que ver con los proveedores de tecnología, que son desarrolladores de aplicaciones cuya finalidad es administrar integraciones de la Plataforma en nombre de clientes para que estos puedan acceder a sus datos en los productos de Meta y administrarlos. Algunos ejemplos de proveedores de tecnología son los proveedores y las agencias de SaaS (software como servicio).

Definición de proveedor de tecnología: persona o empresa a la que se ha concedido acceso a las API de Meta con el objetivo de crear, mantener y eliminar integraciones en nombre de otras personas o empresas. Se incluyen a las personas o empresas que crean una integración única en nombre de un cliente individual o de varios.

Anteriormente has indicado que esta aplicación permite que las personas o los negocios (clientes) accedan a los Datos de la plataforma y los usen. Esto significa que eres un proveedor de tecnología.

¿Tratas los Datos de la plataforma que recibes con esta aplicación únicamente en nombre de tus clientes y del modo que ellos establecen? [ ] Sí [ ] No

Si seleccionas “No” en la pregunta 3.1-4.d, se mostrará lo siguiente:

3.1-4.d.i.A. Además de según las instrucciones de tu cliente y en su nombre, ¿para quién más realizas el tratamiento de Datos de la plataforma?

3.1-4.d.i.B. ¿Qué Datos de la plataforma tratas en relación con esta persona o empresa?

3.1-4.d.i.C. ¿Por qué procesas Datos de la plataforma para esta persona o negocio?

3.1-4.d.i.D. ¿Cuándo empezaste a tratar este tipo de Datos de la plataforma?

3.1-4.d.i.E. ¿Cómo procesas los Datos de la plataforma?

3.1-4.e. ¿Mantienes separados (ya sea de forma lógica, como en tablas diferentes, o físicamente) los Datos de la plataforma de cada uno de tus clientes de los datos de tus otros clientes y de los que conservas para tus propios fines?

[ ] Sí [ ] No

Si seleccionas “No” en la pregunta 3.1-4.e, se mostrará lo siguiente:

3.1-4.f. Has indicado que compartes Datos de la plataforma en casos distintos a los que se mencionan en las preguntas anteriores. Describe los datos que compartes en dichos casos.

¿Dónde se almacenan?
¿Cómo almacenas y proteges los datos?
¿Quién tiene acceso?
¿Cómo controlas el acceso?

Si seleccionas “Otro (especifica)”, se mostrará lo siguiente:

Has indicado que compartes Datos de la plataforma en casos distintos a los que se mencionan en las preguntas anteriores. Describe los datos que compartes en dichos casos.

Asegúrate de responder a las siguientes preguntas:

Además de los usuarios particulares de la aplicación o el sitio web, ¿con quién compartes estos datos?
¿Cómo se comparten los datos?
¿Desde cuándo compartes los datos con la(s) entidad(es) que has mencionado?
¿Los datos se siguen compartiendo?

3.1-4.f.i. En el caso de los Datos de la plataforma compartidos en otras circunstancias, ¿tienes un acuerdo por escrito con cada destinatario de los Datos de la plataforma por el que se les prohíba usar estos datos de formas que infrinjan las Condiciones de la plataforma y las Políticas para desarrolladores de Meta (o cualesquiera otras condiciones que se apliquen al uso que hagas de los Datos de la plataforma)?

Algunos ejemplos de acuerdos escritos son: las condiciones del servicio, los acuerdos estándar no negociados y los contratos firmados.

[ ] Sí [ ] No

3.1-4.g. Hasta dónde tú sabes, ¿alguno de estos destinatarios de los Datos de la plataforma ha infringido las condiciones de la plataforma de Meta? Por ejemplo, mediante la venta, la licencia o la adquisición de dichos Datos.

[ ] Sí [ ] No

Si seleccionas “Sí” en la pregunta 3.1-4.g, se mostrará lo siguiente:

3.1-4.g.i. Has indicado anteriormente que los destinatarios de los Datos de la plataforma han infringido las condiciones de la plataforma de Meta. Proporciona más detalles.

Si seleccionas la opción f en la pregunta 3.1-4, se mostrará lo siguiente:

3.1-4.i.A. Anteriormente has indicado que pones los Datos de la plataforma que recibes a través de esta aplicación a disposición de otra persona o empresa cuando los usuarios te autorizan a compartir dichos datos.

Describe cómo los usuarios te indican que compartas Datos de la plataforma con otra persona o negocio.

3.1-4.i.B. Sube capturas de pantalla del proceso de consentimiento para compartir dichos datos. Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos con un tamaño máximo de 2 GB cada uno. Aceptamos estos formatos: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

Eliminación de datos

3.1-5. ¿Eliminarías los Datos de la plataforma en TODAS las circunstancias, salvo cuando nuestras Condiciones permiten su retención?

a. Cuando ya no es necesario retener Datos de la plataforma para un fin empresarial legítimo,

b. Por petición de un usuario,

c. Cuando un usuario ya no tiene una cuenta en tu aplicación (solo se aplica si ofreces cuentas de usuario),

d. Por petición de Meta y

e. Cuando así lo exigen los reglamentos o la legislación.

En esta pregunta, "Datos de la plataforma" no incluye los datos que se indican en la Condición de la plataforma 3.e "Excepciones". Consulta la Condición de la plataforma 3.d: Retención, eliminación y accesibilidad de los Datos de la plataforma para saber cuáles son nuestros requisitos para la eliminación. Ten en cuenta que, en algunos casos, no es necesario eliminar los Datos de la plataforma si estos se han consolidado, ocultado o anonimizado para que no puedan asociarse con un usuario, navegador o dispositivo en concreto. Está permitido conservar datos anónimos y consolidados relacionados con la experiencia de un usuario, por ejemplo, con la facturación.

[ ] Sí
[ ] No

Si seleccionas “No” en la pregunta 3.1-5, se mostrará lo siguiente:

3.1-5.a. ¿En cuáles de las circunstancias mencionadas anteriormente NO eliminarías los Datos de la plataforma? ¿Por qué?

3.1-6. Si eliminas Datos de la plataforma en las circunstancias mencionadas más arriba, ¿tomas medidas para eliminar Datos de la plataforma lo más rápido posible?

"Lo más rápido posible" puede depender de los sistemas y los datos, pero no debería exceder, en general, los 120 días. Esta pregunta solo se refiere a los Datos de la plataforma, no a los que se recopilan por separado o los que almacena esta aplicación.

Esto no se aplica a los Datos de la plataforma que estés obligado a conservar según lo establecido en la ley o reglamento aplicables.

[ ] Sí
[ ] No

¿En qué circunstancias conservarías los Datos de la plataforma durante más de 120 días? Nota: Esto no se aplica a los Datos de la plataforma que estés obligado a conservar según lo establecido en la ley o reglamento aplicables.

Si seleccionas “No” en la pregunta 3.1-6, se mostrará lo siguiente:

3.1-6.a. ¿En qué circunstancias conservarías los Datos de la plataforma durante más de 120 días?

Nota: Esto no se aplica a los Datos de la plataforma que estés obligado a conservar según lo establecido en la ley o reglamento aplicables.

