Questions sur l’évaluation de la protection des données

Nous avons répertorié ici toutes les questions sur l’évaluation de la protection des données. Si votre évaluation commence par 3.1, vous l’avez reçue le 15 février 2024 ou après cette date. Consultez la liste ci-après.

Si votre évaluation n’est pas numérotée, vous l’avez reçue avant le 15 février 2024. Vous trouverez la liste des questions antérieures à cette date ici.

Les questions suivantes font partie de la mise à jour apportée à l’évaluation de la protection des données pour l’année 2024. Vous remarquerez que les numéros de questions commencent par le numéro de version correspondant. Pour la version 3.1, les questions seront numérotées 3.1-1, 3.1-2, etc. Nous mettons continuellement à jour nos questions pour qu’elles soient conformes aux normes du secteur, c’est pourquoi les questions envoyées aux équipes de développement peuvent différer en fonction de la date de réception de l’évaluation.

Instructions :

Nous recommandons aux admins de passer ces questions en revue avec leurs équipes internes pour s’assurer que les applications respectent les Conditions générales de notre plateforme. Nous informerons l’ensemble des admins de la nécessité ou non d’évaluer la protection des données pour chaque application.
Notez que seules les soumissions en anglais seront acceptées. N’hésitez pas pour cela à utiliser des outils de traduction si nécessaire.
Ces questions vous sont présentées ici à toutes fins utiles uniquement. Elles varient selon l’application, en fonction des données auxquelles chacune a accès. Si une application accède à certains types de données, il vous faudra peut-être également fournir des preuves pour étayer vos réponses.
Si vous procédez actuellement à une évaluation de la protection des données ou si vous répondez aux questions de suivi posées par nos examinateurs et examinatrices, nous vous invitons à poursuivre. Notez que les questions auxquelles vous répondez peuvent être différentes de celles mentionnées ici.

Utilisation des données

3.1-1. L’application utilise-t-elle les données de la plateforme pour discriminer certaines personnes (c’est-à-dire accorder à certaines des avantages refusés à d’autres) en fonction de leur origine, origine ethnique, couleur de peau, nationalité, religion, âge, sexe, orientation sexuelle, identité de genre, statut familial, handicap, état de santé ou encore de leurs maladies génétiques ?

Important : cette question ne concerne pas l’utilisation des données de genre et d’âge dans les applications de rencontres, l’utilisation des données de genre à des fins linguistiques et l’utilisation des données d’âge pour limiter l’accès au contenu pour adultes. Elle ne concerne pas non plus l’utilisation des données dans tout autre scénario dans lequel les données de la plateforme visent à améliorer l’expérience d’utilisation de manière pertinente. Si votre application renvoie à l’une de ces utilisations, votre réponse est « Non », car vous n’utilisez pas les informations demandées pour discriminer quelqu’un.

[ ] Oui
[ ] Non

Si vous répondez « Oui », vous devrez également répondre aux questions suivantes :

3.1-1.a.A. Quelles données de la plateforme l’application utilise-t-elle pour discriminer certaines personnes en fonction de leur origine, origine ethnique, couleur de peau, nationalité, religion, âge, sexe, orientation sexuelle, identité de genre, statut familial, handicap, état de santé ou encore de leurs maladies génétiques ?

3.1-1.a.B. Comment l’application utilise-t-elle les données de la plateforme pour discriminer certaines personnes en fonction de leur origine, origine ethnique, couleur de peau, nationalité, religion, âge, sexe, orientation sexuelle, identité de genre, statut familial, handicap, état de santé ou encore de leurs maladies génétiques ?

3.1-1.a.C. Quand les données de la plateforme ont-elles commencé à être utilisées de la sorte dans l’application ?

3.1-2. L’application utilise-t-elle les données de la plateforme pour prendre des décisions en matière de logement, d’emploi, d’assurance, d’éducation, de crédit, d’allocations gouvernementales ou de statut d’immigration ?

Si vous répondez « Oui », vous devrez également répondre aux questions suivantes :

3.1-2.a.A. Quelles données de la plateforme l’application utilise-t-elle pour prendre des décisions en matière de logement, d’emploi, d’assurance, d’éducation, de crédit, d’allocations gouvernementales ou de statut d’immigration ?

3.1-2.a.B. Comment l’application utilise-t-elle les données de la plateforme pour prendre des décisions en matière de logement, d’emploi, d’assurance, d’éducation, de crédit, d’allocations gouvernementales ou de statut d’immigration ?

3.1-2.a.C. Quand les données de la plateforme ont-elles commencé à être utilisées de la sorte dans l’application ?

3.1-3. L’application utilise-t-elle les données de la plateforme pour mener des activités de surveillance ? La surveillance comprend le traitement des données de la plateforme relatives aux personnes, groupes ou évènements pour faire respecter la loi ou protéger la sécurité nationale.

Si vous répondez « Oui », vous devrez également répondre aux questions suivantes :

3.1-3.a.A. Quelles données de la plateforme l’application utilise-t-elle pour mener des activités de surveillance ?

3.1-3.a.B. Comment l’application utilise-t-elle les données de la plateforme pour mener des activités de surveillance ?

3.1-3.a.C. Quand les données de la plateforme ont-elles commencé à être utilisées à cette fin dans l’application ?

Partage de données

3.1-4. Certaines des questions suivantes concernent les fournisseurs de services et leurs sous-traitant·es. Un fournisseur de services est une personne ou une entreprise qui vous propose des services afin de vous aider à utiliser la plateforme ou les données de la plateforme. Un·e sous-traitant·e d’un fournisseur de services est un fournisseur de services recruté pour le compte d’un autre fournisseur afin de vous proposer les services nécessaires à l’utilisation des données de la plateforme.

Google Cloud et Amazon Web Services (AWS) font partie des grands fournisseurs de services. Toutefois, vous pouvez également travailler avec des entreprises plus petites pour traiter ou utiliser les données de la plateforme, par exemple une entreprise de développement Web implantée dans votre pays ou région.

Parmi les actions suivantes, lesquelles réalisez-vous ?

Sélectionnez toutes les réponses possibles.

a. Je ne partage pas les données de la plateforme que je reçois par l’intermédiaire de cette application.
b. Vendre ou concéder sous licence les données de la plateforme à une autre personne ou entreprise, ou permettre à d’autres d’agir de la sorte ou les aider à le faire.
c. Acheter les données de la plateforme à une autre personne ou entreprise, ou permettre à d’autres d’agir de la sorte ou les aider à le faire.
d. Partager les données de la plateforme pour permettre à une personne ou à une entreprise de vous offrir un service (fournisseur de services).
e. Partager les données de la plateforme pour permettre à une autre personne ou entreprise (en dehors de la vôtre) d’accéder à la plateforme ou aux données de la plateforme et de les utiliser.
f. Partager les données de la plateforme à la demande expresse d’un·e utilisateur·ice de cette application.
g. Partager les données de la plateforme à d’autres fins que celles énumérées. Veuillez expliquer les raisons.

Si vous sélectionnez l’option b à la question 3.1-4, vous devrez répondre aux questions suivantes :

3.1-4.a.A. Quels types de données de la plateforme vendez-vous ou concédez-vous sous licence ?

3.1-4.a.B. Quelles autorisations, fonctions ou fonctionnalités, ou encore quels autres canaux cette application utilise-t-elle pour accéder aux données de la plateforme et les collecter ?

3.1-4.a.C. Dressez la liste de toutes les entités, entreprises et tierces parties auxquelles vous vendez ou concédez sous licence les données de la plateforme provenant de cette application, puis expliquez dans chacun des cas les raisons d’un tel partage.

3.1-4.a.D. Quand avez-vous commencé à vendre ou à concéder sous licence les données de la plateforme ?

Si vous sélectionnez l’option d à la question 3.1-4, vous devrez répondre à la question suivante :

3.1-4.b. Vous avez indiqué plus haut que vous partagiez les données de la plateforme avec des fournisseurs de services. Veuillez cocher les cases ci-dessous pour indiquer avec quels fournisseurs de services vous partagez les données de la plateforme. Dans les questions suivantes, nous vous demanderons de préciser avec qui vous partagez les données de la plateforme et d’expliquer comment vous procédez et pourquoi.

Remarque : ne mentionnez pas les services ou produits de Meta dans la liste des fournisseurs de services.

Sélectionnez toutes les réponses qui s’appliquent. Si vous partagez les données de la plateforme avec plusieurs fournisseurs de services mentionnés ici et d’autres non répertoriés, veuillez sélectionner ceux également concernés dans la catégorie « Autre ». Par exemple, vous pouvez sélectionner Apple, Google et Autre pour mentionner l’ensemble de vos fournisseurs de services.

a. Google (ex. : Play Store, Firebase, Cloud, AdMob, Analytics)
b. Amazon (ex. : Amazon Web Services)
c. Salesforce (ex. : Heroku, Marketing Cloud)
d. Apple (ex. : App Store)
e. Microsoft (ex. App Center, Azure, Playfab)
f. GitHub
g. AppLovin (ex. Adjust)
h. Appsflyer
i. Stripe
j. Twilio (ex. : Segment, SendGrid)
k. Autre (vous devrez importer une liste)

Si vous sélectionnez l’option k à la question 3.1-4.b, vous devrez suivre les instructions suivantes :

3.1-4.b.i. Veuillez importer un fichier CSV ou Excel mentionnant l’ensemble des fournisseurs de services avec qui vous partagez les données de la plateforme en plus des propositions de la liste ci-dessus. Assurez-vous de ne pas protéger ces fichiers par un mot de passe. Vous pouvez importer plusieurs fichiers d’une taille maximale de 2 Go chacun. Nous acceptons les formats suivants : .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip et .zipx.

