Preguntas de la evaluación de protección de datos

A continuación puedes encontrar todas las preguntas para la evaluación de protección de datos. Si tu evaluación comienza con 3.1, la recibiste el 15 de febrero de 2024 o en una fecha posterior. Puedes encontrar las preguntas enumeradas a continuación.

Si tu evaluación no está numerada, la recibiste antes del 15 de febrero de 2024. Puedes encontrar estas preguntas anteriores aquí.

Las siguientes preguntas forman parte de la evaluación de protección de datos actualizada de 2024. Notarás que los números de preguntas comienzan con el número de versión correspondiente; para la versión 3.1, las preguntas tendrán la numeración 3.1-1, 3.1-2, etc. Actualizamos continuamente nuestras preguntas para ser coherentes con las normas de la industria, y los desarrolladores pueden recibir preguntas diferentes en función de cuándo recibieron la evaluación.

Instrucciones de uso:

Recomendamos que los administradores de apps las repasen con sus equipos internos como una manera de asegurarse de que las apps reúnen los requisitos de las Condiciones de la plataforma. Se notificará a todos los administradores de la aplicación si se requiere una evaluación de protección de datos para cada aplicación.
Ten en cuenta que sólo se aceptan solicitudes en inglés. Siéntete libre de utilizar cualquier herramienta de traducción necesaria para enviar tu evaluación en inglés.
Se muestran aquí estas preguntas solo por tu comodidad. Las preguntas requeridas en una determinada app variarán en función de los datos a los que tenga acceso cada app. Si una app tiene acceso a determinados tipos de datos, también será necesario que proporciones evidencia que justifique tus respuestas.
Si en estos momentos te encuentras realizando la evaluación de protección de datos, o bien respondiendo las preguntas de seguimiento de nuestros revisores, continúa con los procesos, pero ten en cuenta que las preguntas que estás respondiendo pueden ser diferentes de las actualizadas que figuran aquí.

Uso de datos

3.1-1. ¿Usa la app los datos de la plataforma para perjudicar a determinadas personas (es decir, algunas personas reciben algo que otras no) por cuestiones de raza, etnia, color, nacionalidad, religión, edad, sexo, orientación sexual, identidad de género, situación familiar, discapacidad o condición médica o genética?

Esta pregunta no se aplica al uso del género y la edad en las apps de citas, el género para consideraciones lingüísticas, la edad para restringir contenido para adultos ni otros escenarios similares en que los datos de la plataforma se usan de una manera relevante para mejorar la experiencia del usuario en la app. Si tu app está vinculada a alguno de estos usos, tu respuesta es "no", puesto que no usas la información para causar un perjuicio.

[ ] Sí
[ ] No

Si tu respuesta es "Sí", se te harán las siguientes preguntas adicionales:

3.1-1.a.A. ¿Qué datos de la plataforma usa la app para perjudicar a determinadas personas por cuestiones de raza, etnia, color, nacionalidad, religión, edad, sexo, orientación sexual, identidad de género, situación familiar, discapacidad o condición médica o genética?

3.1-1. a.B. ¿De qué manera la app usa los datos de la plataforma para perjudicar a determinadas personas por cuestiones de raza, etnia, color, nacionalidad, religión, edad, sexo, orientación sexual, identidad de género, situación familiar, discapacidad o condición médica o genética?

3.1-1.a.C. ¿Cuándo comenzó la app a usar los datos de la plataforma de esta manera?

3.1-2. ¿Usa la app los datos de la plataforma para tomar decisiones sobre oportunidades de vivienda, empleo, seguro, educación, créditos, prestaciones gubernamentales o condición de inmigrante?

Si tu respuesta es "Sí", se te harán las siguientes preguntas adicionales:

3.1-2. a.A. ¿Qué datos de la plataforma usa la app para tomar decisiones sobre oportunidades de vivienda, empleo, seguro, educación, créditos, prestaciones gubernamentales o condición de inmigrante?

3.1-2. a.B. ¿De qué manera usa la app los datos de la plataforma para tomar decisiones sobre oportunidades de vivienda, empleo, seguro, educación, créditos, prestaciones gubernamentales o condición de inmigrante?

3.1-2. a.C. ¿Cuándo comenzó la app a usar los datos de la plataforma de esta manera?

3.1-3. ¿Usa la app los datos de la plataforma para actividades relacionadas con la vigilancia? La vigilancia incluye el tratamiento de los datos de la plataforma acerca de personas, grupos o eventos con fines de seguridad nacional u orden público.

Si tu respuesta es "sí", se te harán las siguientes preguntas:

3.1-3. a.A. ¿Qué datos de la plataforma usa la aplicación para actividades relacionadas con la vigilancia?

3.1-3. a.B. ¿Cómo usa la app los datos de la plataforma para actividades relacionadas con la vigilancia?

3.1-3. a.C. ¿Cuándo comenzó la app a usar los datos de la plataforma con este fin?

Datos compartidos

3.1-4. Algunas de las siguientes preguntas se relacionan con proveedores de servicios y proveedores de subservicios. Un proveedor de servicios es una persona o un negocio que te brinda servicios que te ayudan a usar la plataforma o los datos de la plataforma. Un proveedor de subservicios es uno que proporciona servicios relacionados con los datos de la plataforma a otro proveedor de servicios.

Google Cloud y Amazon Web Services (AWS) son ejemplos habituales de grandes proveedores de servicios, pero es posible que también trabajes con empresas más pequeñas para procesar los datos de la plataforma o usarlos como una empresa de desarrollo web local en tu país o región.

¿Cumples con alguno de los siguientes puntos?

Selecciona todas las opciones que correspondan.

a. No comparto datos de la plataforma que se reciben a través de esta app.
b. Vendes datos de la plataforma a otra persona o negocio, o les concedes licencias, o facilitas o ayudas a otros a hacerlo.
c. Compras datos de la plataforma a otra persona o negocio, o les concedes licencias, o facilitas o ayudas a otros a hacerlo.
d. Compartes datos de la plataforma para permitir que una persona o un negocio te proporcionen un servicio (un proveedor de servicios).
e. Compartes datos de la plataforma para permitir que otra persona o negocio (que no pertenezca al tuyo) acceda a la plataforma o a los datos de la plataforma, y los use.
f. Compartes datos de la plataforma por indicación expresa de un usuario de esta app.
g. Compartes datos de la plataforma para otros fines no mencionados aquí. Explica tu respuesta.

Si seleccionas la opción b en la pregunta 3.1-4, se te mostrará lo siguiente:

3.1-4.a.A. ¿Qué tipos de datos de la plataforma vendes o entregas bajo licencia?

3.1-4.a.B. ¿Qué permisos, funciones, características u otros canales usa la app para acceder a esos datos de la plataforma y recopilarlos?

3.1-4.a.C. Enumera todas las entidades, empresas y terceros a quienes les vendes o entregas bajo licencia los datos de la plataforma de la app y explica en cada caso el motivo por el que los compartes.

3.1-4.a.D. ¿Cuándo comenzaste a vender o entregar bajo licencia los datos de la plataforma?

Si seleccionas la opción d en la pregunta 3.1-4, se te mostrará lo siguiente:

3.1-4.b. Indicaste más arriba que compartes los datos de la plataforma con proveedores de servicios. Marca las siguientes casillas para indicar con qué proveedores de servicios compartes los datos de la plataforma. En las preguntas que figuran a continuación, se te solicitará que describas con quién compartes los datos de la plataforma y que expliques cómo lo haces y por qué.

Nota: No enumeres ni productos ni proveedores de servicios de Meta.

Selecciona todas las opciones que correspondan. Si compartes datos de la plataforma con más de un proveedor de servicios de los que figuran aquí y con otros que no están en el listado, selecciona los que aplican y "Otros". Por ejemplo, es posible seleccionar "Apple", "Google" y "Otros" para indicar todos los proveedores de servicios.

a. Google (p. ej., Play Store, Firebase, Cloud, AdMob, Analytics)
b. Amazon (p. ej., Amazon Web Services)
c. Salesforce (p. ej., Heroku, Marketing Cloud)
d. Apple (ex. App Store)
e. Microsoft (p. ej., App Center, Azure, Playfab)
f. Github
g. AppLovin (p. ej., Adjust)
h. Appsflyer
i. Stripe
j. Twilio (p. ej., Segment, SendGrid)
k. Otros (se te solicitará que cargues un listado)

Si seleccionas la opción k en la pregunta 3.1-4.b, se te mostrará lo siguiente:

3.1-4.b.i. Carga un archivo CSV o Excel con un listado de los proveedores de servicios con los que compartes los datos de la plataforma, además de los que indicaste en la lista anterior. Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos, con un límite de 2 GB por archivo. Aceptamos archivos con extensión .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

Si seleccionas la opción d en la pregunta 3.1-4 y la opción k en la pregunta 3-1-4.b, se te mostrará lo siguiente:

3.1-4.c. ¿Cuentas con algún acuerdo por escrito con los proveedores de servicios con los que compartes datos de la plataforma en el que se establezca que estos proveedores o de sus proveedores de subservicios (de existir) están obligados a usar los datos de la plataforma solo como tú lo indiques y únicamente para brindar el servicio que solicitaste, es decir, ni para fines propios ni para beneficio de sus clientes?