Si seleccionas “Sí” en la pregunta 3.1-5, se mostrará lo siguiente:

3.1-5.b. Más arriba has indicado que eliminas Datos de la plataforma cuando ya no son necesarios para fines empresariales legítimos. Describe cómo determinas cuándo ya no se necesitan Datos de la plataforma para estos fines.

En esta pregunta, "Datos de la plataforma" no incluye los datos que se indican en la Condición de la plataforma 3(e).

3.1-5.c. Has indicado que eliminas los datos de la plataforma si un usuario te lo pide. Describe cómo pueden los usuarios solicitar la eliminación de sus datos e incluye capturas de pantalla si corresponde.

Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos con un tamaño máximo de 2 GB cada uno. Aceptamos estos formatos: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

En esta pregunta, "Datos de la plataforma" no incluye los datos que se indican en la Condición de la plataforma 3(e).

Seguridad de los datos

3.1-A. Según la Condición de la plataforma 6.a.i, Meta requiere que mantengas medidas de seguridad administrativas, físicas y técnicas diseñadas para evitar cualquier acceso no autorizado a los Datos de la plataforma, así como impedir su destrucción, pérdida, alteración, divulgación, distribución o puesta en peligro.

Consulta nuestras prácticas recomendadas de seguridad de datos para desarrolladores, información general sobre la evaluación de protección de datos y preguntas frecuentes para obtener más información.

Antes de responder el siguiente bloque de preguntas, y a fin de que tus respuestas sean rigurosas, es importante que hables con las personas adecuadas: el responsable de seguridad de la información, una persona que desempeñe un cargo equivalente en tu organización o una empresa de ciberseguridad cualificada (es decir, una empresa con un mínimo de cinco años de experiencia en auditorías ISO 27001).

Marca "Lo comprendo" para continuar con la evaluación.

[ ] Lo comprendo

3.1-B. Como recordatorio, el término "Datos de la plataforma" se define en nuestro Glosario de términos de la plataforma como: "cualquier información, dato u otro contenido que obtienes por nuestra parte, a través de la Plataforma o tu Aplicación, ya sea de forma directa o indirecta y ya sea antes o después de la fecha de aceptación de las Condiciones, o en esa fecha, incluidos los datos anónimos, consolidados o que se derivan de dichos datos. Los Datos de la plataforma incluyen los identificadores de aplicaciones, de páginas, de acceso, de secretos de la aplicación y de usuario".

Para evitar cualquier duda, esto incluye datos como el identificador de usuario, la dirección de correo electrónico y todos los datos que recibas de las llamadas de la API a graph.facebook.com.

Para responder las siguientes preguntas, debes entender completamente cómo se transmiten, almacenan y procesan en tu software y sistemas los Datos de la plataforma de Meta relacionados con esta aplicación.

Esta pregunta se aplica a todos los permisos, funciones y funcionalidades de la aplicación. Para ver estos elementos, ve al panel de la aplicación. Para ello, selecciona tu aplicación en la página "Mis aplicaciones".

Selecciona "Lo entiendo" para continuar.

[ ] Lo entiendo

3.1-7. Si tienes un certificado de seguridad de la información que cumpla todos los requisitos a continuación, puedes enviarlo como una prueba de que has implementado suficientes medidas de seguridad administrativas, físicas y técnicas para proteger los Datos de la plataforma:

La certificación debe ser SOC 2, ISO 27001, ISO 27018 o equivalente.
Un auditor independiente debe haber expedido el certificado a tu organización (en lugar de haberlo hecho un tercero).
El certificado debe ser válido en este momento: un certificado SOC 2 emitido en el último año o un certificado ISO emitido en los últimos tres años.
El ámbito de la auditoría debe incluir todos los sistemas que usas para tratar Datos de la plataforma de Meta.

¿Dispones de una certificación de seguridad que cumpla estos requisitos?

[ ] Sí [ ] No

Si seleccionas “Sí” en la pregunta 3.1-7, se mostrará lo siguiente:

3.1-7.a. ¿Qué certificados de seguridad tienes? Selecciona todas las opciones que correspondan. * [ ] Informe de tipo 2 de SOC 2 * [ ] Certificado ISO 27001 * [ ] Certificado ISO 27018 * [ ] Otra certificación equivalente * Si seleccionas “Otra certificación equivalente”, se mostrará lo siguiente: * ¿Cómo se llama este certificado de seguridad?

3.1-7.a.i.B. Sube una copia de tu certificado de seguridad. Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos con un tamaño máximo de 2 GB cada uno. Aceptamos estos formatos: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

Si seleccionas la opción d en la pregunta 3.1-7.a, se mostrará lo siguiente:

3.1-7.a.i.A. ¿Cómo se llama este certificado de seguridad?

3.1-8. ¿Almacenas Datos de la plataforma en tu entorno de backend (p. ej., bases de datos, agrupaciones de almacenamiento basado en objetos o almacenamiento en bloque en la nube u otro tipo de entorno de alojamiento)?

Selecciona "Sí" si grabas los Datos de la plataforma en cualquier soporte de almacenamiento persistente en un entorno de nube o servidor backend que conserve los datos cuando se produce un corte del suministro eléctrico, por ejemplo, un disco, archivos de registro o bases de datos a las que pueda accederse a través de un sitio web o API.

Selecciona "No" si realizas alguna de estas acciones:

Tratar Datos de la plataforma únicamente en clientes que pertenezcan a los usuarios finales de tu aplicación, y nunca enviar dichos datos a un entorno de backend
Los datos de la plataforma se tratan en un entorno de backend, pero nunca se escriben en ningún almacenamiento permanente
[ ] Sí
[ ] No

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-8.a. En la pregunta anterior, has indicado que sí almacenas datos de la plataforma en tu entorno de backend. ¿Cuáles de los siguientes tipos de datos de la plataforma almacenas en tu entorno de backend? Selecciona todas las opciones que correspondan.

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.
"Almacenar" hace referencia a escribir Datos de la plataforma en cualquier entorno que conserve datos tras apagar el sistema (por ejemplo, archivos de registro, bases de datos relacionales o de objetos, o discos).

a. Identificador de usuario de Meta o identificador de usuario cifrado

b. Dirección de correo electrónico

c. Foto de perfil

d. Identificador de acceso de usuario de la API de Meta

e. Clave secreta de la aplicación

f. Otros Datos de la plataforma no mencionados anteriormente

3.1-8.b. ¿Cuál de estas soluciones de alojamiento usas para tratar los Datos de la plataforma en tu entorno de backend?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

Selecciona todas las opciones que correspondan.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba/Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Centro de datos propiedad de otra organización cuyos servidores pertenecen a la mía

k. Centro de datos y servidores propiedad de mi organización

l. Otros

Si seleccionas la opción l en la pregunta 3.1-8.b, se mostrará lo siguiente:

3.1-8.b.i. En la pregunta anterior has seleccionado Otros para indicar que usas una opción de alojamiento que no aparece en la lista. Describe el enfoque que se utiliza para el alojamiento del entorno de backend.

Si seleccionas la opción b, c, d, e o f en la pregunta 3.1-8.a y la opción c, h, i, j, k o l en la pregunta 3.1-8.b, se mostrará lo siguiente:

3.1-9.a. ¿Aplicas cifrado en reposo a todos los datos de la plataforma almacenados en tu entorno de backend?