Si vous sélectionnez l’option d à la question 3.1-4 et l’option k à la question 3.1-4.b, vous devrez répondre à la question suivante :

3.1-4.c. Avez-vous conclu un accord écrit avec chacun des fournisseurs de services avec qui vous partagez les données de la plateforme qui les oblige, ainsi que chacun·e de leurs sous-traitant·es (le cas échéant), à utiliser ces données uniquement dans le but de vous fournir le service demandé, et non dans leurs intérêts ou ceux de leur propre clientèle ?

On entend par accord écrit des conditions de service, un accord type non négocié ou un contrat signé. Par exemple, si vous utilisez Google Cloud en tant que fournisseur de services, l’accord écrit correspond aux Conditions de service acceptées.

[ ] Oui [ ] Non

Si vous répondez « Oui », vous devrez également répondre aux questions suivantes :

3.1-4.c.i. Veuillez cocher les cases ci-dessous pour indiquer les obligations et interdictions contenues dans vos accords écrits sur l’utilisation des données avec les fournisseurs de services. Sélectionnez toutes les réponses possibles.

a. Obligation pour les fournisseurs de services d’utiliser les données de la plateforme uniquement pour fournir le service que vous avez demandé.

b. Obligation pour les fournisseurs de services d’utiliser les données de la plateforme uniquement selon vos instructions.

c. Interdiction pour les fournisseurs de services de partager les données de la plateforme avec des tiers, sauf instruction expresse de votre part.

d. Interdiction pour les fournisseurs de services de traiter les données de la plateforme à leurs propres fins ou pour le compte de tiers.

e. Obligation pour les fournisseurs de services d’effacer les données de la plateforme que vous leur avez envoyées lorsque vous cessez de recourir à leurs services.

3.1-4.c.iv. A-t-il été porté à votre connaissance des cas où vos fournisseurs de services, et/ou leurs sous-traitant·es (le cas échéant), ont agi en désaccord avec les Conditions générales de la plateforme Meta, par exemple en vendant les données de la plateforme ou en omettant de supprimer ces données après que vous avez cessé d’utiliser leurs services ?

[ ] Oui [ ] Non

3.1-4.c.v. Si vous cessez de faire appel à un fournisseur de services ou à l’un·e de ses sous-traitant·es, les accords conclus (par exemple, leurs conditions de service) précisent-ils comment et quand ces intermédiaires doivent supprimer les données que vous leur avez envoyées ?

[ ] Oui [ ] Non

Si vous sélectionnez « Non » à la question 3.1-4.c.v, vous devrez répondre à la question suivante :

3.1-4.c.vi. Si vous cessez de faire appel à un fournisseur de services ou à l’un·e de ses sous-traitant·es, comment vous assurez-vous que ces intermédiaires suppriment bien les données de la plateforme que vous leur avez envoyées ?

Si vous sélectionnez l’option e à la question 3.1-4, vous devrez répondre à la question suivante :

3.1-4.d. Les questions suivantes concernent les fournisseurs de technologies qui développent des applications dont l’objectif principal est de gérer les intégrations de la plateforme pour le compte des clients et clientes afin de leur permettre d’accéder à leurs données dans les produits Meta et de les gérer. Parmi les fournisseurs de technologies, citons par exemple les fournisseurs et agences SaaS (Software as a Service).

Un fournisseur de technologies est une personne ou une entreprise à qui on a accordé l’accès aux API Meta afin de créer des intégrations pour le compte d’autres personnes ou d’autres entreprises, ainsi que d’en assurer la maintenance et de les supprimer. Sont également considérées comme des fournisseurs de technologies les personnes ou les entreprises qui créent une seule et même intégration pour le compte d’un·e ou de plusieurs clients et clientes.

Vous avez indiqué plus haut que cette application permettait aux particuliers ou aux entreprises (les clients et clientes) d’accéder aux données de la plateforme et de les utiliser. Cela signifie que vous intervenez en tant que fournisseur de technologies.

Traitez-vous les données de la plateforme que vous recevez par l’intermédiaire de cette application uniquement pour le compte de votre clientèle et selon les indications reçues ? [ ] Oui [ ] Non

Si vous sélectionnez « Non » à la question 3.1-4.d, vous devrez répondre aux questions suivantes :

3.1-4.d.i.A. Autrement que pour le compte de votre client ou cliente et des indications reçues de sa part, pour qui d’autre traitez-vous les données de la plateforme ?

3.1-4.d.i.B. Quelles données de la plateforme traitez-vous pour cette personne ou cette entreprise ?

3.1-4.d.i.C. Pourquoi traitez-vous les données de la plateforme pour cette personne ou cette entreprise ?

3.1-4.d.i.D. Quand avez-vous commencé à traiter ces données de la plateforme ?

3.1-4.d.i.E. Comment traitez-vous ces données de la plateforme ?

3.1-4.e. Concernant la maintenance des données de la plateforme pour chacun·e de vos clients et clientes, les séparez-vous (que ce soit d’un point de vue logique, par exemple dans des tables différentes, ou d’un point de vue physique) des données de vos autres clients et clientes et des données dont vous assurez la maintenance à vos propres fins ?

[ ] Oui [ ] Non

Si vous sélectionnez « Non » à la question 3.1-4.e, vous devrez répondre aux questions suivantes :

3.1-4.f. Vous avez indiqué que vous partagiez les données de la plateforme dans des circonstances autres que celles stipulées dans les questions précédentes. Veuillez décrire les données que vous partagez dans ces circonstances.

Où les données sont-elles stockées ?
Comment stockez-vous les données et en garantissez la sécurité ?
Qui y a accès ?
Comment contrôlez-vous cet accès ?

Si vous sélectionnez « Autre. Veuillez préciser. », vous devrez également répondre aux questions suivantes :

Vous avez indiqué que vous partagiez les données de la plateforme dans des circonstances autres que celles stipulées dans les questions précédentes. Veuillez décrire les données que vous partagez dans ces circonstances.

N’oubliez pas de répondre aux questions suivantes :

Hormis les utilisateurs et utilisatrices de cette application ou de ce site Web, avec qui d’autre partagez-vous ces données ?
Comment ces données sont-elles partagées ?
Quand avez-vous commencé à partager ces données avec l’entité ou les entités mentionnée(s) ?
Ces données sont-elles toujours actuellement partagées ?

3.1-4.f.i. Concernant les données de la plateforme partagées dans ces autres circonstances, avez-vous conclu un accord écrit avec chaque destinataire de ces données qui interdit leur utilisation d’une façon qui enfreindrait les Conditions générales de la plateforme Meta et des Politiques développeur (ou toute autre condition qui s’applique à votre utilisation des données de la plateforme) ?

Les accords écrits peuvent être, par exemple, des conditions de service, un accord standard non négocié ou un contrat signé.

[ ] Oui [ ] Non

3.1-4.g. Avez-vous eu connaissance d’une infraction aux Conditions générales de la plateforme Meta par l’un·e de ces destinataires ? Par exemple, par la vente, la concession sous licence ou l’achat des données de la plateforme.

[ ] Oui [ ] Non

Si vous sélectionnez « Oui » à la question 3.1-4.g, vous devrez répondre à la question suivante :

3.1-4.g.i. Vous avez indiqué ci-dessus que des destinataires des données de la plateforme avaient enfreint les Conditions générales de la plateforme Meta. Veuillez préciser.

Si vous sélectionnez l’option f à la question 3.1-4, vous devrez répondre à la question suivante :

3.1-4.i.A. Vous avez indiqué ci-dessus que vous aviez permis à une autre personne ou à une autre entreprise d’accéder aux données de la plateforme reçues par l’intermédiaire de votre application et ce, à la demande des utilisateurs et utilisatrices.

Décrivez les instructions données par les utilisateurs et utilisatrices vous demandant de partager les données de la plateforme avec une autre personne ou une autre entreprise.

3.1-4.i.B. Veuillez importer des captures d’écran des échanges autorisant un tel partage. Veillez à ce que les fichiers ne soient pas protégés par un mot de passe. Vous pouvez importer plusieurs fichiers d’une taille maximale de 2 Go chacun. Nous acceptons les formats suivants : .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip et .zipx.