Los acuerdos escritos pueden incluir condiciones del servicio, un acuerdo estándar fijo o un contrato firmado. Por ejemplo, si usas Google Cloud como proveedor de servicios, el acuerdo escrito son las Condiciones de servicio que aceptas.

[ ] Sí [ ] No

Si seleccionas "Sí", se mostrará la siguiente información:

3.1-4.c.i. Por favor, marque las casillas a continuación para indicar el tipo de lenguaje contenido en tus contratos de datos escritos con proveedores de servicios. Selecciona todas las opciones que correspondan.

a. Lenguaje que requiere que los proveedores de servicios solo usen los datos de la plataforma para prestar el servicio que les solicitaste.

b. Lenguaje que requiere que los proveedores de servicios solo usen los datos de la plataforma según lo que tú indiques.

c. Lenguaje que prohíbe a los proveedores de servicios compartir datos de la plataforma con terceros a menos que tú lo indiques.

d. Lenguaje que prohíbe a los proveedores de servicios procesar los datos de la plataforma para sus propios fines o para terceros.

e. Lenguaje que requiere que los proveedores de servicios eliminen los datos de la plataforma que recibieron de tu parte cuando dejes de usar su servicio.

3.1-4.c.iv. ¿Estás al tanto de alguna ocasión en que tus proveedores de servicios o cualquiera de sus subproveedores (si corresponde) hayan actuado de forma incompatible con las Condiciones de la plataforma de Meta, por ejemplo, que hayan vendido los datos de la plataforma o no hayan eliminado estos datos después de que dejaste de usar sus servicios?

[ ] Sí [ ] No

3.1-4.c.v. Si dejas de usar un proveedor o subproveedor de servicios, ¿los acuerdos que tienes con ellos (como sus condiciones del servicio) especifican cómo y cuándo deben eliminar los datos que recibieron de ti?

[ ] Sí [ ] No

Si seleccionas "No" en la pregunta 3.1-4. c.v, se te mostrará lo siguiente:

3.1-4.c.vi. Si dejas de usar los servicios o subservicios de un proveedor, ¿cómo te aseguras de que eliminen los datos de la plataforma que les proporcionaste?

Si seleccionas la opción e en la pregunta 3.1-4, se mostrará lo siguiente:

3.1-4.d. Las siguientes preguntas se refieren a los proveedores de tecnología, es decir, desarrolladores de apps cuyo objetivo principal es administrar las integraciones de la plataforma en nombre de los clientes para que puedan tener acceso a sus datos en los productos de Meta y administrarlos. Entre los ejemplos de proveedores de tecnología, se encuentran las agencias y los proveedores de SaaS (software como servicio).

Definición de proveedor de tecnología: una persona o una empresa a la que se le otorgó acceso a las API de Meta con el fin de crear, mantener o eliminar integraciones en nombre de otras personas o empresas. Se incluyen a las personas y a las empresas que crean una única integración en nombre de un solo cliente o de varios.

Indicaste anteriormente que esta app les permite a las personas o a las empresas (clientes) acceder a los datos de la plataforma y usarlos. Esto significa que eres un proveedor de tecnología.

¿Procesas los datos de la plataforma que obtienes a través de la app solo en nombre de tus clientes y bajo su dirección? [ ] Sí [ ] No

Si seleccionas "No" en la pregunta 3.1-4.d, se te mostrará lo siguiente:

3.1-4.d.i.A. Además de procesar los datos en nombre de tu cliente y bajo su dirección, ¿para quién más procesas los datos de la plataforma?

3.1-4.d.i.B. ¿Qué tipo de datos de la plataforma procesas para esta persona o este negocio?

3.1-4.d.i.C. ¿Por qué procesas datos de la plataforma para esta persona o este negocio?

3.1-4.d.i.D. ¿Cuándo comenzaste a procesar estos datos de la plataforma?

3.1-4.d.i.E. ¿Cómo procesas los datos de la plataforma?

3.1-4.e. ¿Mantienes separados los datos de la plataforma de cada uno de tus clientes (ya sea de forma lógica, como en tablas diferentes, o físicamente) de los datos de tus otros clientes y de los que conservas para tus propios fines?

[ ] Sí [ ] No

Si seleccionas "No" en la pregunta 3.1-4.e, se te mostrará lo siguiente:

3.1-4.f. Mencionaste que compartes los datos de la plataforma en situaciones distintas de las que se especificaron en las preguntas anteriores. Describe qué datos compartes en esas situaciones.

¿Dónde se guardan?
¿Cómo guardas y proteges los datos?
¿Quién tiene acceso a estos?
¿Cómo controlas el acceso a los datos?

Si seleccionas "Otra. Explica tu respuesta", se mostrará la siguiente información:

Mencionaste que compartes los datos de la plataforma en situaciones distintas de las que se especificaron en las preguntas anteriores. Describe qué datos compartes en esas situaciones.

Asegúrate de incluir las respuestas a las siguientes preguntas:

Además de usuarios individuales de esta app o sitio web, ¿con quién más compartes estos datos?
¿Cómo se comparten los datos?
¿Cuándo comenzaste a compartir los datos con las entidades que mencionaste?
¿Se siguen compartiendo los datos?

3.1-4.f.i. En relación con los datos de la plataforma que se comparten en otras situaciones, ¿cuentas con un acuerdo escrito con los destinatarios de los datos de la plataforma que les prohíba usarlos de alguna manera que infrinja las Condiciones de la plataforma y las Políticas para desarrolladores de Meta (u otras condiciones que se refieran al uso de los datos de la plataforma)?

Algunos ejemplos de acuerdos escritos son las condiciones del servicio, los acuerdos estándar no negociados y los contratos firmados.

[ ] Sí [ ] No

3.1-4.g. Según tus conocimientos, ¿alguno de estos destinatarios de datos de la plataforma incumplió los términos de la plataforma de Meta? Por ejemplo, mediante la venta, la concesión de licencias o la compra de datos de la plataforma.

[ ] Sí [ ] No

Si seleccionas "Sí" en la pregunta 3.1-4.g, se te mostrará lo siguiente:

3.1-4.g.i. Indicaste anteriormente que los destinatarios de datos de la plataforma incumplieron los términos de la plataforma de Meta. Proporciona información detallada.

Si seleccionas la opción f en la pregunta 3.1-4, se te mostrará lo siguiente:

3.1-4.i.A. Mencionaste anteriormente que pones a disposición de otra persona o negocio los datos de la plataforma que obtienes a través de la app cuando los usuarios te indican que compartas dichos datos.

Describe de qué manera los usuarios te indican que compartas datos de la plataforma con otra persona o negocio.

3.1-4. i.B. Carga capturas de pantalla del proceso de consentimiento aplicable a los datos compartidos. Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos, con un límite de 2 GB por archivo. Aceptamos archivos con extensión .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

Eliminación de datos

3.1-5. ¿Eliminarás los datos de la plataforma en TODAS las siguientes situaciones, con excepción de aquellas en las que nuestras Condiciones permitan conservarlos?

a. Cuando retener los datos de la plataforma ya no es necesario para un propósito comercial legítimo,

b. Cuando lo solicite un usuario,

c. Cuando un usuario ya no tiene una cuenta con tu aplicación (solo cuando se ofrecen cuentas de usuario),

d. Cuando lo solicite Meta,

e. Cuando así lo requiera la ley o la regulación aplicable.

En relación con esta pregunta, los "datos de la plataforma" no incluyen los que figuran en la Condición de la plataforma 3.e "Excepciones". Consulta la Condición de la plataforma 3d "Retención, eliminación y accesibilidad de los Datos de la plataforma" para comprender nuestros requisitos de eliminación. Ten presente que, en determinadas situaciones, no se requiere la eliminación de los datos de la plataforma si dichos datos se consolidaron, se ocultaron o se anonimizaron, por lo que ya no es posible asociarlos a un usuario, navegador o dispositivo en particular. Se permite mantener datos consolidados o anónimos con fines comerciales vinculados a la experiencia de los usuarios, como la facturación.

[ ] Sí
[ ] No

Si seleccionas "No" en la pregunta 3.1-5, se te mostrará lo siguiente:

3.1-5.a. ¿En cuáles de las siguientes situaciones NO eliminarías los datos de la plataforma? ¿Por qué?