El cifrado en reposo protege los Datos de la plataforma, ya que evita que los datos se puedan descifrar sin una clave de desencriptación. Este método proporciona una capa adicional de protección contra el acceso de lectura no autorizado. Si almacenas Datos de la plataforma en un entorno de backend, debes protegerlos con cifrado en reposo o con un método de protección alternativo aceptable.

Algunos proveedores de alojamiento tienen activado el cifrado en reposo de forma predeterminada o tienen opciones de configuración que permiten activarlo. Antes de responder a esta pregunta, comprueba si se aplica cifrado en reposo a los servicios que usas para almacenar datos de la plataforma. Si es así, responde "Sí" a esta pregunta.

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No, pero nuestros proveedores de servicios de alojamiento tienen una certificación SOC 2 o ISO 27001 que garantiza que un tercero ha evaluado sus controles de seguridad física y de eliminación segura de medios.

[ ] No

Si seleccionas la opción b, c, d, e o f en la pregunta 3.1-8.a y no seleccionas la opción c, h, i, j, k o l en la pregunta 3.1-8.b, se mostrará lo siguiente:

3.1-9.b. ¿Aplicas cifrado en reposo a todos los datos de la plataforma almacenados en tu entorno de backend?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-9.a o “Sí” en la pregunta 3.1-9.b, se mostrará lo siguiente:

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

3.1-9.b.i. En la pregunta anterior has respondido que aplicas cifrado en reposo a todos los datos de la plataforma almacenados en tu entorno de backend. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique que todos los Datos de la plataforma almacenados en tu entorno de backend deben protegerse con cifrado en reposo.

Si clasificas y proteges los datos de manera diferente conforme a una serie de niveles de confidencialidad, la explicación debe dejar claro qué nivel se le asigna a los Datos de la plataforma que recibes por parte de Meta. También debes adjuntar las políticas pertinentes.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

3.1-9.b.ii. Sube al menos una prueba (p. ej., una captura de pantalla de una instancia de base de datos) en la que se vea cómo aplicas esta protección en la práctica: todos los datos de la plataforma almacenados en tu entorno de backend están protegidos con cifrado en reposo.

Si seleccionas “No” en la pregunta 3.1-9.a, se mostrará lo siguiente:

3.1-9.c.i. ¿Qué tipo de pruebas tienes que demuestren que se han evaluado la seguridad física y los controles de eliminación segura de contenido multimedia de tu proveedor de servicios de alojamiento?

Para demostrar que cumples las Condiciones de la plataforma de Meta, debes confirmar que la auditoría ISO 27001 o SOC 2 de tu proveedor de servicios de alojamiento incluye controles de seguridad física y de eliminación segura de archivos multimedia. En el caso de las normas ISO/IEC 27001:2013 o 2017, se trata de los controles A.8.3, A.11.1 y A.11.2. En cuanto a la norma SOC 2, se trata de los controles CC6.4 y CC6.5.

a. Una auditoría ISO 27001 de mi proveedor de servicios de alojamiento, en la que la declaración de aplicabilidad asociada indique que se han evaluado los controles de seguridad física y de eliminación segura del contenido multimedia

b. Un informe de auditoría SOC 2 que confirme que se han realizado pruebas de los controles de seguridad física y de eliminación segura de archivos multimedia y que no ha habido hallazgos negativos

c. Ninguno de los anteriores

Si seleccionas la opción a o b en la pregunta 3.1-9.c.i, se mostrará lo siguiente:

3.1-9.c.ii. ¿Cuándo se expidió el certificado ISO 27001 o SOC 2 de tu proveedor de servicios de alojamiento?

3.1-10. ¿Los miembros de tu organización almacenan Datos de la plataforma en extremos de la organización o dispositivos personales (p. ej., en portátiles o smartphones)?

"Almacenar" hace referencia a grabar Datos de la plataforma en cualquier entorno que los conserve tras apagar el sistema, como portátiles, unidades USB, discos duros extraíbles y servicios de almacenamiento en la nube como Dropbox o Google Drive.

Nota: Esta pregunta no hace referencia a los Datos de la plataforma que persisten en clientes web o de telefonía móvil para usuarios particulares de tu servicio.

[ ] Sí. Una o más personas de mi organización almacenan datos de la plataforma en sus dispositivos personales o de la organización.
[ ] No. En ningún caso los miembros de mi organización conservan Datos de la plataforma en dispositivos personales o de la organización.

Si seleccionas “Sí” en la pregunta 3.1-10, se mostrará lo siguiente:

3.1-10.a. Cuando los miembros de tu organización almacenan Datos de la plataforma en extremos de la organización o dispositivos personales, ¿cuál de estos métodos de protección implementas para reducir el riesgo de pérdida de datos?

Es necesario que apliques medidas de protección para reducir el riesgo de acceso a los Datos de la plataforma cuando están almacenados en reposo.

Selecciona todas las opciones que correspondan.

a. Software o servicio que requiere un cifrado de disco completo para los dispositivos de la organización (p. ej., Bitlocker o FileVault)

b. Software de prevención de pérdida de datos (PPD) en todos los dispositivos administrados para supervisar y registrar las acciones que tienen que ver con los Datos de la plataforma almacenados

c. Los miembros de mi organización tienen la obligación de cumplir con una política de uso aceptable que solo permite el procesamiento de Datos de la plataforma si existe una finalidad empresarial clara y viable. Dicha política establece que los datos deberán eliminarse cuando deje de existir esa finalidad

d. Ninguno de los anteriores

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas la opción a o b en la pregunta 3.1-10.a, se mostrará lo siguiente:

3.1-10.a.i. En la pregunta anterior has respondido que proteges los datos de la plataforma almacenados en dispositivos personales o de la organización mediante el cifrado completo de sus discos o con software de prevención de pérdida de datos (PPD) en el extremo. Sube una explicación por escrito (p. ej., una política o un documento de procedimientos) en la que se indique cómo implementas esta medida de protección técnica.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas la opción a o b en la pregunta 3.1-10.a, se mostrará lo siguiente:

3.1-10.a.ii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: protecciones técnicas para los datos de la plataforma almacenados en dispositivos personales o de la organización. [Pregunta principal]

Por ejemplo:

Captura de pantalla de una política de grupo que requiere que se active BitLocker en los dispositivos administrados
Una captura de pantalla de una herramienta de gestión de PPD en la que se vea que la supervisión de datos de PII está activada para todos los extremos
Una captura de pantalla de otro producto o herramienta que tus administradores de TI utilicen para aplicar protecciones técnicas a todos los dispositivos de la organización
Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos con un tamaño máximo de 2 GB cada uno. Aceptamos estos formatos: .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si solo seleccionas la opción c en la pregunta 3.1-10.a, se mostrará lo siguiente:

3.1-10.a.iii. En una pregunta anterior has indicado que las personas de tu organización que guardan Datos de la plataforma en dispositivos personales o de la organización tienen la obligación de seguir una política de uso aceptable. Sube una explicación por escrito (por ejemplo, un documento de políticas o procedimientos) que describa tu política de uso aceptable.