Suppression des données

3.1-5. Supprimeriez-vous les données de la plateforme dans TOUTES les circonstances suivantes, sauf quand leur rétention est autorisée par nos Conditions générales ?

a. Lorsque la rétention des données de la plateforme n’est plus nécessaire à des fins commerciales légitimes.

b. Lorsque la demande émane d’un·e utilisateur·ice.

c. Lorsqu’un·e utilisateur·ice n’a plus de compte avec votre application (ne s’applique que si vous proposez des comptes d’utilisateur·ice).

d. Lorsque la demande émane de Meta.

e. Lorsqu’une loi ou une réglementation l’exige.

Concernant cette question, les « données de la plateforme » n’incluent pas les données mentionnées dans la section 3.e intitulée « Exceptions » des Conditions générales de la plateforme. Pour comprendre nos exigences en matière de suppression, veuillez consulter la section 3.d intitulée « Rétention, suppression et accessibilité des données de la plateforme » des Conditions générales de la plateforme. Notez que dans certaines circonstances, la suppression n’est pas nécessaire. C’est le cas si les données de la plateforme ont été agrégées ou masquées, ou encore si tout élément permettant d’identifier un utilisateur ou une utilisatrice en particulier, un navigateur ou un appareil a été supprimé. Il est autorisé de conserver des données anonymes et agrégées à des fins professionnelles, en accord avec l’expérience utilisateur, par exemple à des fins de facturation.

[ ] Oui
[ ] Non

Si vous sélectionnez « Non » à la question 3.1-5, vous devrez répondre aux questions suivantes :

3.1-5.a. Dans laquelle des circonstances ci-dessus ne supprimeriez-vous PAS les données de la plateforme ? Pourquoi ?

3.1-6. Si vous supprimez les données de la plateforme, dans les circonstances énumérées ci-dessus, prenez-vous les mesures nécessaires à une suppression dans des délais raisonnables ?

Ces délais dépendent des systèmes et des données, mais on entend habituellement par raisonnable un délai ne dépassant pas 120 jours. Cette question concerne uniquement les données de la plateforme et non les données collectées et stockées indépendamment par cette application.

Elle ne s’applique pas non plus aux données de la plateforme que vous devez conserver autrement pour vous conformer à une loi ou une réglementation en vigueur.

[ ] Oui
[ ] Non

Dans quelles circonstances pourriez-vous conserver les données de la plateforme pendant plus de 120 jours ? Remarque : cette question ne s’applique pas non plus aux données de la plateforme que vous devez conserver autrement pour vous conformer à une loi ou à une réglementation en vigueur.

Si vous sélectionnez « Non » à la question 3.1-6, vous devrez répondre à la question suivante :

3.1-6.a. Dans quelles circonstances pourriez-vous conserver les données de la plateforme pendant plus de 120 jours ?

Remarque : cette question ne s’applique pas non plus aux données de la plateforme que vous devez conserver autrement pour vous conformer à une loi ou à une réglementation en vigueur.

Si vous sélectionnez « Oui » à la question 3.1-5, vous devrez répondre à la question suivante :

3.1-5.b. Vous avez indiqué ci-dessus que vous supprimiez les données de la plateforme lorsqu’elles n’étaient plus nécessaires à des fins commerciales légitimes. Veuillez décrire la façon dont vous déterminez le moment où les données de la plateforme ne sont plus nécessaires à des fins commerciales légitimes.

Concernant cette question, les « données de la plateforme » n’incluent pas les données mentionnées dans la section 3(e) des Conditions générales de la plateforme.

3.1-5.c. Vous avez indiqué ci-dessus que vous supprimiez les données de la plateforme quand une personne utilisant l’application vous le demandait. Veuillez décrire la procédure que les utilisateurs et utilisatrices peuvent suivre pour demander la suppression de leurs données. Dans la mesure du possible, merci d’inclure des captures d’écran.

Veillez à ce que les fichiers ne soient pas protégés par un mot de passe. Vous pouvez importer plusieurs fichiers d’une taille maximale de 2 Go chacun. Nous acceptons les formats suivants : .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip et .zipx.

Concernant cette question, les « données de la plateforme » n’incluent pas les données mentionnées dans la section 3(e) des Conditions générales de la plateforme.

Sécurité des données

3.1-A. Dans le cadre de la section 6.a.i des Conditions générales de la plateforme, Meta exige que vous mettiez en place des moyens administratifs, physiques et techniques pour empêcher tout accès non autorisé ainsi que toute destruction, perte, altération, divulgation, distribution ou tout piratage des données de la plateforme.

Pour en savoir plus, consultez nos Recommandations en matière de sécurité des données à l’attention des développeur·ses, notre aperçu de la procédure d’évaluation de la protection des données et nos Questions/réponses.

Avant de répondre aux questions suivantes, veillez à consulter les bonnes personnes, comme votre responsable de la sécurité de l’information, la personne ayant un rôle équivalent dans votre organisation ou une entreprise de cybersécurité qualifiée (par exemple, une société ayant au moins 5 ans d’expérience dans les audits ISO 27001), afin de fournir des réponses précises.

Cochez « Je comprends » pour poursuivre l’évaluation.

[ ] Je comprends

3.1-B. À titre de rappel, les « données de la plateforme » telles que définies dans notre Glossaire des Conditions générales de la plateforme sont « toute information, donnée ou tout autre contenu que vous obtenez directement ou indirectement de nous, par le biais de la plateforme ou de votre application que ce soit avant, après ou à la date d’acceptation des présentes Conditions générales, y compris les données rendues anonymes, agrégées ou dérivées de ces données. Les données de la plateforme comprennent les tokens d’application, de page, d’accès et d’utilisateur, ainsi que les clés secrètes. »

Par souci de clarté, elles incluent également les données de type ID utilisateur, adresse e-mail et toutes celles que vous recevez des appels API sur graph.facebook.com.

Pour répondre aux questions suivantes, vous devrez comprendre pleinement comment les données de la plateforme Meta liées à cette application sont transmises, stockées et traitées dans vos logiciels et systèmes.

Cette question concerne toutes les autorisations, fonctions et fonctionnalités de cette application. Pour savoir quelles sont les autorisations, fonctions et fonctionnalités de cette application, consultez son Espace App. Vous y accédez en sélectionnant l’application sur la page Mes applications.

Cochez « Je comprends » pour continuer.

[ ] Je comprends

3.1-7. Si vous disposez d’une certification de sécurité de l’information qui répond à tous les critères suivants, vous pouvez la soumettre comme preuve de votre mise en œuvre des mesures de protection administratives, physiques et techniques suffisantes visant à protéger les Données du programme :

Cette certification doit être de type SOC 2, ISO 27001, ISO 27018 ou équivalent.
La certification a été délivrée à votre organisation par un·e auditeur·ice indépendant·e (et non par une tierce personne).
Elle doit aussi être valide (par exemple, avoir été émise depuis moins d’un an pour une certification SOC 2, ou depuis moins de trois ans pour une certification ISO).
L’audit doit couvrir l’intégralité des systèmes que vous utilisez pour traiter les données de la plateforme Meta.

Possédez-vous une certification sur la sécurité qui répond à ces critères ?

[ ] Oui [ ] Non

Si vous sélectionnez « Oui » à la question 3.1-7, vous devrez répondre aux questions suivantes :

3.1-7.a. Quelles certifications sur la sécurité des données possédez-vous ? Sélectionnez toutes les réponses qui s’appliquent. * [ ] Rapport SOC 2 Type 2 * [ ] Certificat ISO 27001 * [ ] Certificat ISO 27018 * [ ] Autre certification équivalente * Si vous sélectionnez « Autre certification équivalente », vous devrez répondre à la question suivante : * Quel est le nom de cette certification sur la sécurité ?

3.1-7.a.i.B. Veuillez en importer une copie. Assurez-vous de ne pas protéger ces fichiers par un mot de passe. Vous pouvez importer plusieurs fichiers d’une taille maximale de 2 Go chacun. Nous acceptons les formats suivants : .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip et .zipx.

Si vous sélectionnez l’option d à la question 3.1-7.a, vous devrez répondre à la question suivante :

3.1-7.a.i.A. Quel est le nom de cette certification sur la sécurité ?

3.1-8. Stockez-vous les données de la plateforme dans votre environnement backend (par exemple, bases de données, buckets de stockage d’objets ou stockage en bloc dans le cloud ou un autre type d’environnement hébergé) ?

Sélectionnez « Oui » si vous enregistrez les données de la plateforme dans un espace de stockage persistant dans un environnement backend cloud ou serveur qui conserve les données après la mise hors tension de l’appareil, par exemple sur un disque, dans des fichiers journaux ou des bases de données accessibles via un site Web ou une API.

Sélectionnez « Non » dans l’un des cas suivants :

Vous traitez exclusivement les données de la plateforme sur les clients et clientes détenues par les utilisateur·ices de votre application et ne les transmettez jamais vers un environnement backend.
Vous traitez les données de la plateforme dans un environnement backend, mais elles ne sont à aucun moment enregistrées dans un espace de stockage persistant.
[ ] Oui
[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre aux questions suivantes :

3.1-8.a. Vous avez indiqué dans la question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Parmi les types de données de la plateforme suivants, lesquels stockez-vous dans votre environnement backend ? Sélectionnez toutes les réponses applicables.