3.1-6. Si eliminas datos de la plataforma en las situaciones mencionadas con anterioridad, ¿tomas medidas para eliminar los datos de la plataforma con la mayor celeridad posible?

Es razonable pensar que dependerá de los sistemas y de los datos, pero no se debería superar un plazo de 120 días. Esta pregunta solo se refiere a datos de la plataforma y no a los datos que recopila y almacena la app de manera independiente.

Sin embargo, no se aplica a los datos de la plataforma que estás obligado a conservar como consecuencia de una ley o regulación.

[ ] Sí
[ ] No

¿En qué circunstancias conservarías los datos de la plataforma por más de 120 días? Nota: No se aplica a los datos de la plataforma que estás obligado a conservar como consecuencia de una ley o regulación.

Si seleccionas "No" en la pregunta 3.1-6, se te mostrará lo siguiente:

3.1-6.a. ¿En qué circunstancias conservarías los datos de la plataforma por más de 120 días?

Nota: No se aplica a los datos de la plataforma que estás obligado a conservar como consecuencia de una ley o regulación.

Si seleccionas "Sí" en la pregunta 3.1-5, se te mostrará lo siguiente:

3.1-5.b. Mencionaste anteriormente que eliminas datos de la plataforma cuando ya no son necesarios para un propósito comercial legítimo. Describe cómo determinas cuándo los datos de la plataforma ya no son necesarios para un propósito comercial legítimo.

En esta pregunta, el concepto de "datos de la plataforma" no incluye los datos que se indican en la sección 3(e) de las Condiciones de la plataforma.

3.1-5.c. Mencionaste anteriormente que eliminas datos de la plataforma cuando un usuario así lo solicita. Describe la manera en que los usuarios pueden solicitar que se eliminen sus datos. De ser necesario, incluye capturas de pantalla.

Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos, con un límite de 2 GB por archivo. Aceptamos archivos con extensión .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

En esta pregunta, el concepto de "datos de la plataforma" no incluye los datos que se indican en la sección 3(e) de las Condiciones de la plataforma.

Seguridad de los datos

3.1-A. Según la Condición de la plataforma 6.a.i., Meta requiere que mantengas medidas de seguridad administrativas, físicas y técnicas diseñadas para prevenir que se acceda a los datos de la plataforma sin autorización o que se los destruya, pierda, modifique, divulgue, distribuya o ponga en una situación de peligro.

Consulta nuestra información general sobre Prácticas recomendadas de seguridad de los datos y Evaluación de protección de datos personales y las preguntas frecuentes para obtener más información.

Asegúrate de consultar con las personas adecuadas antes de responder a la siguiente serie de preguntas. Esto debería incluir al responsable de seguridad de la información, una persona con un papel equivalente en tu organización, o una firma de ciberseguridad calificada (por ejemplo, una empresa que tenga al menos 5 años de experiencia en llevar a cabo auditorías ISO 27001) para asegurar la exactitud de las respuestas proporcionadas.

Marca la casilla "Acepto" para continuar con la evaluación.

[ ] Acepto

3.1-B. Te recordamos que "datos de la plataforma" se define en nuestro Glosario de Condiciones de la plataforma como "cualquier información, dato u otro contenido que obtengas de nosotros, a través de la Plataforma o mediante tu app, ya sea de forma directa o indirecta, en la fecha en la que aceptas estas Condiciones, o antes o después de hacerlo, incluidos datos anónimos, consolidados o derivados de ellos. Los datos de la plataforma incluyen tokens de apps, tokens de páginas, tokens de acceso, claves secretas de la app y tokens de usuarios".

Para evitar dudas, se incluyen datos como el identificador de usuario, la dirección de correo electrónico y todos aquellos que obtienes de las llamadas a la API en graph.facebook.com.

Para responder las siguientes preguntas, es necesario que comprendas de forma completa cómo se transmiten, almacenan y procesan en tu software y tus sistemas los datos de la plataforma de Meta vinculados a esta app.

Esta pregunta se refiere a todos los permisos, funciones y características de esta app. Para ver los permisos, las funciones y las características de esta app, visita el panel de apps de la app. Puedes acceder al panel de apps seleccionando la app en la página "Mis apps".

Selecciona "Acepto" para continuar.

[ ] Acepto

3.1-7. Si dispones de un certificado de seguridad de la información que cumple con los siguientes criterios, puedes enviarlo como evidencia de que implementaste todas las medidas de seguridad administrativas, físicas y técnicas que resultan necesarias para proteger los datos de la plataforma:

El tipo de certificación debe ser SOC 2, ISO 27001, ISO 27018 o un tipo equivalente.
Un auditor independiente debe haber emitido la certificación a nombre de tu organización (y no a nombre de un tercero).
El certificado debe ser válido. Si se trata de un certificado SOC 2, se debe haber emitido en el último año. Si se trata de un certificado ISO, se debe haber emitido en los últimos tres años.
El alcance de la auditoría debe comprender de forma completa los sistemas que usas para procesar los datos de la plataforma de Meta.

¿Cuentas con un certificado de seguridad que cumple con estos criterios?

[ ] Sí [ ] No

Si seleccionas "Sí" en la pregunta 3.1-7, se te mostrará lo siguiente:

3.1-7.a. ¿De qué certificados de seguridad de los datos dispones? Selecciona todas las opciones que correspondan. * [ ] Informe SOC2 Tipo 2 * [ ] Certificado ISO 27001 * [ ] certificado ISO 27018 * [ ] Otro certificado equivalente * Si seleccionas "Otro certificado equivalente", se te mostrará lo siguiente: * ¿Cuál es el nombre de este certificado de seguridad?

3.1-7.a.i.B. Carga una copia del certificado de seguridad. Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos, con un límite de 2 GB por archivo. Aceptamos archivos con extensión .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

Si seleccionas la opción d en la pregunta 3.1-7.a, se te mostrará lo siguiente:

3.1-7.a.i.A. ¿Cuál es el nombre del certificado de seguridad?

3.1-8. ¿Almacenas datos de la plataforma en tu entorno de backend (por ejemplo, bases de datos, agrupaciones de almacenamiento de objetos o almacenamiento de bloques en la nube u otro tipo de entorno hospedado)?

Selecciona "Sí" si escribes datos de la plataforma en cualquier almacenamiento persistente en una nube de backend o un entorno de servidor que retiene datos después de que se desconecte la energía del dispositivo, como en un disco, archivos de registro o bases de datos accesibles a través de un sitio web o API.

Selecciona "No" si cumples con alguno de los siguientes puntos:

Procesas exclusivamente datos de la plataforma en clientes que posean los usuarios finales de tu app y nunca transmites datos de la plataforma a cualquier entorno de backend.
Procesas datos de la plataforma en un entorno de backend, pero ninguno de esos datos se escribe en un almacenamiento persistente.
[ ] Sí
[ ] No

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-8.a. En la pregunta anterior, indicaste que almacenas los datos de la plataforma en tu entorno de backend. ¿Cuál de los siguientes tipos de datos de la plataforma almacenas en tu entorno de backend? Selecciona todas las opciones que correspondan.

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.
"Almacenar" se refiere a escribir datos de la plataforma en cualquier entorno que conserve datos después de que se desconecta la energía (por ejemplo, archivos de registro, bases de datos de objetos o relacionales, o discos).

a. Identificador de usuario de Meta o identificador de usuario cifrado

b. Dirección de correo electrónico

c. Foto de perfil

d. Token de acceso del usuario a la API de Meta

e. Clave secreta de la app

f. Otros datos de la plataforma no mencionados arriba

3.1-8.b. ¿Cuál de estas soluciones de alojamiento usas para procesar los datos de la plataforma en tu entorno backend?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

Selecciona todas las opciones que correspondan.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba / Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Un centro de datos propiedad de otra organización cuyos servidores pertenecen a mi organización

k. Centro de datos y servidores propiedad de mi organización

l. Otro

Si selecciona la opción l en la pregunta 3.1-8.b, se te mostrará lo siguiente:

3.1-8.b.i. En la pregunta anterior, seleccione "Otro" para indicar que usas una opción de alojamiento que no aparece en la lista. Describe el enfoque de alojamiento de tu entorno de backend.

Si seleccionas la opción b, c, d, e o f en la pregunta 3.1-8.a y la opción c, h, i, j, k o l en la pregunta 3.1-8.b, se te mostrará lo siguiente:

3.1-9.a. ¿Aplicas el cifrado en reposo para todos los datos de la plataforma que almacenas en tu entorno de backend?