Es necesario que en dicha política se describa claramente lo siguiente:

Las finalidades comerciales permitidas para el tratamiento de Datos de la plataforma en dispositivos personales o de la organización
La obligación de eliminar los datos cuando ya no exista dicha finalidad

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si solo seleccionas la opción c en la pregunta 3.1-10.a, se mostrará lo siguiente:

3.1-10.a.iv. Puedo confirmar que todas las personas de mi entorno que pueden tratar los Datos de la plataforma en dispositivos personales o de la organización: Se les ha informado de la política de uso aceptable de estos datos. Afirman comprender esta política. Se les ha informado de esta política como parte de su incorporación como nuevos empleados.

[ ] Sí, puedo confirmarlo.

[ ] No, no puedo confirmarlo.

Si seleccionas “Sí” en la pregunta 3.1-8 y “No” en la pregunta 3.1-10, se mostrará lo siguiente:

3.1-10.b. En la pregunta anterior has indicado que en ningún caso los miembros de tu organización conservan datos de la plataforma en dispositivos personales o de la organización.

¿Has informado a las personas de tu organización de que no se pueden almacenar datos de la plataforma en dispositivos personales o de la organización bajo ningún concepto y les has pedido que acepten dicha obligación?

Nuestras políticas exigen que las organizaciones informen a todas las personas de la organización, incluidos los usuarios con altos privilegios como los administradores, que no está permitido almacenar datos de la plataforma.

[ ] Sí

[ ] No

Si seleccionas “No” en la pregunta 3.1-8 y “No” en la pregunta 3.1-10, se mostrará lo siguiente:

3.1-10.c. En la pregunta anterior has indicado que en ningún caso los miembros de tu organización conservan datos de la plataforma en dispositivos personales o de la organización.

[ ] Sí

[ ] No es necesario, ya que las personas de mi organización nunca pueden acceder a los Datos de la plataforma.

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en las preguntas 3.1-10.b o 3.1-10.c, se mostrará lo siguiente:

3.1-10.c.i. En una pregunta anterior has respondido que las personas de tu organización no almacenan datos de la plataforma en dispositivos personales o de la organización en ningún caso. Sube una explicación por escrito (p. ej., una política o un documento de procedimientos) en la que se indique que las personas de tu organización no deben almacenar datos de la plataforma en estos dispositivos.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en las preguntas 3.1-10.b o 3.1-10.c, se mostrará lo siguiente:

3.1-10.c.ii. Confirmo que todas las personas de mi organización:

Se les ha informado de la política que les prohíbe almacenar datos de la plataforma en dispositivos personales o de la organización

Afirman comprender esta política

Se les ha informado de esta política como parte de su incorporación como nuevos empleados

[ ] Sí, puedo confirmarlo.

[ ] No, no puedo confirmarlo.

Si seleccionas “No” en la pregunta 3.1-8 y “No” en la pregunta 3.1-10, se mostrará lo siguiente:

3.1-10.d. Sube un diagrama de flujo de datos y una descripción sobre cómo tu aplicación usa los Datos de la plataforma.

Incluye los siguientes detalles:

Muestra cómo tu aplicación hace llamadas a las API de Meta, como graph.facebook.com, e identifica todos los componentes que usan los Datos de la plataforma, incluidos el almacenamiento, el almacenamiento en caché, el tratamiento o la transferencia de dichos datos entre redes.

Describe los casos de uso principales (es decir, flujos que brindan resultados valiosos a los usuarios de la aplicación) que admites.

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-11.a. ¿Activas el protocolo de seguridad TLS 1.2 o una versión posterior para cifrar los datos de todas las conexiones de red que atraviesan, conectan o cruzan las redes públicas en las que se transmiten los Datos de la plataforma?

El cifrado en tránsito protege los Datos de la plataforma cuando se transmiten a través de redes que no son de confianza (por ejemplo, Internet), ya que solo pueden descifrarse en los dispositivos de origen y destino. Los grupos situados en medio de la transmisión no deben poder leer los Datos de la plataforma, aunque puedan ver el tráfico de red (como sucede en los ataques de intermediario). TLS es la forma de cifrado en tránsito más utilizada y es la que usan los navegadores para proteger las comunicaciones con sitios web bancarios, por ejemplo.

Exigimos que todos los oyentes web (por ejemplo, balanceadores de carga conectados a internet) que reciben o devuelven Datos de la plataforma deben activar TLS 1.2 o superior. TLS 1.0 y TLS 1.1 solo puede usarse por compatibilidad con dispositivos de clientes que no admiten TLS 1.2 o superior. Recomendamos, pero no exigimos, que se aplique cifrado en tránsito a las transmisiones de Datos de la plataforma que se realicen completamente dentro de redes privadas de confianza que controles (por ejemplo, dentro de una nube virtual privada o VPC). Para obtener más información sobre este requisito y sobre cómo subir las pruebas requeridas, consulta nuestros requisitos de seguridad para datos.

[ ] Sí

[ ] No

Si seleccionas “No” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-11.b. ¿Activas el protocolo de seguridad TLS 1.2 o una versión posterior para cifrar los datos de todas las conexiones de red que atraviesan, conectan o cruzan las redes públicas en las que se transmiten los Datos de la plataforma?

[ ] Sí

[ ] No es necesario. Solo transmitimos datos de la plataforma por Internet cuando los solicita Meta directamente.

[ ] No

Si seleccionas “Sí” en las preguntas 3.1-11.a o 3.1-11.b, se mostrará lo siguiente:

3.1-11.c. Has indicado en la pregunta anterior que activas el protocolo de seguridad TLS 1.2 o superior para cifrar los datos en tránsito. ¿Garantizas que los Datos de la plataforma nunca se transmitan a través de redes públicas de forma no cifrada (por ejemplo, a través de HTTP o FTP) y que nunca se usen SSL 2.0 y SSL 3.0?

Exigimos que los Datos de la plataforma nunca se transmitan a través de redes que no sean de confianza en forma no cifrada y que nunca uses SSL 2.0 o SSL 3.0. Para obtener más información sobre este requisito y cómo subir cualquier prueba requerida, consulta nuestros requisitos de seguridad para datos.

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en las preguntas 3.1-11.a o 3.1-11.b, se mostrará lo siguiente:

3.1-11.a.i. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique cómo activas el protocolo de seguridad TLS 1.2 o una versión posterior para los datos en tránsito.

El documento debe incluir la siguiente información: 1. Los datos de la plataforma nunca se transmiten sin cifrado en tránsito 2. Las versiones 2 y 3 de SSL nunca se usan

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en las preguntas 3.1-11.a o 3.1-11.b, se mostrará lo siguiente:

3.1-11.a.ii. Sube al menos una prueba (p. ej., una captura de pantalla completa de los resultados de un informe SSL de Qualys sobre uno de tus dominios web) en la que se pueda ver cómo aplicas la protección en la práctica: activas el protocolo de seguridad TLS 1.2 o una versión posterior para los datos en tránsito. [Pregunta principal]

Si seleccionas “No” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-12.a. En los últimos 12 meses, ¿cuál de los siguientes enfoques has usado para probar el software utilizado para tratar los Datos de la plataforma para detectar vulnerabilidades y problemas de seguridad?