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.
« Stockage » désigne l’enregistrement des données de la plateforme et leur conservation dans un environnement après la mise hors tension de l’appareil (par exemple, fichiers journaux, bases de données d’objets ou relationnelles, ou disques).

a. Identifiant utilisateur·ice Meta ou haché

b. Adresse e-mail.

c. Image de profil

d. Token d’accès utilisateur·ice de l’API Meta

e. Clé secrète

f. Autres données de la plateforme non énumérées ci-dessus

3.1-8.b. Laquelle de ces solutions d’hébergement utilisez-vous pour traiter les données de la plateforme dans votre environnement backend ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

Sélectionnez toutes les réponses applicables.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba/Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Centre de données possédé par une autre organisation avec des serveurs appartenant à mon organisation

k. Centre de données et serveurs appartenant à mon organisation

l. Autre

Si vous sélectionnez l’option l à la question 3.1-8.b, vous devrez répondre à la question suivante :

3.1-8.b.i. À la question précédente, vous avez sélectionné « Autre » pour indiquer que vous utilisez une option d’hébergement qui ne figure pas dans la liste. Décrivez l’approche d’hébergement de votre environnement backend.

Si vous sélectionnez l’option b, c, d, e ou f à la question 3.1-8.a et l’option c, h, i, j, k ou l à la question 3.1-8.b, vous devrez répondre à la question suivante :

3.1-9.a. Appliquez-vous le chiffrement au repos à toutes les données de la plateforme que vous stockez dans votre environnement backend ?

Le chiffrement au repos protège les données de la plateforme en les rendant indéchiffrables sans clé de déchiffrement. Cela offre un niveau de protection supplémentaire contre l’accès en lecture non autorisé. Si vous stockez des données de la plateforme dans un environnement backend, nous exigeons que vous appliquiez un chiffrement au repos ou des mesures de protection alternatives valables.

Certains hébergeurs activent le chiffrement au repos par défaut ou disposent d'options de configuration pour l'activer. Avant de répondre à cette question, vérifiez que le chiffrement au repos s’applique bien aux services que vous utilisez pour traiter les données de la plateforme. Si tel est le cas, répondez « Oui » à cette question.

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non, mais nos hébergeurs disposent d’une certification SOC 2 ou ISO 27001 qui atteste que leurs contrôles de sécurité physique et d’élimination sécurisée des supports multimédias ont été évalués par un tiers.

[ ] Non

Si vous sélectionnez l’option b, c, d, e ou f à la question 3.1-8.a et ne sélectionnez pas l’option c, h, i, j, k ou l à la question 3.1-8.b, vous devrez répondre à la question suivante :

3.1-9.b. Appliquez-vous le chiffrement au repos pour toutes les données de la plateforme que vous stockez dans votre environnement backend ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-9.a ou 3.1-9.b, vous devrez répondre aux questions suivantes :

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

3.1-9.b.i. Vous avez indiqué à la question précédente que vous appliquiez le chiffrement au repos pour toutes les données de la plateforme stockées dans votre environnement backend. Importez une explication écrite (par exemple, un document de politique ou de procédure) qui atteste que toutes les données de la plateforme stockées dans votre environnement backend doivent être protégées par un chiffrement au repos.

Si vous catégorisez et protégez les données différemment selon un ensemble de niveaux de sensibilité des données, votre explication doit clairement indiquer le niveau de sensibilité affecté aux données de la plateforme envoyées par Meta, et vous devez importer les politiques correspondantes.

Veillez à entourer ou surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

3.1-9.b.ii. Importez au moins une preuve (capture d’écran d’une instance de base de données, par exemple) qui montre comment vous mettez en pratique cette protection : toutes les données de la plateforme stockées dans votre environnement de serveur backend sont protégées par un chiffrement au repos.

Si vous sélectionnez « Non » à la question 3.1-9.a, vous devrez répondre à la question suivante :

3.1-9.c.i. Quel type de justificatif disposez-vous pour attester que les contrôles de sécurité physique et d’élimination sécurisée des supports multimédias de votre hébergeur ont été évalués ?

Pour montrer que vous respectez les Conditions générales de la plateforme Meta, vous devez prouver que l’audit ISO 27001 ou SOC 2 de votre hébergeur a évalué les contrôles de sécurité physique et d’élimination sécurisée des supports multimédias. Dans les normes ISO/CEI 27001:2013 ou 2017, il s’agit des contrôles A.8.3, A.11.1 et A.11.2. Dans la norme SOC 2, il s’agit des contrôles CC6.4 et CC6.5.

a. Un audit ISO 27001 de mon hébergeur, dans lequel la Déclaration d’applicabilité associée atteste que les contrôles de sécurité physique et d’élimination sécurisée des supports multimédias ont été évalués.

b. Un rapport d’audit SOC 2 atteste que les contrôles de sécurité physique et d’élimination sécurisée des supports multimédias ont été testés et qu’il n’y a eu aucun résultat défavorable lié à ces contrôles.

c. Aucune de ces réponses

Si vous sélectionnez l’option a ou b à la question 3.1-9.c.i, vous devrez répondre à la question suivante :

3.1-9.c.ii. À quelle date le certificat ISO 27001 ou SOC 2 de votre hébergeur a-t-il été délivré ?

3.1-10. Des personnes de votre organisation stockent-elles des données de la plateforme sur des points de terminaison de l’organisation ou des appareils personnels (par exemple, sur des ordinateurs portables ou des smartphones) ?

« Stockage » désigne l’enregistrement des données de la plateforme et leur conservation dans un environnement après la mise hors tension de l’appareil, comme les ordinateurs portables, les clés USB, les disques durs amovibles et les services de stockage cloud tels que Dropbox ou Google Drive.

Remarque : cette question ne concerne pas les données contenues dans les clients Web ou mobiles des utilisateurs et utilisatrices de votre service.

[ ] Oui. Une ou plusieurs personnes dans mon organisation stockent les données de la plateforme sur leurs appareils professionnels ou personnels.
[ ] Non. En aucune circonstance un membre de mon organisation ne stocke les données de la plateforme sur des appareils professionnels ou personnels.

Si vous sélectionnez « Oui » à la question 3.1-10, vous devrez répondre à la question suivante :

3.1-10.a. Lorsque des personnes de votre organisation stockent des données de la plateforme sur des points de terminaison professionnels ou des appareils personnels, quelles sont les mesures de protection mises en place pour réduire le risque de perte de données ?

Nous exigeons que vous mettiez en place des mesures pour réduire le risque d’accès aux données de la plateforme lorsqu’elles sont stockées au repos.

Sélectionnez toutes les réponses possibles.

a. Logiciel ou service qui applique le chiffrement sur la totalité du disque des appareils de l’organisation (par exemple, Bitlocker ou FileVault)

b. Logiciel de prévention de la perte de données (DLP) au point de terminaison sur tous les appareils gérés pour surveiller et enregistrer les actions liées aux données de la plateforme stockées

c. Les personnes dans mon organisation sont tenues de respecter une politique d’utilisation acceptable qui n’autorise le traitement des données de la plateforme que s’il existe un objectif commercial clair et réalisable et qui stipule que les données doivent être supprimées lorsque l’objectif commercial n’existe plus.

d. Aucune de ces réponses

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’option a ou b à la question 3.1-10.a, vous devrez répondre à la question suivante :

3.1-10.a.i. Vous avez indiqué à la question précédente que vous protégiez les données de la plateforme stockées sur les appareils professionnels ou personnels par le biais du chiffrement sur la totalité du disque de ces appareils ou d’un logiciel de prévention de la perte de données (DLP) au point de terminaison. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous mettez en œuvre cette protection technique.

Si vous catégorisez et protégez les données différemment selon un ensemble de niveaux de sensibilité des données, votre explication doit clairement indiquer le niveau de sensibilité affecté aux données de la plateforme envoyées par Meta. Vous devez également importer les politiques correspondantes.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’option a ou b à la question 3.1-10.a, vous devrez répondre à la question suivante :

3.1-10.a.ii. Importez au moins une preuve (configuration d’un outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : protections techniques pour les données de la plateforme stockées sur des appareils professionnels ou personnels. [Question principale]

Par exemple :

Capture d’écran d’une politique de groupe qui nécessite l’activation de BitLocker sur les appareils gérés.
Capture d’écran d’un outil de gestion DLP qui montre que la surveillance des données PII est activée pour tous les points de terminaison.
Capture d’écran d’un autre outil ou produit que vos admins informatiques utilisent pour déployer des protections techniques sur tous les appareils de l’organisation.
Veillez à ce que les fichiers ne soient pas protégés par un mot de passe. Vous pouvez importer plusieurs fichiers d’une taille maximale de 2 Go chacun. Nous acceptons les formats suivants : .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip et .zipx.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez uniquement l’option c à la question 3.1-10.a, vous devrez répondre à la question suivante :

3.1-10.a.iii. Vous avez indiqué dans une question précédente que les personnes de votre organisation étaient tenues de respecter une politique d’utilisation acceptable lorsqu’elles stockaient des données de la plateforme sur des appareils professionnels ou personnels. Importez une explication écrite (par exemple, un document de politique ou de procédure) contenant votre politique d’utilisation acceptable.