El cifrado en reposo protege los datos de la plataforma, ya que solicita una clave de descifrado para descifrarlos. Se trata de una medida adicional de seguridad contra accesos de lectura no autorizados. Si almacenas los datos de la plataforma en un entorno de backend, exigimos que protejas esos datos con cifrado en reposo o con una protección alternativa aceptable.

Algunos proveedores de alojamiento permiten el cifrado en reposo por defecto o tienen opciones de configuración para activarlo. Antes de responder a esta pregunta, comprueba si se aplica cifrado en reposo a los servicios que utilizas para almacenar los datos de la plataforma. Si es así, responde "Sí" a esta pregunta.

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No, pero nuestros proveedores de alojamiento tienen un certificado SOC 2 o ISO 27001 que indica que un tercero evaluó su seguridad física y los controles de eliminación segura de medios.

[ ] No

Si seleccionas la opción b, c, d, e o f en la pregunta 3.1-8.a y no seleccionas la opción c, h, i, j, k o l en la pregunta 3.1-8.b, se te mostrará lo siguiente:

3.1-9.b. ¿Aplicas el cifrado en reposo a todos los datos de la plataforma que almacenas en tu entorno de backend?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-9.a o "Sí" en la pregunta 3.1-9.b, se te mostrará lo siguiente:

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Por favor, consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

3.1-9.b.i. En la pregunta anterior, indicaste que aplicas el cifrado en reposo a todos los datos de la plataforma almacenados en tu entorno de backend. Sube una explicación por escrito (p. ej., un documento de políticas o procedimientos) que indique que todos los datos de la plataforma almacenados en el entorno de backend deben estar protegidos con cifrado en reposo.

Si clasificas y proteges los datos de manera diferente según un conjunto de niveles de sensibilidad de los datos, tu explicación debería indicar claramente qué nivel de sensibilidad se asigna a los datos de la plataforma que recibes de Meta, y deberías subir las políticas relevantes.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

3.1-9.b.ii. Sube al menos una prueba (p. ej., una captura de pantalla de una instancia de base de datos) que muestre cómo implementas esta protección en la práctica: todos los datos de la plataforma almacenados en tu entorno de backend protegidos con cifrado en reposo.

Si seleccionas "No" en la pregunta 3.1-9.a, se te mostrará lo siguiente:

3.1-9.c.i. ¿Qué tipo de pruebas posees que demuestren que se evaluaron la seguridad física de tu proveedor de alojamiento y los controles de eliminación segura de medios?

Para demostrar que cumples con las Condiciones de la plataforma de Meta, debes confirmar que la auditoría ISO 27001 o SOC 2 de tu proveedor de alojamiento incluía controles de seguridad física y de eliminación segura de medios. En las normas ISO/IEC 27001:2013 o 2017, estos son los controles A.8.3, A.11.1, y A.11.2. En la norma SOC 2, estos son los controles CC6.4 y CC6.5.

a. Una auditoría ISO 27001 de mi proveedor de alojamiento, en la que la declaración de aplicabilidad asociada (SOA) indique que se evaluaron los controles de seguridad física y de eliminación segura de medios

b. Un informe de auditoría SOC 2 que indique que se probaron los controles de seguridad física y de eliminación segura de medios y que no hubo hallazgos adversos relacionados con estos controles

c. Ninguno de los anteriores

Si seleccionas la opción a o b en la pregunta 3.1-9.c.i, se te mostrará lo siguiente:

3.1-9.c.ii. ¿En qué fecha se emitió el certificado ISO 27001 o SOC 2 de tu proveedor de alojamiento?

3.1-10. ¿Algunos miembros de tu organización almacenan datos de la plataforma en puntos de conexión de la organización o en dispositivos personales (p. ej., en computadoras portátiles o smartphones)?

"Almacenar" se refiere a la escritura de datos de la plataforma en cualquier entorno que conserve datos después de que se desconecte la energía, como computadoras portátiles, unidades USB, discos duros extraíbles y servicios de almacenamiento en la nube como Dropbox o Google Drive.

Nota: No se incluyen en esta pregunta los datos de la plataforma que se conservan en clientes web o móviles de usuarios individuales de tu servicio.

[ ] Sí. Uno o más miembros de mi organización almacena datos de la plataforma en sus dispositivos personales o de la organización.
[ ] No. En ningún caso los miembros de mi organización almacenan datos de la plataforma en dispositivos personales o de la organización.

Si seleccionas "Sí" en la pregunta 3.1-10, se te mostrará lo siguiente:

3.1-10.a. Cuando los miembros de tu organización almacenan datos de la plataforma en puntos de conexión de la organización o dispositivos personales, ¿cuál de estas protecciones implementas para reducir el riesgo de pérdida de datos?

Es necesario que implementes medidas de protección para reducir el riesgo de acceso a los datos de la plataforma cuando se almacenan en reposo.

Selecciona todas las opciones que correspondan.

a. Software o servicio que aplica el cifrado completo de disco en dispositivos de la organización (p. ej., Bitlocker o FileVault)

b. Software de prevención de pérdida de datos (DLP) en punto de conexión en todos los dispositivos administrados para monitorear y registrar acciones relacionadas con los datos de la plataforma almacenados

c. Los miembros de mi organización tienen la obligación de cumplir una política de uso aceptable que solo permite procesar datos de la plataforma si hay un propósito comercial claro y viable. Esta política afirma que los datos deben borrarse cuando el propósito comercial ya no exista

d. Ninguno de los anteriores

Si seleccionas la opción a o b en la pregunta 3.1-10.a, se te mostrará lo siguiente:

3.1-10.a.i. En la pregunta anterior, indicaste que proteges los datos de la plataforma almacenados en dispositivos personales o de la organización mediante la implementación del cifrado de disco completo en dichos dispositivos o con software de prevención de pérdida de datos (DLP) en punto de conexión. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo implementar esta protección técnica.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas la opción a o b en la pregunta 3.1-10.a, se te mostrará lo siguiente:

3.1-10.a.ii. Sube al menos una prueba (p. ej., una configuración de herramienta o una captura de pantalla de tu aplicación) que muestre cómo implementas esta protección en la práctica: protecciones técnicas para los datos de la plataforma almacenados en dispositivos personales o de la organización. [Pregunta principal]

Por ejemplo:

Una captura de pantalla de una política de grupo que requiere que BitLocker esté activado para los dispositivos administrados
Una captura de pantalla de una herramienta de administración DLP que muestre que la monitorización de datos PII está habilitada para todos los puntos de conexión
Una captura de pantalla de otra herramienta o producto que tus administradores de TI utilizan para hacer cumplir el uso de protecciones técnicas en todos los dispositivos de la organización
Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos, con un límite de 2 GB por archivo. Aceptamos archivos con extensión .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx.

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas solo la opción c en la pregunta 3.1-10.a, se te mostrará lo siguiente:

3.1-10.a.iii. Indicaste en una pregunta anterior que los miembros de tu organización tienen la obligación de cumplir una política de uso aceptable cuando almacenan datos de la plataforma en dispositivos personales o de la organización. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que contenga tu política de uso aceptable.

Exigimos que esta política describa claramente los siguientes puntos:

Los fines comerciales permitidos en el tratamiento de datos de la plataforma en dispositivos personales o de la organización
La obligación de borrar los datos cuando este propósito ya no exista

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas solo la opción c en la pregunta 3.1-10.a, se te mostrará lo siguiente:

3.1-10.a.iv. Puedo confirmar que a todos los miembros de mi organización que pueden procesar datos de la plataforma en dispositivos personales o de la organización se les informó sobre la política de uso aceptable de estos datos, y que dichos miembros afirman comprender esta política y que están informados de esta política como parte de su incorporación como nuevos empleados

[ ] Sí, puedo confirmarlo.

[ ] No, no puedo confirmarlo.

Si seleccionas "Sí" en la pregunta 3.1-8 y "No" en la pregunta 3,1-10, se te mostrará lo siguiente:

3.1-10.b. En la pregunta anterior, indicaste que en ningún caso los miembros de tu organización almacenan datos de la plataforma en dispositivos personales o de la organización.

¿Les informaste a las personas de tu organización que no está permitido en ningún caso almacenar datos de la plataforma en dispositivos personales o de la organización y les solicitaste que afirmen comprender esta obligación?

Nuestras políticas requieren que las organizaciones aconsejen a todas los miembros de su organización, incluidos los usuarios de alto privilegio como los administradores, que el almacenamiento de datos de la plataforma no está permitido.

[ ] Sí

[ ] No

Si seleccionas "No" en la pregunta 3.1-8 y "No" en las preguntas 3.1-10, se te mostrará lo siguiente:

3.1-10.c. En la pregunta anterior, indicaste que en ningún caso los miembros de tu organización almacenan datos de la plataforma en dispositivos personales o de la organización.