Esta pregunta solo se refiere al software que creas o compilas (por ejemplo, bibliotecas de códigos) para tratar los Datos de la plataforma, en lugar del software creado o mantenido por otras empresas (por ejemplo, sistemas operativos Android o iOS).

Selecciona todas las opciones que correspondan.

a. Pruebas de seguridad de aplicaciones estáticas (SAST)

b. Pruebas de seguridad de aplicaciones dinámicas (DAST)

c. Test de penetración por parte de un equipo interno

d. Test de penetración por parte de una empresa de seguridad externa

e. Informes de vulnerabilidad de investigadores externos obtenidos mediante un programa de detección de vulnerabilidades (VDP) o de caza de bugs

f. Otro enfoque para identificar vulnerabilidades

g. Ninguno de los anteriores

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas una de las opciones comprendidas entre la a y la g en la pregunta 3.1-12.a, se mostrará lo siguiente:

3.1-12.a.i. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique cómo realizas tests del software que se utiliza para tratar los datos de la plataforma con el fin de detectar vulnerabilidades y problemas de seguridad.

Tu explicación por escrito debe incluir los siguientes procedimientos de prueba:

Realizar tests para detectar vulnerabilidades de seguridad al menos una vez cada 12 meses
Tener un proceso para clasificar los hallazgos según la gravedad
Asegúrate de que las vulnerabilidades de alta seguridad que podrían facilitar un acceso no autorizado a los datos de la plataforma se corrijan rápidamente.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas una de las opciones comprendidas entre la a y la f en la pregunta 3.1-12.a, se mostrará lo siguiente:

3.1-12.a.ii. Sube al menos una prueba (p. ej., un resumen del resultado de un test de penetración reciente) en la que se vea cómo aplicas esta protección en la práctica: realizas tests del software que se utiliza para tratar los datos de la plataforma con el fin de detectar vulnerabilidades y problemas de seguridad.

Los siguientes detalles se deben incluir en tus pruebas: 1. Una explicación del alcance y la metodología de la prueba 2. Fecha en que se llevó a cabo la actividad de prueba. Para que sea aceptable, la fecha no debe ser anterior a los 12 meses previos a la notificación sobre esta evaluación. 3. Si procede, un resumen de las vulnerabilidades críticas y de gravedad alta no corregidas

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-12.b. En los últimos 12 meses, ¿cuál de los siguientes enfoques has usado para realizar tests de detección de detección de vulnerabilidades y problemas de seguridad en tu entorno de backend donde tratas los Datos de la plataforma?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

Selecciona todas las opciones que correspondan.

a. Pruebas de seguridad de aplicaciones estáticas (SAST)

b. Pruebas de seguridad de aplicaciones dinámicas (DAST)

c. Análisis web

d. Test de penetración por parte de un equipo interno

e. Test de penetración por parte de una empresa de seguridad externa

f. Informes de vulnerabilidad de investigadores externos obtenidos mediante un programa de detección de vulnerabilidades (VDP) o de caza de bugs

g. Otro enfoque para identificar vulnerabilidades

h. No es necesario, ya que mi organización usa una solución de backend sin código

i. Ninguno de los anteriores

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas una de las opciones comprendidas entre la a y la g en la pregunta 3.1-12.b, se mostrará lo siguiente:

3.1-12.b.i. Sube una explicación por escrito (por ejemplo, una política o un documento de procedimientos) en la que se indique cómo realizas tests de detección de vulnerabilidades y problemas de seguridad en tu entorno de backend donde tratas los Datos de la plataforma.

Tu explicación por escrito debe incluir los siguientes procedimientos de prueba:

Realizar tests para detectar vulnerabilidades de seguridad al menos una vez cada 12 meses
Tener un proceso para clasificar los hallazgos según la gravedad
Asegúrate de que las vulnerabilidades de alta seguridad que podrían facilitar un acceso no autorizado a los datos de la plataforma se corrijan rápidamente.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas una de las opciones comprendidas entre la a y la g en la pregunta 3.1-12.b, se mostrará lo siguiente:

3.1-12.b.ii. Sube al menos una prueba (p. ej., un resumen del resultado de un test de penetración reciente) en la que se vea cómo aplicas esta protección en la práctica: realizas tests de detección de vulnerabilidades y problemas de seguridad en el entorno de backend donde se procesan los datos de la plataforma.

Los siguientes detalles se deben incluir en tus pruebas:

Una explicación del alance y la metodología de la prueba
Fecha en que se llevó a cabo la actividad de prueba. Para que sea aceptable, la fecha no debe ser anterior a los 12 meses previos a la notificación sobre esta evaluación.
Si procede, un resumen de las vulnerabilidades críticas y de gravedad alta no corregidas

Si seleccionas una de las opciones comprendidas entre la a y la b o la d y la i en la pregunta 3.1-8.b, se mostrará lo siguiente:

3.1-12.c. ¿Haces pruebas para detectar errores de configuración de seguridad en el entorno en la nube que se utiliza para tratar los Datos de la plataforma (por ejemplo, usas una herramienta como NCC Scout Suite para identificar errores de configuración) al menos una vez cada 12 meses?

Meta requiere que apliques medidas para realizar pruebas en el software con el fin de detectar vulnerabilidades y problemas de seguridad al menos una vez cada 12 meses para evitar el acceso no autorizado a los Datos de la plataforma.

[ ] Sí

[ ] No se aplica porque mi organización depende únicamente de un servicio backend que no expone ninguna opción de configuración de seguridad confidencial

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-12.c, se mostrará lo siguiente:

3.1-12.c.i. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique cómo haces pruebas para detectar errores de configuración de seguridad en el entorno en la nube que se utiliza para tratar los Datos de la plataforma.

Tu explicación por escrito debe incluir los siguientes procedimientos de prueba:

Realizar tests para detectar vulnerabilidades de seguridad al menos una vez cada 12 meses
Tener un proceso para clasificar los hallazgos según la gravedad
Asegúrate de que las vulnerabilidades de alta seguridad que podrían facilitar un acceso no autorizado a los datos de la plataforma se corrijan rápidamente.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-12.c, se mostrará lo siguiente:

3.1-12.c.ii. Sube al menos una prueba (p. ej., un resumen de un test NCC Scout Suite) en la que se vea cómo aplicas esta protección en la práctica: pruebas para detectar errores de configuración de seguridad en el entorno en la nube que se utiliza para tratar los Datos de la plataforma.

Los siguientes detalles se deben incluir en tus pruebas:

Una explicación del alance y la metodología de la prueba
Fecha en que se llevó a cabo la actividad de prueba. Para que sea aceptable, la fecha no debe ser anterior a los 12 meses previos a la notificación sobre esta evaluación.
Si procede, un resumen de las vulnerabilidades críticas y de gravedad alta no corregidas

3.1-13.a. ¿Tu aplicación o software almacenan identificadores de acceso en dispositivos de clientes que otras aplicaciones o usuarios pueden leer?

"Cliente o dispositivo cliente" se refiere a un hardware, como un teléfono móvil Android o iPhone, que pertenece a los usuarios finales de tu aplicación o servicio.

Selecciona No si no tienes una aplicación o software que se ejecute en dispositivos de clientes, como teléfonos móviles.