Nous exigeons que cette politique décrive clairement les éléments suivants :

Finalités commerciales pour lesquelles le traitement des données de la plateforme sur les appareils professionnels ou personnels est autorisé.
Obligation de supprimer les données lorsque cette finalité n’existe plus.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez uniquement l’option c à la question 3.1-10.a, vous devrez répondre à la question suivante :

3.1-10.a.iv. Je peux confirmer que toutes les personnes de mon organisation susceptibles de traiter des données de la plateforme sur des appareils professionnels ou personnels : ont été informées de la politique d’utilisation acceptable de ces données ; ont reconnu avoir compris cette politique ; ont été informées de cette politique dans le cadre du processus d’intégration lors de leur embauche.

[ ] Oui, je peux le confirmer.

[ ] Non, je ne peux pas le confirmer.

Si vous sélectionnez « Oui » à la question 3.1-8 et « Non » à la question 3.1-10, vous devrez répondre à la question suivante :

3.1-10.b. Vous avez indiqué à la question précédente qu’en aucune circonstance, les membres de votre organisation ne stockaient les données de la plateforme sur des appareils professionnels ou personnels.

Avez-vous informé les personnes de votre organisation qu’en aucun cas elles n’étaient autorisées à stocker les données de la plateforme sur des appareils professionnels ou personnels, et leur avez-vous demandé de reconnaître avoir pris connaissance de cette obligation ?

Conformément à nos politiques, les organisations doivent informer l’ensemble de leurs membres, y compris les utilisateur·ices disposant de privilèges élevés, comme les admins, que le stockage des données de la plateforme n’est pas autorisé.

[ ] Oui

[ ] Non

Si vous sélectionnez « Non » à la question 3.1-8 et « Non » à la question 3.1-10, vous devrez répondre à la question suivante :

3.1-10.c. Vous avez indiqué à la question précédente qu’en aucune circonstance, les membres de votre organisation ne stockaient les données de la plateforme sur des appareils professionnels ou personnels.

[ ] Oui

[ ] Ce n’est pas nécessaire, car les données de la plateforme ne sont jamais accessibles aux membres de mon organisation.

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-10.b ou 3.1-10.c, vous devrez répondre à la question suivante :

3.1-10.c.i. Vous avez indiqué lors d’une question précédente qu’en aucune circonstance, les membres de votre organisation ne stockaient les données de la plateforme sur des appareils professionnels ou personnels. Importez une explication écrite (par exemple, un document de politique ou de procédure) qui stipule que les membres de votre organisation ne doivent pas stocker les données de la plateforme sur ces appareils.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-10.b ou 3.1-10.c, vous devrez répondre à la question suivante :

3.1-10.c.ii. Je peux confirmer que tous les membres de mon organisation :

ont été informés de la politique qui leur interdit de stocker les données de la plateforme sur les appareils professionnels et personnels ;

ont reconnu avoir compris cette politique ;

ont été informés de cette politique lors de leur embauche.

[ ] Oui, je peux le confirmer.

[ ] Non, je ne peux pas le confirmer.

Si vous sélectionnez « Non » à la question 3.1-8 et « Non » à la question 3.1-10, vous devrez répondre à la question suivante :

3.1-10.d. Importez un diagramme du flux de données et une description de la façon dont votre application utilise les données de la plateforme.

Les détails suivants doivent être inclus :

Montrez comment votre application effectue des appels vers les API Meta, telles que graph.facebook.com, et identifiez tous les composants qui utilisent les données de la plateforme, y compris ceux qui stockent, mettent en cache, traitent ou transfèrent les données de la plateforme sur les réseaux.

Décrivez les principaux cas d’utilisation (c’est-à-dire les flux qui offrent des résultats utiles aux utilisateur·ices de votre application) pris en charge.

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-11.a. Dans la mesure où des données de la plateforme sont transmises, activez-vous le protocole de sécurité TLS 1.2 ou version supérieure pour chiffrer les données de toutes les connexions réseau qui transitent par des réseaux publics, s’y connectent ou les croisent ?

Le chiffrement du transfert protège les données de la plateforme lorsqu’elles sont transmises sur des réseaux non fiables (p. ex., Internet) en les rendant indéchiffrables, sauf pour les appareils d’origine et de destination. Les intermédiaires du transfert ne doivent pas pouvoir lire les données de la plateforme, même s’ils ou elles peuvent voir le trafic réseau (évitant ainsi les attaques de l’homme du milieu). Le protocole TLS est la forme de chiffrement en transit la plus répandue, s’agissant de la technologie utilisée par les navigateurs pour sécuriser les communications vers les sites Web comme ceux des banques.

Nous exigeons que tous les auditeur·ices Web (comme les équilibreurs de charge Internet) qui reçoivent ou renvoient des données de la plateforme activent le protocole TLS 1.2 ou une version ultérieure. TLS 1.0 et TLS 1.1 ne peuvent être utilisés qu’à des fins de compatibilité avec les appareils clients qui ne peuvent pas utiliser TLS 1.2 ou une version ultérieure. Nous recommandons, mais n’exigeons pas, que le chiffrement en transit soit appliqué aux transferts de données de la plateforme qui se trouvent entièrement au sein de réseaux privés de confiance que vous contrôlez (par exemple, dans un cloud privé virtuel). Pour plus d’informations sur cette exigence et sur l’importation de tout justificatif requis, consultez nos Exigences en matière de sécurité des données.

[ ] Oui

[ ] Non

Si vous sélectionnez « Non » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-11.b. Dans la mesure où des données de la plateforme sont transmises, activez-vous le protocole de sécurité TLS 1.2 ou version supérieure pour chiffrer les données de toutes les connexions réseau qui transitent par des réseaux publics, s’y connectent ou les croisent ?

[ ] Oui

[ ] Ce n’est pas nécessaire. Nous ne transmettons jamais de données de la plateforme sur Internet pour toute raison autre que les demandes adressées directement à Meta.

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-11.a ou 3.1-11.b, vous devrez répondre à la question suivante :

3.1-11.c. Vous avez indiqué à la question précédente que vous activiez le protocole de sécurité TLS 1.2 ou supérieur pour chiffrer les données en transit. Vous assurez-vous que les données de la plateforme ne sont jamais transmises sur des réseaux publics sous une forme non chiffrée (par exemple, via HTTP ou FTP) et que les protocoles de sécurité SSL 2.0 et SSL 3.0 ne sont jamais utilisés ?

Nous exigeons que les données de la plateforme ne soient jamais transmises sur des réseaux non fiables sous une forme non chiffrée, et vous ne devez jamais utiliser SSL 2.0 ou SSL 3.0. Pour plus d’informations sur cette exigence et l’importation de tout justificatif requis, veuillez consulter nos Exigences en matière de sécurité des données.

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-11.a ou 3.1-11.b, vous devrez répondre à la question suivante :

3.1-11.a.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous activez le protocole de sécurité TLS 1.2 ou supérieur pour les données en transit.

Votre document doit inclure les déclarations suivantes : 1. Les données de la plateforme ne sont jamais transmises sans chiffrement en transit. 2. Les versions SSL 2 et 3 ne sont jamais utilisées.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-11.a ou 3.1-11.b, vous devrez répondre à la question suivante :

3.1-11.a.ii. Importez au moins une preuve (capture d’écran complète des résultats d’une analyse SSL Qualys effectuée sur l’un de vos domaines Web, par exemple) qui montre comment vous mettez en pratique cette protection : activation du protocole de sécurité TLS 1.2 ou supérieure pour les données en transit. [Question principale]

Si vous sélectionnez « Non » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-12.a. Au cours des 12 derniers mois, avez-vous utilisé l’une des approches suivantes pour tester le logiciel qui traite les données de la plateforme en vue de détecter les vulnérabilités et les problèmes de sécurité ?

Cette question ne concerne que les logiciels que vous créez ou assemblez (bibliothèques de code, par exemple) pour traiter les données de la plateforme, et non les logiciels conçus ou maintenus par d’autres entreprises (tels que les systèmes d’exploitation Android ou iOS).

Sélectionnez toutes les réponses possibles.

a. Test de sécurité d’application statique (SAST)

b. Test de sécurité d’application dynamique (DST)

c. Test de pénétration par une équipe interne

d. Test de pénétration par une entreprise de sécurité externe

e. Rapports de vulnérabilité provenant de chercheur·ses externes obtenus par le biais d’un Programme de révélation des vulnérabilités (VDP) ou d’un programme de signalement de bugs basé sur un système de récompenses

f. Autre approche pour détecter les vulnérabilités

g. Aucune de ces réponses

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’une des options a à g à la question 3.1-12.a, vous devrez répondre à la question suivante :

3.1-12.a.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous testez le logiciel qui traite les données de la plateforme en vue de détecter les vulnérabilités et les problèmes de sécurité.