[ ] Sí

[ ] Esto no es necesario, porque las personas de mi organización nunca tienen acceso a los datos de la plataforma.

[ ] No

Si seleccionas "Sí" en tanto en la preguntas 3.1-10.b como en la pregunta 3.1-10.c, se te mostrará lo siguiente:

3.1-10.c.i. Indicaste en una pregunta anterior que en ningún caso los miembros de tu organización almacenan datos de la plataforma en dispositivos personales o de la organización. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique que las personas de tu organización no deben almacenar los datos de la plataforma en estos dispositivos.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas "Sí" en tanto en la preguntas 3.1-10.b como en la pregunta 3.1-10.c, se te mostrará lo siguiente:

3.1-10.c.ii. Puedo confirmar que todos los miembros de mi organización:

Están informados de la política que les prohíbe almacenar datos de la plataforma en dispositivos personales o de la organización

Afirmaron que comprenden esta política

Están informados de esta política como parte de su incorporación como nuevos empleados

[ ] Sí, puedo confirmarlo.

[ ] No, no puedo confirmarlo.

Si seleccionas "No" en la pregunta 3.1-8 y "No" en las preguntas 3.1-10, se te mostrará lo siguiente:

3.1-10.d. Sube un diagrama de flujo de datos y una descripción de cómo tu aplicación usa los datos de la plataforma.

Deberían incluirse los siguientes detalles:

Muestra cómo tu aplicación hace llamadas a las API de Meta, como graph.facebook.com e identifica todos los componentes que usan los datos de la plataforma, incluidos aquellos que almacenan, almacenan en caché, procesan o transfieren datos de la plataforma a través de redes.

Describe los casos de uso principales (es decir, flujos que proporcionan resultados valiosos a los usuarios de tu app) que admites.

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-11.a. ¿Activas el protocolo de seguridad TLS 1.2 o superior para cifrar datos de todas las conexiones de red que pasan, conectan o cruzan redes públicas donde se transmiten los datos de la plataforma?

Para proteger los datos de la plataforma que se transmiten entre redes no confiables (como internet), el cifrado en tránsito hace que resulten indescifrables en todas partes, excepto en los dispositivos de origen y destino. Las partes en que intervienen en el transcurso de la transmisión no deberían poder leer los datos de la plataforma incluso si pueden ver el tráfico de la red (como en un ataque de tipo "Man in the middle"). El cifrado TLS es el más frecuente en tránsito, porque los navegadores usan esta tecnología para proteger las comunicaciones en sitios web como los de los bancos.

Es necesario que todos los listeners web (por ejemplo, equilibriadores de carga conectados a internet) que reciben o devuelven los datos de la plataforma activen TLS 1.2 o superior. TLS 1.0 y TLS 1.1 solo pueden usarse para la compatibilidad con dispositivos del cliente que no admitan TLS 1.2 o una versión posterior. Recomendamos, pero no exigimos, que el cifrado en tránsito se aplique a las transmisiones de datos de la plataforma que se encuentren en su totalidad en redes privadas de confianza que controlas (p. ej., dentro de una nube privada virtual (VPC)). Para obtener más información sobre este requisito y cómo subir cualquier prueba necesaria, consulta nuestros requisitos de seguridad de datos.

[ ] Sí

[ ] No

Si selecciona "No" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-11.b. ¿Activas el protocolo de seguridad TLS 1.2 o superior para el cifrado de datos en todas las conexiones a las redes que pasan por redes públicas, que están conectadas a estas redes o que las atraviesan y que se utilizan para transmitir datos de la plataforma?

[ ] Sí

[ ] Esto no es necesario. Nunca transmitimos datos de la plataforma a través de internet por otro motivo que no sean solicitudes directamente a Meta.

[ ] No

Si seleccionas "Sí" tanto en la pregunta 3.1-11.a como en la pregunta 3.1-11.b, se te mostrará lo siguiente:

3.1-11.c. En la pregunta anterior, indicaste que activas el protocolo de seguridad TLS 1.2 o posterior para cifrar datos en tránsito. ¿Te aseguras de que los datos de la plataforma nunca se transmitan a través de redes públicas en forma no encriptada (p. ej., a través de HTTP o FTP, y que nunca se use SSL 2.0 y SSL 3.0?

Es necesario que los datos de la plataforma nunca se transmitan a través de redes que no sea de confianza en forma sin codificar. Además, nunca debes usar SSL 2.0 o SSL 3.0. Para obtener más información sobre este requisito y sobre cómo subir cualquier evidencia requerida, consulta nuestros requisitos de seguridad de datos.

[ ] Sí

[ ] No

Si seleccionas "Sí" tanto en la pregunta 3.1-11.a como en la pregunta 3.1-11.b, se te mostrará lo siguiente:

3.1-11.a.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo activar el protocolo de seguridad TLS 1.2 o superior para los datos en tránsito.

Tu documento debería incluir las siguientes declaraciones: 1. Los datos de la plataforma nunca se transmiten sin cifrado en tránsito. 2. Nunca se usan las versiones 2 y 3 de SSL.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" tanto en la pregunta 3.1-11.a como en la pregunta 3.1-11.b, se te mostrará lo siguiente:

3.1-11.a.ii. Sube al menos una prueba (p. ej., una captura a pantalla completa de los resultados de un informe Qualys SSL ejecutado en uno de tus dominios web) que muestre cómo implementas esta protección en la práctica: activa el protocolo de seguridad TLS 1.2 o superior para los datos en tránsito. [Pregunta principal]

Asegúrate de que los archivos no estén protegidos con contraseña. Puedes subir varios archivos, con un límite de 2 GB por archivo. Aceptamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip y .zipx

Si selecciona "No" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-12.a. En los últimos 12 meses, ¿cuál de los siguientes usaste para probar el software que usas para procesar los datos de la plataforma para detectar vulnerabilidades y problemas de seguridad?

Esta pregunta solo se refiere al software que compilas o empaquetas (p. ej., bibliotecas de código) para procesar datos de la plataforma, en lugar de software compilado o mantenido por otras empresas (p. ej., sistemas operativos Android o iOS).

Selecciona todas las opciones que correspondan.

a. Pruebas de seguridad de aplicaciones estáticas (SAST)

b. Pruebas de seguridad de aplicaciones dinámicas (DAST)

c. Prueba de penetración a cargo de un equipo interno

d. Prueba de penetración a cargo de una firma de seguridad externa

e. Informes de vulnerabilidad de investigadores externos obtenidos a través de un programa de divulgación de vulnerabilidad (VDP) o programa Bug Bounty

f. Otro enfoque para identificar vulnerabilidades

g. Ninguno de los anteriores

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas alguna de las opciones de la a a la g en la pregunta 3.1-12.a, se te mostrará lo siguiente:

3.1-12.a.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo se prueba el software que usas para procesar los datos de la plataforma para detectar vulnerabilidades y problemas de seguridad.

Todos los siguientes procedimientos de prueba deben incluirse en su explicación por escrito:

Probar vulnerabilidades de seguridad al menos una vez cada 12 meses
Tener un proceso para clasificar los hallazgos basado en la gravedad
Garantizar que las vulnerabilidades de alta gravedad, que podrían conducir a un acceso no autorizado a los datos de la plataforma, se remedien de manera oportuna

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas alguna de las opciones de la a a la f en la pregunta 3.1-12.a, se te mostrará lo siguiente:

3.1-12.a.ii. Sube al menos una prueba (p. ej., un resumen del resultado de una reciente prueba de penetración) que muestre cómo implementas esta protección en la práctica: prueba el software que usas para procesar los datos de la plataforma para vulnerabilidades y problemas de seguridad.

Deberían incluirse los siguientes detalles en tu prueba: 1. Una explicación del alcance y la metodología de ensayo 2. La fecha en la que se llevó a cabo la actividad de prueba (para ser aceptable, la fecha no debe ser anterior a 12 meses previos a la fecha en la que le notificamos acerca de esta evaluación.) 3. Si se aplica, un resumen de cualquier vulnerabilidad crítica y de alta gravedad no remediada

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-12.b. En los últimos 12 meses, ¿cuál de los siguientes enfoques usaste para hacer pruebas de vulnerabilidades y problemas de seguridad en tu entorno de backend donde procesas los datos de la plataforma?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

Selecciona todas las opciones que correspondan.

a. Pruebas de seguridad de aplicaciones estáticas (SAST)

b. Pruebas de seguridad de aplicaciones dinámicas (DAST)

c. Análisis web

d. Prueba de penetración a cargo de un equipo interno

e. Prueba de penetración a cargo de una firma de seguridad externa

f. Informes de vulnerabilidad de investigadores externos obtenidos a través de un programa de divulgación de vulnerabilidad (VDP) o programa Bug Bounty

g. Otro enfoque para identificar vulnerabilidades

h. Esto no es necesario porque mi organización utiliza una solución de backend sin código.

i. Ninguno de los anteriores

Si seleccionas alguna de las opciones de la a a la g en la pregunta 3.1-12.b, se te mostrará lo siguiente:

3.1-12.b.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo se llevan a cabo las pruebas para detectar vulnerabilidades y problemas de seguridad en el entorno de backend donde se procesan los datos de la plataforma.