[ ] Sí

[ ] No

Si esta aplicación no está configurada como Ordenador o Nativa, se mostrará lo siguiente:

3.1-13.b. ¿Alguna vez la clave secreta de la aplicación de Facebook se expone al cliente o a sus dispositivos (por ejemplo, en el código compilado)?

[ ] Sí

[ ] Sí, pero mi aplicación está configurada como una aplicación nativa o para ordenadores

[ ] No

Si seleccionas la opción d en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-13.c. Has recibido esta pregunta porque en otra indicaste que almacenas identificadores de acceso de usuario de la API de Meta en tu entorno de backend. ¿Cómo proteges estos identificadores para impedir usos no autorizados?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

Los identificadores de acceso son fundamentales para la seguridad de las API de Meta. Exigimos que los desarrolladores protejan los identificadores de acceso contra el acceso no autorizado. Obtén información sobre los identificadores de acceso.

Selecciona todas las opciones que correspondan.

a. Almacenando estos datos en un repositorio de datos (p. ej., Vault de Hashicorp) con otro servicio de administración de claves (KMS)

b. Uso el cifrado de la aplicación (por ejemplo, los identificadores de acceso de los usuarios nunca se escriben ni se descifran en bases de datos ni otro tipo de almacenamiento persistente)

c. Configuro la aplicación para que requiera el parámetro appsecret_proof para las llamadas de la API a Meta

d. Uso un enfoque diferente para proteger los identificadores de acceso de los usuarios

e. Ninguna de las anteriores

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas a, b, c o d en la pregunta 3.1-13.c, se mostrará lo siguiente:

3.1-13.c.i. La pregunta anterior trataba de cómo proteges los identificadores de acceso de usuario almacenados en tu entorno de backend contra usos no autorizados. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indiquen las medidas que tomas para proteger los identificadores de acceso.

Tu explicación por escrito debe incluir:

Una descripción de cómo se protegen los identificadores de acceso de los usuarios contra accesos de lectura no autorizados
Un requisito que establezca que los identificadores de acceso de los usuarios nunca deben escribirse en los archivos de registro en formato de texto sin cifrar

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

3.1-13.c.ii Sube al menos una prueba (por ejemplo, una captura de pantalla de tu clave de identificador de acceso, pero no de su valor) en la que se muestre cómo implementas esta medida de protección en la práctica: proteges los identificadores de acceso almacenados en tu entorno de backend contra usos no autorizados. [Pregunta principal]

Si seleccionas la opción e en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-13.d. Has recibido esta pregunta porque en otra indicaste que almacenas la clave secreta de la aplicación en tu entorno backend. ¿Cómo la proteges para impedir usos no autorizados?

La clave secreta de la aplicación es un parámetro asociado con las tecnologías de Meta que se puede usar como identificador de acceso en ciertas llamadas a la API para cambiar la configuración de una aplicación, por ejemplo, para configurar la devolución de llamadas del webhook. Para encontrar la clave secreta de una aplicación, ve al panel de aplicaciones y, luego, a Configuración > Básica. Para obtener más información sobre la clave secreta de la aplicación, consulta nuestra documentación para desarrolladores sobre seguridad del inicio de sesión. Si quieres más detalles sobre nuestros requisitos para proteger las claves secretas de aplicaciones y los identificadores de acceso de usuario, incluida cualquier prueba que tal vez debas proporcionar, consulta Cómo proteger los identificadores de acceso y la clave secreta de la aplicación de Meta.

Exigimos que protejas la clave secreta de la aplicación de una de las dos siguientes maneras:

No exponiéndola nunca fuera de un entorno de servidor seguro, lo que significa que una llamada de red a una aplicación móvil o servidor no la devuelve nunca y que la clave secreta no se incrusta en ningún código que se distribuya a clientes móviles o nativos/de ordenador.
O bien configurando el tipo de autenticación "Aplicación nativa o para ordenador" de modo que las API de Meta dejen de confiar en las llamadas a la API que incluyen la clave secreta de la aplicación.

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

Selecciona todas las opciones que correspondan.

a. Almacenando estos datos en un repositorio de datos (p. ej., Vault de Hashicorp) con otro servicio de administración de claves (KMS)

b. Uso el cifrado de la aplicación (por ejemplo, la clave secreta de la aplicación nunca se escribe ni se descifra en bases de datos ni otro tipo de almacenamiento persistente)

c. Uso un enfoque diferente para proteger la clave secreta de las aplicaciones

d. Ninguna de las anteriores

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas la opción a, b o c en la pregunta 3.1-13.d, se mostrará lo siguiente:

3.1-13.d.i. En la pregunta anterior has indicado que proteges la clave secreta de la aplicación almacenada en el entorno de backend contra usos no autorizados. Sube una explicación por escrito (por ejemplo, un documento de políticas o procedimientos) que indique cómo implementas dicha protección.

Tu explicación por escrito debe incluir:

Una descripción de cómo se protege la clave secreta de la aplicación contra accesos de lectura no autorizados
Un requisito que establezca que la clave secreta de la aplicación nunca debe escribirse en los archivos de registro en formato de texto sin cifrar

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

La clave secreta de la aplicación es fundamental para la seguridad de las API de Meta. Exigimos que los desarrolladores protejan la clave secreta de la aplicación contra el acceso no autorizado. Más información sobre la clave secreta de la aplicación.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas la opción a, b o c en la pregunta 3.1-13.d, se mostrará lo siguiente:

3.1-13.d.ii. Sube al menos una prueba (p. ej., una captura de pantalla de tu administrador de claves secretas que contenga la clave secreta de la aplicación con el valor oculto) en la que se vea cómo aplicas esta protección en la práctica: proteges la clave secreta de la aplicación almacenada en el entorno de backend contra usos no autorizados.

Para ver un ejemplo de prueba aceptable, consulta nuestra guía de pruebas para esta pregunta.

3.1-15.a. ¿Requieres autenticación multifactor (MFA) para acceder a todas tus herramientas de colaboración y comunicación?

Requerimos MFA o una protección alternativa aceptable para todos los usuarios de tus herramientas de colaboración y comunicación (p. ej., correo electrónico, Slack), pero no exigimos que se aplique de ningún modo en concreto.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseñas y tenemos retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

3.1-15.b. ¿Requieres autenticación multifactor (MFA) cada vez que se accede a tu herramienta de repositorio de código (p. ej., GitHub) o a cualquier herramienta usada para realizar un seguimiento de los cambios que se hacen en la aplicación y en el código y la configuración del sistema?

Requerimos MFA o una protección alternativa aceptable para todos los usuarios de tu repositorio de código, pero no exigimos que se aplique de ningún modo en concreto.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseñas y tenemos retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-15.c. ¿Requieres autenticación multifactor (MFA) para acceder a todas tus herramientas de implementación de software, por ejemplo, Jenkins u otra herramienta de integración e implementación continuas (CI/CD)?

Requerimos MFA o una protección alternativa aceptable para todos los usuarios de tus herramientas de implementación de software, pero no exigimos que se aplique de ningún modo en concreto.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseñas y tenemos retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-15.d. ¿Requieres autenticación multifactor (MFA) para acceder a todas tus herramientas administrativas de backend, por ejemplo, un portal administrativo en la nube?