Les procédures de test suivantes devraient toutes être incluses dans votre explication écrite :

Effectuer un test de détection des vulnérabilités de sécurité au moins une fois tous les 12 mois.
Avoir un processus pour trier les résultats en fonction de la gravité.
S’assurer que les vulnérabilités de gravité élevée, présentant un risque d’accès non autorisé aux données de la plateforme, sont corrigées rapidement.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’une des options a à f à la question 3.1-12.a, vous devrez répondre à la question suivante :

3.1-12.a.ii. Importez au moins une preuve (synthèse des résultats d’un récent test d’intrusion, par exemple) qui montre comment vous mettez en pratique cette protection : test du logiciel qui traite les données de la plateforme en vue de détecter les vulnérabilités et les problèmes de sécurité.

Vous devez inclure les informations suivantes dans vos preuves : 1. Une explication du champ d’application et de la méthodologie de test 2. La date à laquelle le test a été effectué (Pour être acceptable, la date doit être postérieure de 12 mois à la date à laquelle nous vous avons signalé cette évaluation.). 3. Le cas échéant, un résumé des vulnérabilités critiques et de gravité élevée non résolues.

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-12.b. Au cours des 12 derniers mois, avez-vous utilisé l’une des approches suivantes pour détecter les vulnérabilités et les problèmes de sécurité dans votre environnement backend dans lequel vous traitez les données de la plateforme ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

Sélectionnez toutes les réponses possibles.

a. Test de sécurité d’application statique (SAST)

b. Test de sécurité d’application dynamique (DST)

c. Analyse Web

d. Test de pénétration par une équipe interne

e. Test de pénétration par une entreprise de sécurité externe

f. Rapports de vulnérabilité provenant de chercheur·ses externes obtenus par le biais d’un Programme de révélation des vulnérabilités (VDP) ou d’un programme de signalement de bugs basé sur un système de récompenses

g. Autre approche pour détecter les vulnérabilités

h. Cela n’est pas nécessaire, car mon organisation utilise une solution backend sans code

i. Aucune de ces réponses

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’une des options a à g à la question 3.1-12.b, vous devrez répondre à la question suivante :

3.1-12.b.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous détectez les vulnérabilités et les problèmes de sécurité dans votre environnement serveur lors du traitement des données de la plateforme.

Les procédures de test suivantes devraient toutes être incluses dans votre explication écrite :

Effectuer un test de détection des vulnérabilités de sécurité au moins une fois tous les 12 mois.
Avoir un processus pour trier les résultats en fonction de la gravité.
S’assurer que les vulnérabilités de gravité élevée, présentant un risque d’accès non autorisé aux données de la plateforme, sont corrigées rapidement.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’une des options a à g à la question 3.1-12.b, vous devrez répondre à la question suivante :

3.1-12.b.ii. Importez au moins une preuve (synthèse des résultats d’un récent test d’intrusion, par exemple) qui montre comment vous mettez en pratique cette protection : test de détection des vulnérabilités et problèmes de sécurité dans votre environnement backend lors du traitement des données de la plateforme.

Vous devez inclure les informations suivantes dans vos preuves :

Une explication du champ d’application et de la méthodologie de test
La date à laquelle le test a été effectué (Pour être acceptable, la date doit être postérieure de 12 mois à la date à laquelle nous vous avons signalé cette évaluation.).
Le cas échéant, un résumé des vulnérabilités critiques et de gravité élevée non résolues.

Si vous sélectionnez l’une des options a-b ou d-i à la question 3.1-8.b

3.1-12.c. Testez-vous l’environnement cloud utilisé pour traiter les données de la plateforme en vue d’identifier les erreurs de configuration de sécurité (à l’aide d’un outil comme NCC Scout Suite, par exemple) au moins tous les 12 mois ?

Meta exige que vous preniez des mesures pour tester votre logiciel en vue de détecter les vulnérabilités et les problèmes de sécurité au moins une fois tous les 12 mois afin de prévenir tout accès non autorisé aux données de la plateforme.

[ ] Oui

[ ] Non applicable, car mon organisation s’appuie uniquement sur un service backend qui n’expose pas d’options de configuration de sécurité sensibles.

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-12.c, vous devrez répondre à la question suivante :

3.1-12.c.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous testez l’environnement cloud utilisé pour traiter les données de la plateforme en vue d’identifier les erreurs de configuration de sécurité.

Les procédures de test suivantes devraient toutes être incluses dans votre explication écrite :

Effectuer un test pour détecter les vulnérabilités de sécurité au moins une fois tous les 12 mois.
Avoir un processus pour trier les résultats en fonction de la gravité.
S’assurer que les vulnérabilités de gravité élevée, présentant un risque d’accès non autorisé aux données de la plateforme, sont corrigées rapidement.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-12.c, vous devrez répondre à la question suivante :

3.1-12.c.ii. Importez au moins une preuve (synthèse d’un test de NCC Scout Suite, par exemple) qui montre comment vous mettez en pratique cette protection : test de détection des erreurs de configuration de sécurité dans l’environnement cloud utilisé pour traiter les données de la plateforme.

Vous devez inclure les informations suivantes dans vos preuves :

Une explication du champ d’application et de la méthodologie de test
La date à laquelle le test a été effectué (Pour être acceptable, la date doit être postérieure de 12 mois à la date à laquelle nous vous avons signalé cette évaluation.).
Le cas échéant, un résumé des vulnérabilités critiques et de gravité élevée non résolues.

3.1-13.a. Les tokens d’accès stockés par votre application ou logiciel sur les appareils des clients et clientes sont-ils lisibles par une application ou un·e autre utilisateur·ice ?

« Appareil des clients ou clientes » désigne un matériel, comme un téléphone mobile Android ou iPhone, qui appartient aux utilisateur·ices de votre application ou service.

Sélectionnez « non » si vous n’avez pas d’application ou de logiciel qui fonctionne sur les appareils des clients ou clientes, tels que les téléphones mobiles.

[ ] Oui

[ ] Non

Si cette application n’est pas configurée comme une application de bureau/native, vous devrez répondre à la question suivante :

3.1-13.b. La clé secrète Facebook est-elle exposée aux appareils des clients et clientes (par exemple, dans un code compilé) ?

[ ] Oui

[ ] Oui, mais mon application est configurée comme une application de bureau ou native.

[ ] Non

Si vous sélectionnez l’option d à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-13.c. Vous devez répondre à cette question, car vous avez indiqué lors d’une question précédente que vous stockiez les tokens d’accès utilisateur·ice de l’API Meta dans votre environnement backend. Comment protégez-vous ces tokens d’une utilisation non autorisée ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

Les tokens d’accès sont essentiels à la sécurité des API de Meta. Nous demandons aux équipes de développement de protéger les tokens d’accès contre les accès non autorisés. En savoir plus sur les tokens d’accès.

Sélectionnez toutes les réponses possibles.

a. Stockage de ces données dans une base de données de type vault (p. ex. : Vault de Hashicorp) avec un service de gestion de clés (KMS) distinct

b. Chiffrement de l’application (ex. : les tokens d’accès utilisateur·ices ne sont jamais en clair dans les bases de données ou tout autre stockage persistant)

c. Configuration de l’application de manière à demander le paramètre appsecret_proof pour tous les appels d’API à Meta

d. J’utilise une approche différente pour protéger les tokens d’accès utilisateur·ices

e. Aucune de ces réponses

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez a, b, c ou d à la question 3.1-13.c, vous devrez répondre à la question suivante :

3.1-13.c.i. La question précédente portait sur la façon dont vous protégez les tokens d’accès utilisateur·ice stockés dans votre environnement backend contre l’utilisation non autorisée. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous protégez les tokens d’accès.

Votre explication écrite devrait inclure les éléments suivants :

Description des mesures prises pour protéger les tokens d’accès utilisateur·ice contre les accès en lecture non autorisés.
Interdiction en toute circonstance d’écrire en clair (sans chiffrement) les tokens d’accès utilisateur·ice dans les fichiers journaux.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

3.1-13.c.ii Importez au moins une preuve (capture d’écran d’une clé de token d’accès, sans sa valeur, par exemple) qui montre comment vous mettez en pratique cette protection : protection des tokens d’accès stockés dans votre environnement backend contre une utilisation non autorisée. [Question principale]

Si vous sélectionnez l’option e à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-13.d. Vous devez répondre à cette question, car vous avez indiqué lors d’une question précédente que vous stockiez la clé secrète dans votre environnement backend. Comment protégez-vous la clé secrète d’une utilisation non autorisée ?

La clé secrète est un paramètre associé à Meta Technologies qui peut être utilisé comme un token d’accès dans certains appels d’API pour modifier la configuration d’une application, par exemple, pour configurer les rappels Webhook. La clé secrète se trouve dans l’Espace App sous Paramètres > Général. Pour plus d’informations sur la clé secrète, consultez notre documentation pour les équipes de développement sur la sécurité de la connexion. Pour en savoir plus sur nos exigences relatives à la protection des clés secrètes et des tokens, y compris les justificatifs que vous devez éventuellement fournir, consultez Protection de la clé secrète et des tokens d’accès Meta.