Todos los siguientes procedimientos de prueba deben incluirse en su explicación por escrito:

Probar vulnerabilidades de seguridad al menos una vez cada 12 meses
Tener un proceso para clasificar los hallazgos basado en la gravedad
Garantizar que las vulnerabilidades de alta gravedad, que podrían conducir a un acceso no autorizado a los datos de la plataforma, se remedien de manera oportuna

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas alguna de las opciones de la a a la g en la pregunta 3.1-12.b, se te mostrará lo siguiente:

3.1-12.b.ii. Sube al menos una prueba (p. ej., un resumen del resultado de una prueba de penetración reciente) que muestre cómo implementas esta protección en la práctica: prueba vulnerabilidades y problemas de seguridad en tu entorno de backend donde se procesan los datos de la plataforma.

Deberían incluirse los siguientes detalles en tu prueba:

Una explicación del alcance y la metodología de prueba
La fecha en la que se llevó a cabo la actividad de prueba (para ser aceptable, la fecha no debe ser anterior a 12 meses previos a la fecha en la que le notificamos acerca de esta evaluación.)
Si se aplica, un resumen de cualquier vulnerabilidad crítica y de alta gravedad no remediada

Si seleccionas alguna de las opciones: de la a a la b, o de la d a la i en 3.1-8.b

3.1-12.c. ¿Pruebas el entorno de la nube que usas con el objeto de procesar los datos de la plataforma para las configuraciones erróneas de seguridad (p. ej., mediante una herramienta como NCC Scout Suite para identificar las configuraciones incorrectas) al menos cada 12 meses?

Meta requiere que tomes medidas para probar tu software en busca de vulnerabilidades y problemas de seguridad, al menos una vez cada 12 meses, a fin de evitar el acceso no autorizado a los datos de la plataforma.

[ ] Sí

[ ] No se aplica porque mi organización depende únicamente de un servicio de backend que no expone ninguna opción de configuración de seguridad de datos confidenciales.

[ ] No

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas "Sí" en la pregunta 3.1-12.c, se te mostrará lo siguiente:

3.1-12.c.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo se prueba el entorno de la nube que se utiliza para procesar los datos de la plataforma para las configuraciones erróneas de seguridad.

Todos los siguientes procedimientos de prueba deben incluirse en tu explicación por escrito:

Realizar pruebas para detectar vulnerabilidades de seguridad al menos una vez cada 12 meses.
Tener un proceso para clasificar los hallazgos según la gravedad.
Garantizar que se remedien de manera oportuna las vulnerabilidades de alta gravedad, las cuales podrían conducir a un acceso no autorizado a los datos de la plataforma.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" en la pregunta 3.1-12.c, se te mostrará lo siguiente:

3.1-12.c.ii. Sube al menos una prueba (p. ej., un resumen de una prueba NCC Scout Suite) que muestre cómo implementas esta protección en la práctica: prueba el entorno de la nube que usas para procesar los datos de la plataforma para configuraciones erróneas de seguridad.

Deberían incluirse los siguientes detalles en tu prueba:

Una explicación del alcance y la metodología de prueba
La fecha en la que se llevó a cabo la actividad de prueba (para ser aceptable, la fecha no debe ser anterior a 12 meses previos a la fecha en la que le notificamos acerca de esta evaluación.)
Si se aplica, un resumen de cualquier vulnerabilidad crítica y de alta gravedad no remediada

3.1-13.a. ¿Tu app o software almacena alguna vez tokens de acceso en dispositivos de consumidores o clientes que una app o usuario diferente pueden leer?

"Dispositivo de consumidor o cliente" se refiere al hardware, como un teléfono móvil Android o iPhone, que pertenece a los usuarios finales de tu app o servicio.

Selecciona "no" si no tienes una app o software que se ejecute en dispositivos de consumidores o clientes, como los teléfonos móviles.

[ ] Sí

[ ] No

Si esta app no está configurada como de escritorio/nativa, se te mostrará lo siguiente:

3.1-13.b. ¿Alguna vez queda expuesta la clave secreta de la app de Facebook a dispositivos de consumidores o clientes (p. ej., dentro de código compilado)?

[ ] Sí

[ ] Sí, pero mi app está configurada como app de escritorio o nativa

[ ] No

Si seleccionas la opción d en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-13.c. Ves esta pregunta porque indicaste en una pregunta anterior que almacenas los tokens de acceso de usuario de la API de Meta en tu entorno de backend. ¿Cómo proteges estos tokens de un uso no autorizado?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

Los tokens de acceso son fundamentales para la seguridad de las API de Meta. Es necesario que los desarrolladores protejan los tokens de acceso contra el acceso no autorizado. Aprende sobre los tokens de acceso.

Selecciona todas las opciones que correspondan.

a. Mediante el almacenamiento de estos datos en una bóveda de datos (por ejemplo, Vault by Hashicorp) con servicio de gestión de claves (KMS) externo

b. Mediante el uso de cifrado de aplicaciones (p. ej., que los tokens de acceso de usuario nunca se escriban sin encriptar en bases de datos o cualquier otro almacenamiento persistente)

c. Mediante la configuración de la app para que requiera el parámetro appsecret_proof para las llamadas a la API a Meta

d. Utilizo un enfoque diferente para proteger los tokens de acceso de los usuarios

e. Ninguno de los anteriores

Si seleccionas a, b, c o d en la pregunta 3.1-13.c, se te mostrará lo siguiente:

3.1-13.c.i. La pregunta anterior era sobre cómo proteges los tokens de acceso de usuario almacenados en tu entorno de backend contra el uso no autorizado. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo proteges estos tokens de acceso.

Tu explicación escrita debería incluir la siguiente información:

Descripción de cómo los tokens de acceso de usuario están protegidas contra el acceso de lectura no autorizado
Un requisito que establezca que los tokens de acceso de usuario nunca deben escribirse a los archivos de registro en forma de texto sin cifrar

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Los tokens de acceso son fundamentales para la seguridad de las API de Meta. Es necesario que los desarrolladores protejan los tokens de acceso contra el acceso no autorizado. Obtén información acerca de los tokens de acceso.

3.1-13.c.ii Sube al menos una prueba (p. ej., una captura de pantalla de una clave de token de acceso, pero no de su valor) que muestre cómo implementas esta protección en la práctica: protege lo tokens de acceso almacenados en tu entorno de backend contra el uso no autorizado. [Pregunta principal]

Si seleccionas la opción e en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-13.d. Ves esta pregunta porque en una pregunta anterior indicaste que almacenas la clave secreta de la app en tu entorno de backend. ¿Cómo proteges el la clave secreta de la app contra el uso no autorizado?

La clave secreta de la app es un parámetro asociado con Meta Technologies que se puede usar como token de acceso en ciertas llamadas a la API para cambiar la configuración de una app, por ejemplo, configurando las llamadas del webhook. Puedes encontrar la clave secreta de la app en el panel de la app en Configuración > Básica. Para obtener más información sobre la clave secreta de la app, consulta nuestra documentación para desarrolladores en Seguridad de inicio de sesión. Para obtener más información sobre nuestros requisitos para proteger las claves secretas de la app y los tokens de acceso de los usuarios, incluida cualquier evidencia que se necesite proporcionar, consulta Proteger la clave secreta de la app de Meta y los token de acceso.

Es necesario que protejas la clave secreta de la app de una de las siguientes dos maneras:

Nunca exponiéndolo fuera de un entorno de servidor seguro. Esto significa que nunca se devuelve por una llamada de red a un navegador o app para celulares, y la clave secreta no está insertada en el código que se distribuyó a clientes de celulares o nativos/de escritorio.
O bien, configurando la autenticación de la app con el tipo "Aplicación nativa o de escritorio" para que las API de Meta ya no confíen en las llamadas a la API que incluyen la clave secreta de la app.

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

Selecciona todas las opciones que correspondan.

a. Mediante el almacenamiento de estos datos en una bóveda de datos (por ejemplo, Vault by Hashicorp) con servicio de gestión de claves (KMS) externo

b. Mediante el uso de cifrado de aplicaciones (p. ej., la clave secreta de la app nunca se escribe, sin encriptar en bases de datos o cualquier otro almacenamiento persistente)

c. Uso un enfoque diferente para proteger las claves secretas de la app

d. Ninguno de los anteriores

Si seleccionas la opción a, b o c en la pregunta 3.1-13.d, se te mostrará lo siguiente:

3.1-13.d.i. En la pregunta anterior, indicaste que proteges la clave secreta de la app almacenada en tu entorno de backend de un uso no autorizado. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo implementas esta protección.