Requerimos MFA o una protección alternativa aceptable para todos los usuarios de tus herramientas administrativas en la nube o el servidor, pero no exigimos que se aplique de ningún modo en concreto.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseñas y tenemos retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-15.e. ¿Siempre se requiere autenticación multifactor para acceder a los servidores de forma remota, por ejemplo, mediante SSH?

Requerimos MFA o una protección alternativa aceptable cada vez que se accede a los servidores de forma remota, pero no exigimos que se aplique de ningún modo en concreto.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseñas y tenemos retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No aplica. No tenemos acceso remoto a los servidores.

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en alguna de las preguntas comprendidas entre la 3.1-15.a y la 3.1-15.e, se mostrará lo siguiente:

3.1-15.e.i. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se detallen los requisitos de la autenticación multifactor (MFA) u otras medidas para evitar la apropiación de cuentas (p. ej., la complejidad de la contraseña combinada con el retraso de la autenticación y los bloqueos automáticos de cuenta en caso de error en el inicio de sesión).

Tu explicación debería incluir tus requisitos de autenticación para todo acceso a cualquier herramienta de colaboración y comunicación, repositorios de código, herramientas de implementación de software, herramientas administrativas de backend y acceso remoto a servidores a través de una herramienta como SSH.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en alguna de las preguntas comprendidas entre la 3.1-15.a y la 3.1-15.e, se mostrará lo siguiente:

3.1-15.e.ii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: autenticación multifactor u otras medidas para evitar la apropiación de cuentas.

Tus pruebas deben mostrar cómo usas la autenticación para proteger el acceso a las herramientas de colaboración y comunicación, repositorios de código, herramientas de implementación de software, herramientas administrativas de backend y acceso remoto a servidores a través de una herramienta como SSH.

3.1-16. ¿Tienes un sistema para el mantenimiento de las cuentas para administrar los accesos que se otorgan, revocan y revisan entre las personas de tu organización?

Debes disponer de un sistema para el mantenimiento de cuentas y revisar periódicamente los permisos de acceso (una vez cada 12 meses como mínimo). También es necesario que cuentes con un proceso para revocar el acceso rápidamente si:

Ya no se requiere el acceso
El acceso ya no se usa
Una persona abandona la organización

[ ] Sí

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-16, se mostrará lo siguiente:

3.1-16.a. ¿Cuál de los siguientes procesos implementas como parte de tu sistema para el mantenimiento de las cuentas?

Selecciona todas las opciones que correspondan.

a. Revisamos todos los accesos otorgados al menos una vez cada 12 meses y revocamos los que ya no se requieren.

b. Revisamos todos los accesos otorgados al menos una vez cada 12 meses y revocamos los que ya no se usan.

c. Revocamos inmediatamente todos los accesos otorgados cuando una persona abandona la organización.

d. Ninguna de las opciones anteriores

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas alguna de las opciones comprendidas entre la a y la c en la pregunta 3.1-16.a, se mostrará lo siguiente:

3.1-16.a.i. Sube una explicación por escrito (p. ej., una política o un documento de procedimientos) en la que se indique lo siguiente: requisitos del sistema para el mantenimiento de cuentas.

Tu explicación por escrito debe incluir los requisitos para:

Revocar los accesos que ya no se necesitan
Revocar los accesos que ya no se usan
Cómo revocas el acceso rápidamente cuando una persona deja la organización

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas alguna de las opciones comprendidas entre la a y la c en la pregunta 3.1-16.a, se mostrará lo siguiente:

3.1-16.a.ii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla) en la que se vea cómo aplicas esta protección en la práctica: implementas un sistema para el mantenimiento de las cuentas.

Las pruebas deben aportar lo siguiente:

Revocar los accesos que ya no se necesitan
Revocar los accesos que ya no se usan
Cómo revocas el acceso rápidamente cuando una persona deja la organización

Si seleccionas “Sí” en la pregunta 3.1-8, se mostrará lo siguiente:

3.1-17.a. En la pregunta anterior has indicado que almacenas los Datos de la plataforma en tu entorno de backend. En relación con el software que utilizas para tratar los Datos de la plataforma en el entorno de backend, ¿haces todas estas acciones? Cómo cuentas un método definido y reproducible de identificar parches en software de terceros que resuelvan vulnerabilidades de seguridad. Priorizar los parches disponibles según el riesgo (por ejemplo, en función de la gravedad de CVSS). Aplicar parches de forma continua.

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No es necesario, ya que mi organización usa una solución de backend sin código.

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-17.a, se mostrará lo siguiente:

3.1-17.a.i. En la pregunta anterior has respondido que dispones de procesos para mantener tu código y entorno de backend actualizados. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique cómo mantienes tu código y entorno de backend actualizados.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-17.a, se mostrará lo siguiente:

3.1-17.a.ii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: mantienes tu código y entorno de backend actualizados.

3.1-17.b. En relación con el software de terceros que usas para tratar los Datos de la plataforma en una aplicación para móviles, como una aplicación de Android o iPhone, ¿haces todo lo siguiente?: Cómo cuentas un método definido y reproducible de identificar parches en software de terceros que resuelvan vulnerabilidades de seguridad. Priorizar los parches disponibles según el riesgo (por ejemplo, en función de la gravedad de CVSS). Aplicar parches de forma continua.

[ ] Sí

[ ] No es necesario, ya que mi organización no trata los Datos de la plataforma en una aplicación para móviles

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-17.b, se mostrará lo siguiente:

3.1-17.b.i. En la pregunta anterior has respondido que mantienes actualizado el software de terceros en tu aplicación para móviles. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique cómo mantienes actualizado el código de terceros en tu aplicación para móviles.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-17.b, se mostrará lo siguiente:

3.1-17.b.ii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: mantienes actualizado el código de terceros de tu aplicación para móviles.

3.1-17.c. En relación con sistemas operativos, software antivirus, navegadores en portátiles y otros sistemas y aplicaciones que usan las personas de tu organización para desarrollar y hacer funcionar tu aplicación, ¿haces todo lo siguiente?: Cómo cuentas un método definido y reproducible de identificar parches en software de terceros que resuelvan vulnerabilidades de seguridad. Priorizar los parches disponibles según el riesgo (por ejemplo, en función de la gravedad de CVSS). Aplicar parches de forma continua.

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-17.c, se mostrará lo siguiente:

3.1-17.c.i. En la pregunta anterior has indicado que mantienes actualizado el software de terceros en los sistemas y aplicaciones que se utilizan para desarrollar tu aplicación y hacer que funcione. Sube una explicación por escrito (p. ej., una política o documento de procedimientos) en la que se indique cómo mantienes actualizado el software de terceros y antivirus.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-17.c, se mostrará lo siguiente:

3.1-17.c.ii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: mantienes actualizado el software de terceros y antivirus. [Pregunta principal]

3.1-21. ¿Cuentas con un modo disponible públicamente para que las personas puedan informarte de vulnerabilidades de seguridad en esta aplicación?

[ ] Sí

[ ] No

Si seleccionas “No” en la pregunta 3.1-21, se mostrará lo siguiente:

3.1-21.a. ¿Hay algún correo electrónico, número de teléfono o formulario de contacto que las personas puedan usar para ponerse en contacto contigo y que se supervise regularmente?