Nous exigeons que vous preniez l’une des deux mesures suivantes pour protéger la clé secrète :

Ne jamais l’exposer en dehors d’un environnement serveur sécurisé. Cela signifie que la clé secrète n’est jamais renvoyée par un appel réseau à un navigateur ou à une application mobile, et qu’elle n’est pas intégrée dans un code distribué aux clients mobiles ou natifs/de bureau.
Configurer l’authentification avec le type « application native ou de bureau » de manière à ce que les API Meta n’acceptent plus les appels d’API incluant la clé secrète.

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

Sélectionnez toutes les réponses possibles.

a. Stockage de ces données dans une base de données de type vault (p. ex. : Vault de Hashicorp) avec un service de gestion de clés (KMS) distinct

b. Chiffrement de l’application (ex. : la clé secrète n’apparaît jamais en clair dans les bases de données ou tout autre stockage persistant)

c. J’utilise une approche différente pour protéger les clés secrètes

d. Aucune de ces réponses

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’option a, b ou c à la question 3.1-13.d, vous devrez répondre à la question suivante :

3.1-13.d.i. Vous avez indiqué à la question précédente que vous protégiez la clé secrète stockée dans votre environnement backend contre les utilisations non autorisées. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous mettez en œuvre cette protection.

Votre explication écrite devrait inclure les éléments suivants :

Description des mesures prises pour protéger la clé secrète contre les accès en lecture non autorisés.
Interdiction en toute circonstance d’écrire en clair (sans chiffrement) la clé secrète dans les fichiers journaux.

Veillez à entourer ou à surligner ces conditions dans votre politique.

La clé secrète est essentielle à la sécurité des API de Meta. Nous demandons aux équipes de développement de protéger la clé secrète contre les accès non autorisés. En savoir plus sur la clé secrète.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’option a, b ou c à la question 3.1-13.d, vous devrez répondre à la question suivante :

3.1-13.d.ii. Importez au moins une preuve (capture d’écran de votre gestionnaire de clés secrètes contenant la clé secrète de l’application avec la valeur masquée, par exemple) qui montre comment vous mettez en pratique cette protection : protection de la clé secrète de l’application stockée dans votre environnement backend contre l’utilisation non autorisée.

Pour voir un exemple de preuve acceptable, consultez notre guide des justificatifs pour cette question.

3.1-15.a. L’authentification multifactorielle (MFA) est-elle requise pour tout accès à vos outils de collaboration et de communication ?

Nous exigeons la mise en place de l’authentification multifactorielle ou d’une protection acceptable alternative pour l’ensemble des utilisateur·ices de vos outils de collaboration et de communication (p. ex. : e-mail, Slack). Nous n’imposons aucune méthode particulière pour la mise en œuvre de la MFA.

[ ] Oui

[ ] Non, mais nous appliquons une politique de complexité du mot de passe ainsi qu’un report de l’authentification et un blocage automatique du compte après des tentatives de connexion infructueuses.

[ ] Non

3.1-15.b. L’authentification multifactorielle (MFA) est-elle requise pour accéder à votre outil de dépôt de code (p. ex. : GitHub) ou tout outil de suivi des modifications de l’application ainsi que du code et de la configuration du système ?

Nous exigeons la mise en place de l’authentification multifactorielle ou d’une protection acceptable alternative pour l’ensemble des utilisateur·ices de votre dépôt de code. Nous n’imposons aucune méthode particulière pour la mise en œuvre de la MFA.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-15.c. L’authentification multifactorielle (MFA) est-elle requise pour accéder à vos outils de déploiement logiciel, comme Jenkins, ou à un autre outil d’intégration continue/de déploiement continu (CI/CD) ?

Nous exigeons la mise en place de l’authentification multifactorielle ou d’une protection acceptable alternative pour l’ensemble des utilisateur·ices de vos outils de déploiement logiciel. Nous n’imposons aucune méthode particulière pour la mise en œuvre de la MFA.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-15.d. L’authentification multifactorielle (MFA) est-elle requise pour accéder à vos outils administratifs backend, comme un portail administratif cloud ?

Nous exigeons la mise en place de l’authentification multifactorielle ou d’une protection acceptable alternative pour l’ensemble des utilisateur·ices de vos outils administratifs dans le cloud ou sur serveur. Nous n’imposons aucune méthode particulière pour la mise en œuvre de la MFA.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-15.e. L’authentification multifactorielle (MFA) est-elle requise pour tout accès à distance aux serveurs, par exemple via SSH ?

Nous exigeons la mise en place de l’authentification multifactorielle ou d’une protection acceptable alternative pour tout accès à distance aux serveurs. Nous n’imposons aucune méthode particulière pour la mise en œuvre de la MFA.

[ ] Oui

[ ] Non applicable. Nous n’avons pas d’accès à distance aux serveurs.

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à l’une des questions 3.1-15.a à 3.1-15.e, vous devrez répondre à la question suivante :

3.1-15.e.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) qui énonce vos exigences en matière d’authentification multifactorielle (MFA) ou d’autres mesures pour prévenir l’usurpation de compte (par exemple, complexité du mot de passe combinée à un report de l’authentification et un blocage automatique du compte après des tentatives de connexion infructueuses).

Votre explication doit inclure vos exigences en matière d’authentification pour tout accès à des outils de collaboration et de communication, des dépôts de code, des outils de déploiement logiciel et des outils administratifs backend ainsi que pour l’accès à distance aux serveurs via un outil comme SSH.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à l’une des questions 3.1-15.a à 3.1-15.e, vous devrez répondre à la question suivante :

3.1-15.e.ii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : authentification multifactorielle ou autres mesures pour prévenir l’usurpation de compte.

Vous devez montrer la façon dont vous utilisez l’authentification pour protéger tout accès à des outils de collaboration et de communication, des dépôts de code, des outils de déploiement logiciel et des outils administratifs backend ainsi que l’accès à distance aux serveurs via un outil comme SSH.

3.1-16. Avez-vous un système de gestion des comptes permettant d’attribuer, de révoquer et d’examiner les accès des membres de votre organisation ?

Nous exigeons que vous mettiez en place un système de gestion des comptes et que vous examiniez régulièrement les accès accordés, au moins une fois tous les 12 mois. Vous devez disposer d’un processus permettant de révoquer rapidement un accès dans les cas suivants :

L’accès n’est plus nécessaire.
L’accès n’est plus utilisé.
Une personne quitte l’organisation.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-16, vous devrez répondre à la question suivante :

3.1-16.a. Parmi les processus ci-dessous, quels sont ceux que vous mettez en œuvre dans votre système de gestion des comptes ?

Sélectionnez toutes les réponses possibles.

a. Nous examinons tous les accès accordés au moins une fois tous les 12 mois et révoquons ceux qui ne sont plus nécessaires.

b. Nous examinons tous les accès accordés au moins une fois tous les 12 mois et révoquons ceux qui ne sont plus utilisés.

c. Nous révoquons immédiatement tous les accès accordés à une personne qui quitte l’organisation.

d. Aucune de ces réponses

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’une des options a à c à la question 3.1-16.a, vous devrez répondre à la question suivante :

3.1-16.a.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) qui énonce les exigences liées au système pour la gestion des comptes.

Votre explication écrite doit inclure les exigences relatives aux éléments suivants :

Révocation d’un accès qui n’est plus nécessaire.
Révocation d’un accès qui n’est plus utilisé.
Révocation immédiate des accès d’une personne qui quitte l’organisation.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez l’une des options a à c à la question 3.1-16.a, vous devrez répondre à la question suivante :

3.1-16.a.ii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : mise en œuvre d’un système de gestion des comptes.

Elle doit montrer comment vous appliquez les mesures suivantes :

Révocation d’un accès qui n’est plus nécessaire.
Révocation d’un accès qui n’est plus utilisé.
Révocation immédiate des accès d’une personne qui quitte l’organisation.

Si vous sélectionnez « Oui » à la question 3.1-8, vous devrez répondre à la question suivante :

3.1-17.a. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Concernant les logiciels que vous utilisez pour traiter les données de la plateforme dans votre environnement backend, appliquez-vous toutes les mesures suivantes : procédure définie et reproductible pour identifier les correctifs dans les logiciels tiers qui résolvent les vulnérabilités de sécurité ; identification des correctifs prioritaires en fonction du risque (ex. : score de gravité établi par CVSS) ; déploiement des correctifs en continu ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Ce n’est pas nécessaire, car mon organisation utilise une solution backend sans code.

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-17.a, vous devrez répondre à la question suivante :

3.1-17.a.i. Vous avez indiqué à la question précédente que des processus mettaient à jour votre code et votre environnement backend. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous mettez à jour votre code et votre environnement backend.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-17.a, vous devrez répondre à la question suivante :

3.1-17.a.ii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : mise à jour de votre code et votre environnement backend.