Tu explicación escrita debería incluir la siguiente información:

Descripción de cómo la clave secreta de la app está protegida contra el acceso de lectura no autorizado
Un requisito que establezca que la clave secreta de la app nunca debe escribirse en los archivos de registro en forma texto sin cifrar

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

La clave secreta de la app es fundamental para la seguridad de las APIs de Meta. Es necesario que los desarrolladores protejan la clave secreta de la app contra el acceso no autorizado. Obtén más información sobre la clave secreta de la app.

Si seleccionas la opción a, b o c en la pregunta 3.1-13.d, se te mostrará lo siguiente:

3.1-13.d.ii. Sube al menos una prueba (p. ej., una captura de pantalla de tu administrador de secretos que contenga el secreto de la aplicación con el valor redactado) que muestre cómo implementas esta protección en la práctica: protege la clave secreta de la app almacenada en tu entorno de backend contra el uso no autorizado.

Para ver un ejemplo de prueba aceptable, visita la guía de pruebas para esta pregunta.

3.1-15.a. ¿Necesitas autenticación multifactor (MFA) para todo el acceso a tus herramientas de colaboración y comunicación?

Es necesario que cuentes con MFA o una protección alternativa aceptable para todos los usuarios de las herramientas de colaboración y comunicación (por ejemplo, correo electrónico, Slack). No necesitamos ningún método particular para la implementación de la MFA.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseña y contamos con retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

3.1-15.b. ¿Necesitas autenticación multifactor (MFA) para todo el acceso a la herramienta de repositorio de código que usas (p. ej., GitHub) o cualquier herramienta utilizada para el seguimiento de cambios en la app y en cualquier código y configuración del sistema?

Es necesario que cuentes con MFA o una protección alternativa aceptable para todos los usuarios del repositorio de código que usas. No necesitamos ningún método particular de implementación para el AMF.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseña y contamos con retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-15.c. ¿Necesitas autenticación multifactor (MFA) para todo el acceso a las herramientas de implementación de software, por ejemplo Jenkins u otra herramienta de integración continua, implementación continua (CI/CD)?

Es necesario que cuentes con MFA o una protección alternativa aceptable para todos los usuarios de las herramientas de implementación de software. No necesitamos ningún método particular para la implementación de la MFA.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseña y contamos con retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-15.d. ¿Necesitas autenticación multifactor (MFA) para todo el acceso a las herramientas administrativas de backend, por ejemplo, un portal administrativo en la nube?

Es necesario que cuentes con MFA o una protección alternativa aceptable para todos los usuarios de las herramientas administrativas de la nube o servidor. No necesitamos ningún método particular para implementar la MFA.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseña y contamos con retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-15.e. ¿Necesitas autenticación multifactor (MFA) para todos los accesos remotos a servidores, por ejemplo a través de SSH?

Es necesario que cuentes con MFA o una protección alternativa aceptable para todos los accesos remotos a servidores. No necesitamos ningún método particular para implementar la MFA.

[ ] Sí

[ ] No, pero aplicamos una política de complejidad de contraseña y contamos con retrasos en la autenticación y bloqueos automáticos de cuentas en caso de intentos de inicio de sesión fallidos.

[ ] No se aplica. No tenemos acceso remoto a servidores.

[ ] No

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas "Sí" en cualquiera de las preguntas desde la 3.1-15.a hasta la 3.1-15.e, se te mostrará lo siguiente:

3.1-15.e.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique los requisitos para la autenticación multifactor (AMFA) u otras medidas para prevenir la apropiación de cuentas (p. ej., complejidad de contraseña combinada con el retraso en la autenticación y el bloqueo automático de cuentas cuando falla un intento de inicio de sesión).

La explicación debería incluir los requisitos de autenticación para todo el acceso a las herramientas de colaboración y comunicación, repositorios de códigos, herramientas de implementación de software, herramientas administrativas de backend y acceso remoto a servidores a través de una herramienta como SSH.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" en cualquiera de las preguntas desde la 3.1-15.a hasta la 3.1-15.e, se te mostrará lo siguiente:

3.1-15.e.ii. Sube al menos una prueba (p. ej., una configuración de herramienta o captura de pantalla de tu aplicación) que muestre cómo implementas esta protección en la práctica: autenticación multifactor u otras medidas para evitar la toma de cuenta.

La prueba debería mostrar cómo usas la autenticación para proteger todo el acceso a las herramientas de colaboración y comunicación, repositorios de códigos, herramientas de implementación de software, herramientas administrativas de backend y acceso remoto a servidores a través de una herramienta como SSH.

3.1-16. ¿Tienes un sistema para mantener cuentas que gestione la concesión, revocación y revisión del acceso a personas de tu organización?

Es necesario que cuentes con un sistema de mantenimiento de cuentas y que revises las concesiones de acceso regularmente, al menos una vez cada 12 meses. Debes tener un proceso para revocar el acceso con rapidez cuando:

Ya no se requiere acceso
El acceso ya no se usa
Una persona abandona la organización

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-16, se te mostrará lo siguiente:

3.1-16.a. ¿Cuál de los siguientes procesos implementas como parte de tu sistema de mantenimiento de cuentas?

Selecciona todas las opciones que correspondan.

a. Revisamos todas las concesiones de acceso al menos una vez cada 12 meses y revocamos el acceso que ya no es necesario.

b. Revisamos todas las concesiones de acceso al menos una vez cada 12 meses y revocamos el acceso que ya no se está utilizando.

c. Revocamos rápidamente todas las subvenciones de acceso cuando una persona abandona la organización.

d. Ninguna de las opciones anteriores

Si seleccionas alguna de las opciones de la a a la c en la pregunta 3.1-16.a, se te mostrará lo siguiente:

3.1-16.a.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que exponga lo siguiente: requisitos relacionados con tu sistema para el mantenimiento de cuentas.

La explicación por escrito debe incluir requisitos para:

Revocar el acceso que ya no es necesario
Revocar el acceso que ya no se usa
Revocar el acceso con rapidez cuando una persona abandona su organización

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas alguna de las opciones de la a a la c en la pregunta 3.1-16.a, se te mostrará lo siguiente:

3.1-16.a.ii. Sube al menos una prueba (p. ej., una configuración de herramienta o captura de pantalla) que muestre cómo implementas esta protección en la práctica: implementa un sistema para mantener cuentas.

La prueba debe mostrar cómo haces lo siguiente:

Revocar el acceso que ya no es necesario
Revocar el acceso que ya no se usa
Revocar el acceso con rapidez cuando una persona abandona su organización

Si seleccionas "Sí" en la pregunta 3.1-8, se te mostrará lo siguiente:

3.1-17.a. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. Con respecto al software que utilizas para procesar datos de la plataforma en tu entorno de backend, ¿haces todo lo siguiente? Tienes una forma definida y repetible de identificar parches en software de terceros que resuelven vulnerabilidades de seguridad Priorizas los parches disponibles en función del riesgo (p. ej., según la gravedad del CVSS) Aplicas parches como una actividad continua

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] Esto no es necesario ya que mi organización utiliza una solución de backend sin código.

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-17.a, se te mostrará lo siguiente:

3.1-17.a.i. En la pregunta anterior, indicaste que tienes procesos para mantener el código y el entorno de backend actualizados. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo mantienes tu código y el entorno de backend actualizados.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" en la pregunta 3.1-17.a, se te mostrará lo siguiente:

3.1-17.a.ii. Sube al menos una prueba (p. ej., una configuración de herramienta o captura de pantalla de tu aplicación) que muestre cómo implementas esta protección en la práctica: mantén tu código y entorno de backend actualizados.

3.1-17.b. Con respecto al software de terceros que utilizas para procesar datos de la plataforma en una app para celulares como una aplicación para Android o iPhone, ¿haces todo lo siguiente? Tienes una forma definida y repetible de identificar parches en software de terceros que resuelven vulnerabilidades de seguridad Priorizas los parches disponibles en función del riesgo (p. ej., según la gravedad del CVSS) Aplicas parches como actividad continua

[ ] Sí

[ ] Esto no es necesario ya que mi organización no procesa los datos de la plataforma en una app para celulares.