[ ] Sí

[ ] No

Si seleccionas alguna de las opciones comprendidas entre la b y la f en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-22. En la pregunta anterior has indicado que almacenas datos de la plataforma en tu entorno de backend. ¿Recoges registros de auditoría de administración sobre este entorno de backend?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22, se mostrará lo siguiente:

3.1-22.a. Sube una explicación por escrito (por ejemplo, una política o un documento de procedimientos) en la que se indique cómo recoges registros de auditoría de administración sobre el entorno de backend donde se almacenan Datos de la plataforma.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu forma de evaluación específica para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22, se mostrará lo siguiente:

3.1-22.a.i. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: recoges registros de auditoría de administración sobre el entorno de backend donde se almacenan los datos de la plataforma.

Si seleccionas alguna de las opciones comprendidas entre la b y la f en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-22.b. En la pregunta anterior has indicado que almacenas Datos de la plataforma en tu entorno de backend. ¿Recoges registros de auditoría de eventos de la aplicación sobre este entorno de backend? Los eventos de la aplicación pueden ser los siguientes:

Errores de validación de entrada y salida
Errores de autenticación y control de acceso
Errores de la aplicación y eventos del sistema

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-22.b, se mostrará lo siguiente:

3.1-22.b.i. ¿Los registros de auditoría de eventos de la aplicación del entorno de backend donde se almacenan datos de la plataforma incluyen todos los siguientes campos?

Identificador de usuario de Meta (cuando se comparte contigo)
Tipo de evento
Fecha y hora
Indicador de éxito o fallo

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22.b, se mostrará lo siguiente:

3.1-22.b.ii. Sube una explicación por escrito (p. ej., una política o un documento de procedimientos) en la que se indique cómo recoges registros de auditoría de eventos de la aplicación para tu entorno de backend donde se almacenan los Datos de la plataforma.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22.b, se mostrará lo siguiente:

3.1-22.b.iii. Sube al menos una prueba (p. ej., la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se vea cómo aplicas esta protección en la práctica: recoges registros de auditoría de eventos de la aplicación para tu entorno de backend donde se almacenan los Datos de la plataforma.

Si seleccionas alguna de las opciones comprendidas entre la b y la f en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-22.c. En una pregunta anterior has respondido que almacenas datos de la plataforma en tu entorno de backend. ¿Aplicas algún procedimiento o política para evitar accesos no autorizados y manipulaciones con registros de auditoría en este entorno de backend?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No

3.1-22.d. En una pregunta anterior has respondido que almacenas datos de la plataforma en tu entorno de backend. En este entorno, ¿conservas los registros de auditoría durante al menos 30 días?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí [ ] No

Si seleccionas alguna de las opciones comprendidas entre la b y la f en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-22.e. En una pregunta anterior has respondido que almacenas los datos de la plataforma en tu entorno de backend. ¿Usas una solución automatizada para revisar los revisar los registros de auditoría de eventos de la aplicación a fin de detectar posibles indicadores de eventos o incidentes de seguridad cotidianos que pueden suponer un riesgo o un peligro (p. ej., intentos de saltarse los controles de acceso o de aprovechar vulnerabilidades de software)?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-22.e, se mostrará lo siguiente: 3.1-22.e.i. ¿Revisas al menos cada 7 días los registros de auditoría de eventos de la aplicación del entorno de backend donde se almacenan los datos de la plataforma?

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22.e, se mostrará lo siguiente:

3.1-22.e.ii. Sube una explicación por escrito (por ejemplo, un documento de políticas o procedimientos) en la que se muestre cómo revisas registros de auditoría de eventos de la aplicación del entorno de backend donde se almacenan los Datos de la plataforma al menos cada 7 días.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22.e, se mostrará lo siguiente:

3.1-22.e.iii. Sube al menos una prueba (por ejemplo, la configuración de una herramienta o una captura de pantalla de tu aplicación) en la que se muestre cómo implementas esta medida de protección en la práctica: revisas los registros de auditoría de eventos de la aplicación del entorno de backend donde se almacenan los Datos de la plataforma al menos cada 7 días.

Si seleccionas alguna de las opciones comprendidas entre la b y la f en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-22.f. Has indicado en la pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. ¿Revisas los registros de auditoría de eventos de la aplicación para detectar posibles indicadores de eventos o incidentes de seguridad cotidianos que pueden suponer un riesgo o un peligro (por ejemplo, intentos de saltarse los controles de acceso o de aprovechar vulnerabilidades de software)?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

[ ] Sí

[ ] No

Si seleccionas “Sí” en la pregunta 3.1-22.f, se mostrará lo siguiente:

3.1-22.f.i. ¿Revisas al menos cada 7 días los registros de auditoría de administradores del entorno de backend donde se almacenan los datos de la plataforma?

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22.f, se mostrará lo siguiente:

3.1-22.f.ii Sube una explicación por escrito (p. ej., una política o un documento de procedimientos) en el que se indique cómo revisas al menos cada 7 días los registros de auditoría de administradores del entorno de backend donde se almacenan los datos de la plataforma para comprobar si existen indicadores de incidentes o eventos de seguridad cotidianos.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

Si seleccionas alguna de las opciones comprendidas entre la b y la f en la pregunta 3.1-8.a, se mostrará lo siguiente:

3.1-22.g. En una pregunta anterior has respondido que almacenas datos de la plataforma en tu entorno de backend. Si detectas un evento o incidente de seguridad cotidiano que supone un riesgo o puede dañar los registros de auditoría de este entorno de backend, ¿cuentas con un proceso para investigar más exhaustivamente?

"Entorno de configuración interna" hace referencia a un entorno en la nube o del servidor al que tus clientes pueden acceder de forma remota, como un sitio web o una API web.

Recordatorio: Si se produce un evento o incidente de seguridad, nuestras políticas exigen que nos informes de ello de inmediato.

[ ] Sí

[ ] No

DESCARGO DE RESPONSABILIDAD: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas “Sí” en la pregunta 3.1-22.g, se mostrará lo siguiente:

3.1-22.g.i. Sube una explicación por escrito (p. ej., una política o un documento de procedimientos) en la que se indique cómo investigas los eventos o incidentes de seguridad cotidianos que se producen en el entorno de backend donde se almacenan datos de la plataforma y que pueden suponer un riesgo o peligro para tus registros de auditoría.

Marca o haz un círculo en la parte de la política en la que se indican esas condiciones.

3.1-23. ¿Dispones de procesos de seguridad para las personas que tienen acceso a Datos de la plataforma?

Dichos procesos pueden incluir uno o más de los siguientes tipos:

Controles de antecedentes antes de obtener acceso a los Datos de la plataforma
Firma de acuerdos de confidencialidad antes de obtener acceso a los Datos de la plataforma. Formación para miembros del personal nuevos sobre políticas y procedimientos de seguridad de la información.
Formación periódica y continua en materia de seguridad (por ejemplo, anualmente)
Formación relacionada con cargos que tienen acceso a los Datos de la plataforma
Devolución de recursos (por ejemplo, un portátil o teléfono móvil) tras la marcha de la organización

[ ] Sí

[ ] No