3.1-17.b. Concernant les logiciels tiers que vous utilisez pour traiter les données de la plateforme dans une application mobile, Android ou iPhone, par exemple, appliquez-vous toutes les mesures suivantes : procédure définie et reproductible pour identifier les correctifs dans les logiciels tiers qui résolvent les vulnérabilités de sécurité ; identification des correctifs prioritaires en fonction du risque (ex. : score de gravité établi par CVSS) ; déploiement des correctifs en continu ?

[ ] Oui

[ ] Ce n’est pas nécessaire, car mon organisation ne traite pas les données de la plateforme dans une application mobile.

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-17.b, vous devrez répondre à la question suivante :

3.1-17.b.i. À la question précédente, vous avez indiqué que vous mettiez à jour les logiciels tiers dans votre application mobile. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous mettez à jour le code tiers dans votre application mobile.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-17.b, vous devrez répondre à la question suivante :

3.1-17.b.ii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : mise à jour du code tiers dans votre application mobile.

3.1-17.c. Concernant les systèmes d’exploitation, logiciels antivirus, navigateurs utilisés sur les ordinateurs portables et les autres systèmes et applications utilisés par les membres de votre organisation pour concevoir et exploiter votre application, appliquez-vous toutes les mesures suivantes : procédure définie et reproductible pour identifier les correctifs des logiciels tiers qui résolvent les vulnérabilités de sécurité ; identification des correctifs prioritaires en fonction du risque (ex. : score de gravité établi par CVSS) ; déploiement et vérification des correctifs en continu ?

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-17.c, vous devrez répondre à la question suivante :

3.1-17.c.i. Vous avez indiqué à la question précédente que vous mettiez à jour les logiciels tiers dans les systèmes et applications utilisés pour concevoir et exploiter votre application. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous mettez à jour ces logiciels tiers et antivirus.

Veillez à entourer ou à surligner ces conditions dans votre politique.

Cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-17.c, vous devrez répondre à la question suivante :

3.1-17.c.ii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : mise à jour des logiciels tiers et antivirus. [Question principale]

3.1-21. Dans cette application, avez-vous mis en place un moyen accessible au public pour vous signaler les vulnérabilités affectant la sécurité ?

[ ] Oui

[ ] Non

Si vous sélectionnez « Non » à la question 3.1-21, vous devrez répondre à la question suivante :

3.1-21.a. Avez-vous une adresse e-mail, un numéro de téléphone ou un formulaire, régulièrement consulté(e), où l’on peut vous contacter ?

[ ] Oui

[ ] Non

Si vous sélectionnez l’une des options b à f à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-22. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Collectez-vous les journaux d’audit d’administration pour cet environnement backend ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22, vous devrez répondre à la question suivante :

3.1-22.a. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous collectez les journaux d’audit d’administration de votre environnement backend dans lequel les données de la plateforme sont stockées.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22, vous devrez répondre à la question suivante :

3.1-22.a.i. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : collecte des journaux d’audit d’administration de votre environnement backend dans lequel les données de la plateforme sont stockées.

Si vous sélectionnez l’une des options b à f à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-22.b. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Collectez-vous les journaux d’audit des évènements d’application de cet environnement backend ? Exemples d’évènements d’application :

Échecs de validation d’entrée et de sortie
Échecs d’authentification et de contrôle d’accès
Erreurs de l’application et évènements système

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-22.b, vous devrez répondre à la question suivante :

3.1-22.b.i. Les journaux d’audit des évènements d’application de votre environnement backend où les données de la plateforme sont stockées comprennent-ils tous les champs suivants ?

Identifiant utilisateur·ice Meta (lorsqu’il est partagé avec vous)
Type d’évènement
Date et heure
Indicateur de réussite ou d’échec

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22.b, vous devrez répondre à la question suivante :

3.1-22.b.ii. Importez une explication écrite (par ex., un document de politique ou de procédure) qui décrit votre approche pour collecter les journaux d’audit des évènements d’application de votre environnement backend dans lequel les données de la plateforme sont stockées.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22.b, vous devrez répondre à la question suivante :

3.1-22.b.iii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : collecte des journaux d’audit des évènements d’application de votre environnement backend dans lequel les données de la plateforme sont stockées.

Si vous sélectionnez l’une des options b à f à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-22.c. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Avez-vous mis en place des politiques ou des procédures pour prévenir tout accès non autorisé aux journaux d’audit ainsi que leur altération dans cet environnement backend ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non

3.1-22.d. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Pour cet environnement, conservez-vous les journaux d’audit pendant au moins 30 jours ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui [ ] Non

Si vous sélectionnez l’une des options b à f à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-22.e. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Utilisez-vous une solution automatisée pour examiner les journaux d’audit des évènements d’application de cet environnement backend afin d’identifier des indicateurs d’évènements ou d’incidents de sécurité quotidiens qui présentent un risque ou sont susceptibles de causer des altérations (p. ex. : tentatives de contournement des contrôles d’accès ou d’exploitation des vulnérabilités des logiciels) ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-22.e, vous devrez répondre à la question suivante : 3.1-22.e.i. Examinez-vous, au moins tous les 7 jours, les journaux d’audit des évènements d’application de votre environnement backend dans lequel les données de la plateforme sont stockées ?

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22.e, vous devrez répondre à la question suivante :

3.1-22.e.ii. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous examinez, au minimum tous les 7 jours, les journaux d’audit des évènements d’application de votre environnement backend dans lequel les données de la plateforme sont stockées.

Veillez à entourer ou à surligner ces conditions dans votre politique.

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22.e, vous devrez répondre à la question suivante :

3.1-22.e.iii. Importez au moins une preuve (configuration d’outil ou capture d’écran de votre application, par exemple) qui montre comment vous mettez en pratique cette protection : examen, au moins tous les 7 jours, des journaux d’audit des évènements d’application de votre environnement backend dans lequel les données de la plateforme sont stockées.

Si vous sélectionnez l’une des options b à f à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-22.f. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Examinez-vous les journaux d’audit d’administration de cet environnement afin d’identifier des indicateurs d’évènements ou d’incidents de sécurité quotidiens qui présentent un risque ou sont susceptibles de causer des altérations (p. ex. : tentatives de contournement des contrôles d’accès ou d’exploitation des vulnérabilités des logiciels) ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

[ ] Oui

[ ] Non

Si vous sélectionnez « Oui » à la question 3.1-22.f, vous devrez répondre à la question suivante :

3.1-22.f.i. Examinez-vous, au moins tous les 7 jours, ces journaux d’audit d’administration de votre environnement backend dans lequel les données de la plateforme sont stockées ?

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22.f, vous devrez répondre à la question suivante :

3.1-22.f.ii Importez une explication écrite (par exemple, un document de politique ou de procédure) qui décrit votre approche pour examiner, au minimum tous les 7 jours, les journaux d’audit d’administration de votre environnement backend dans lequel les données de la plateforme sont stockées, en vue d’identifier les indicateurs d’évènements ou d’incidents de sécurité quotidiens.

Veillez à entourer ou à surligner ces conditions dans votre politique.

Si vous sélectionnez l’une des options b à f à la question 3.1-8.a, vous devrez répondre à la question suivante :

3.1-22.g. Vous avez indiqué lors d’une question précédente que vous stockiez les données de la plateforme dans votre environnement backend. Si vous identifiez un évènement de sécurité ou un incident quotidien présentant un risque ou susceptible d’endommager vos journaux d’audit de cet environnement backend, avez-vous mis en place un processus pour effectuer un examen approfondi ?

« Environnement backend » désigne un environnement cloud ou serveur auquel votre clientèle peut accéder à distance, comme un site Web ou une API Web.

Rappel : si un évènement de sécurité ou un incident se produit, nos politiques exigent que vous nous le signaliez rapidement.

[ ] Oui

[ ] Non

AVERTISSEMENT : cette question ne concerne que certaines équipes de développement. Consultez votre formulaire d’évaluation spécifique pour savoir si ces exigences s’appliquent à vous.

Si vous sélectionnez « Oui » à la question 3.1-22.g, vous devrez répondre à la question suivante :

3.1-22.g.i. Importez une explication écrite (par exemple, un document de politique ou de procédure) décrivant la façon dont vous enquêtez sur les évènements ou les incidents de sécurité quotidiens dans votre environnement backend dans lequel les données de la plateforme sont stockées, et qui présentent un risque ou sont susceptibles d’endommager vos journaux d’audit.

Veillez à entourer ou à surligner ces conditions dans votre politique.

3.1-23. Avez-vous mis en place des processus de sécurité pour les personnes ayant accès aux données de la plateforme ?

Ces processus peuvent inclure une ou plusieurs des mesures suivantes :

Vérifications des antécédents avant d’accorder l’accès aux données de la plateforme.
Signature par le nouveau personnel d’accords de confidentialité sur les politiques et procédures de sécurité des informations avant de pouvoir accéder à la formation sur les données de la plateforme.
Formation continue de sensibilisation à la sécurité (c’est-à-dire annuellement).
Formation liée à des postes spécifiques ayant accès aux données de la plateforme.
Retour du matériel (p. ex. : ordinateur portable ou téléphone mobile) lors du départ de l’organisation.

[ ] Oui

[ ] Non