[ ] No

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas "Sí" en la pregunta 3.1-17.b, se te mostrará lo siguiente:

3.1-17.b.i. En la pregunta anterior, indicaste que mantienes el software de terceros actualizado en tu app para celulares. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo mantienes actualizado el código de terceros en tu app para celulares.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" en la pregunta 3.1-17.b , se te mostrará lo siguiente:

3.1-17.b.ii. Sube al menos una prueba (p. ej., una configuración de herramienta o captura de pantalla de tu aplicación) que muestre cómo implementas esta protección en la práctica: mantén el código de terceros actualizado en tu app para para celulares.

3.1-17.c. Con respecto a los sistemas operativos, software antivirus, navegadores que se ejecutan en computadoras portátiles, y otros sistemas y aplicaciones utilizados por las personas en tu organización para compilar y operar la app, ¿hace todo lo siguiente? Tienes una manera definida y repetible de identificar parches en software de terceros que resuelven la seguridad vulnerabilidades Priorizas los parches disponibles en función del riesgo (p. ej., según la gravedad del CVSS) Aplicas y verificas los parches de forma continua

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-17.c, se te mostrará lo siguiente:

3.1-17.c.i. En la pregunta anterior, indicaste que mantienes el software de terceros en los sistemas y aplicaciones utilizados para compilar y operar tu app actualizada. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo mantienes actualizado este software de terceros y antivirus.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Esta pregunta solo se aplica a algunos desarrolladores. Por favor, consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso.

Si seleccionas "Sí" en la pregunta 3.1-17.c, se te mostrará lo siguiente:

3.1-17.c.ii. Sube al menos una prueba (p. ej., una configuración de herramienta o una captura de pantalla de tu aplicación) que muestre cómo implementas esta protección en la práctica: mantén actualizados el software de terceros y el software antivirus. [Pregunta principal]

3.1-21. ¿Ofreces un método disponible públicamente para que las personas reporten vulnerabilidades de seguridad en tu app?

[ ] Sí

[ ] No

Si seleccionas "No" en la pregunta 3.1-21, se te mostrará lo siguiente:

3.1-21.a. ¿Hay disponible públicamente alguna dirección de correo electrónico, algún número de teléfono o algún formulario de contacto para que las personas se pongan en contacto contigo y que se supervise de manera habitual?

[ ] Sí

[ ] No

Si seleccionas alguna de las opciones de la b a la f en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-22. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. ¿Recopilas registros de auditoría de administradores para este entorno de backend?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22, se te mostrará lo siguiente:

3.1-22.a. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo recolectas los registros de auditoría de administradores para el entorno de backend donde se almacenan los datos de la plataforma.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

DESCARGO de responsabilidad: Esta pregunta solo se aplica a algunos desarrolladores. Consulta tu formulario de evaluación específico para determinar si estos requisitos se aplican a tu caso

Si seleccionas "Sí" en la pregunta 3.1-22, se te mostrará lo siguiente:

3.1-22.a.i. Sube al menos una prueba (p. ej., una configuración de herramienta o una captura de pantalla de tu aplicación) que muestre cómo implementas esta protección en la práctica: recopila registros de auditoría de administradores para tu entorno de backend donde se almacenan los datos de la plataforma.

Si seleccionas alguna de las opciones de la b a la f en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-22.b. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. ¿Recopilas registros de auditoría de eventos de aplicaciones para este entorno de backend? Los eventos de aplicaciones pueden incluir lo siguiente:

Fallos en la validación de entradas y salidas
Fallos en la autenticación y control de acceso
Errores de la aplicación y eventos del sistema

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.b, se te mostrará lo siguiente:

3.1-22.b.i. ¿Estos registros de auditoría de eventos de aplicaciones para tu entorno de backend donde se almacenan los datos de la plataforma incluyen todos los campos siguientes?

ID de usuario de Meta (cuando se comparte contigo)
Tipo de evento
Fecha y hora
Indicador de éxito o fracaso

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.b, se te mostrará lo siguiente:

3.1-22.b.ii. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique tu enfoque para recopilar registros de auditoría de eventos de aplicaciones para el entorno de backend donde se almacenan los datos de la plataforma.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" en la pregunta 3.1-22.b, se te mostrará lo siguiente:

3.1-22.b.iii. Sube al menos una prueba (p. ej., una configuración de herramienta o una captura de pantalla de tu app) que muestre cómo implementas esta protección en la práctica: recoge registros de auditoría de eventos de la app para tu entorno de backend donde se almacenan los datos de la plataforma.

Si seleccionas alguna de las opciones de la b a la f en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-22.c. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. ¿Tienes políticas o procedimientos para prevenir el acceso no autorizado y la manipulación de los registros de auditoría para este entorno de backend?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No

3.1-22.d. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. Para este entorno, ¿retienes registros de auditoría durante al menos 30 días?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí [ ] No

Si seleccionas alguna de las opciones de la b a la f en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-22.e. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. ¿Utilizas una solución automatizada para revisar los registros de auditoría de eventos de la aplicación para este entorno de backend con el fin de encontrar indicadores de eventos o incidentes de seguridad cotidianos que resulten en riesgo o daños (por ejemplo, intentos de eludir los controles de acceso o explotar vulnerabilidades de software)?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.e, se te mostrará lo siguiente: 3.1-22.e.i. ¿Revisas estos registros de auditoría de eventos de la aplicación para tu entorno backend donde los datos de la plataforma se almacenan al menos cada 7 días?

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.e, se te mostrará lo siguiente:

3.1-22.e.ii. Sube una explicación por escrito (p. ej.,un documento de política o procedimiento) que indique cómo revisas los registros de auditoría de eventos de la aplicación para tu entorno de backend donde los datos de la plataforma se almacenan al menos cada 7 días.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas "Sí" en la pregunta 3.1-22.e, se te mostrará lo siguiente:

3.1-22.e.iii. Sube al menos una prueba (p. ej., una configuración de herramienta o una captura de pantalla de tu app) que muestre cómo implementas esta protección en la práctica: revisa los registros de auditoría de eventos de la aplicación para tu entorno de backend donde los datos de la plataforma se almacenan al menos cada 7 días.

Si seleccionas alguna de las opciones de la b a la f en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-22.f. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. ¿Revisas los registros de auditoría de administradores de este entorno con el fin de encontrar indicadores de eventos o incidentes de seguridad cotidianos que resulten en riesgo o daños (p. ej., intentos de eludir los controles de acceso o explotar vulnerabilidades de software)?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.f, se te mostrará lo siguiente:

3.1-22.f.i. ¿Revisas estos registros de auditoría de administradores para tu entorno de backend donde los datos de la plataforma se almacenan al menos cada 7 días?

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.f, se te mostrará lo siguiente:

3.1-22. f.ii Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique tu enfoque para revisar los registros de auditoría de administradores para el entorno de backend donde se almacenan los datos de la plataforma con el fin de encontrar indicadores de eventos o incidentes de seguridad cotidianos al menos cada 7 días.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

Si seleccionas alguna de las opciones de la b a la f en la pregunta 3.1-8.a, se te mostrará lo siguiente:

3.1-22.g. Indicaste en una pregunta anterior que almacenas los datos de la plataforma en tu entorno de backend. Si identificas un evento o incidente de seguridad cotidiano que deriva en riesgo o daño en los registros de auditoría para este entorno de backend, ¿tienes algún proceso para investigar en mayor profundidad?

"Entorno de backend" se refiere a un entorno en la nube o servidor al que tus consumidores o clientes pueden acceder de forma remota, como un sitio web o API web.

Recordatorio: si se produce un evento o incidente de seguridad, nuestras políticas requieren que nos lo informe rápidamente.

[ ] Sí

[ ] No

Si seleccionas "Sí" en la pregunta 3.1-22.g, se te mostrará lo siguiente:

3.1-22.g.i. Sube una explicación por escrito (p. ej., un documento de política o procedimiento) que indique cómo investigas eventos de seguridad cotidianos o incidentes en tu entorno de backend donde se almacenan los datos de la plataforma, que derivan en riesgo o daños en tus registros de auditoría.

Resalta o haz un círculo en la parte de tu política en la que se describen estas condiciones.

3.1-23. ¿Tienes procesos de seguridad para las personas que tienen acceso a los datos de la plataforma?

Estos procesos podrían incluir uno o más de los siguientes elementos:

Verificación de antecedentes completada antes de tener acceso a los datos de la plataforma
Acuerdos de confidencialidad firmados antes de tener acceso a la capacitación de datos de la plataforma para el nuevo personal sobre políticas y procedimientos de seguridad de la información
Capacitación regular y continua para concienciar sobre la seguridad (es decir, anualmente)
Capacitación relacionada con roles específicos de trabajo que acceden a los datos de la plataforma
Devolución de activos (por ejemplo, una computadora portátil o un teléfono celular) tras la separación de la organización

[ ] Sí

[ ] No