Pertanyaan Penilaian Perlindungan Data

Pertanyaan berikut adalah bagian dari Penilaian Perlindungan Data 2024 yang diperbarui. Anda akan melihat bahwa nomor pertanyaan dimulai dengan nomor versi yang sesuai; untuk versi 3.1, pertanyaan akan muncul sebagai 3.1-1, 3.1-2, dst. Kami terus memperbarui pertanyaan agar konsisten dengan standar industri dan developer mungkin menerima pertanyaan yang berbeda bergantung pada kapan mereka menerima penilaian.

Petunjuk penggunaan:

1. Kami menyarankan administrator aplikasi meninjau ini bersama tim internalnya sebagai cara untuk memastikan aplikasi memenuhi persyaratan Ketentuan Platform kami. Semua administrator aplikasi akan diberi tahu jika Penilaian Perlindungan Data diperlukan untuk setiap aplikasi.

2. Perhatikan bahwa hanya pengajuan dalam bahasa Inggris yang akan diterima. Silakan menggunakan alat penerjemahan yang diperlukan untuk mengajukan penilaian Anda dalam bahasa Inggris.

3. Pertanyaan ini ditampilkan di sini hanya untuk memudahkan Anda. Pertanyaan yang wajib dijawab untuk aplikasi tertentu akan berbeda-beda berdasarkan data yang dapat diakses setiap aplikasi. Jika aplikasi memiliki akses ke jenis data tertentu, Anda juga mungkin perlu memberikan bukti untuk mendukung jawaban Anda.

4. Jika Anda sedang dalam proses menyelesaikan Penilaian Perlindungan Data, atau menjawab pertanyaan lanjutan dari peninjau kami, lanjutkan proses tersebut dan perhatikan bahwa pertanyaan yang sedang Anda jawab mungkin berbeda dengan pertanyaan yang diperbarui di sini.

Penggunaan Data

3.1-1. Apakah aplikasi menggunakan Data Platform untuk merugikan orang tertentu (artinya sebagian orang mendapatkan sesuatu yang tidak bisa didapatkan sebagian orang lain) berdasarkan ras, etnis, warna kulit, asal kebangsaan, agama, usia, jenis kelamin, orientasi seksual, identitas gender, status keluarga, disabilitas, kondisi medis, atau genetik?

• [ ] Ya
• [ ] Tidak

Jika menjawab "ya", Anda akan diberi pertanyaan tambahan berikut:

3.1-1.a.A. Data Platform mana yang digunakan aplikasi untuk merugikan orang-orang tertentu berdasarkan ras, etnis, warna kulit, asal kebangsaan, agama, usia, jenis kelamin, orientasi seksual, identitas gender, status keluarga, disabilitas, kondisi medis, atau genetik?

3.1-1.a.B. Bagaimana aplikasi menggunakan Data Platform untuk merugikan orang-orang tertentu berdasarkan ras, etnis, warna kulit, asal kebangsaan, agama, usia, jenis kelamin, orientasi seksual, identitas gender, status keluarga, disabilitas, kondisi medis, atau genetik?

3.1-1.a.C. Kapan aplikasi mulai menggunakan Data Platform dengan cara ini?

3.1-2. Apakah aplikasi menggunakan Data Platform untuk mengambil keputusan tentang perumahan, pekerjaan, asuransi, peluang pendidikan, kredit, tunjangan pemerintah, atau status imigrasi?

Jika menjawab "ya", Anda akan diberi pertanyaan tambahan berikut:

3.1-2.a.A. Data Platform mana yang digunakan aplikasi untuk mengambil keputusan tentang perumahan, pekerjaan, asuransi, peluang pendidikan, kredit, tunjangan pemerintah, atau status imigrasi?

3.1-2.a.B. Bagaimana cara aplikasi menggunakan Data Platform untuk mengambil keputusan tentang perumahan, pekerjaan, asuransi, peluang pendidikan, kredit, tunjangan pemerintah, atau status imigrasi?

3.1-2.a.C. Kapan aplikasi mulai menggunakan Data Platform dengan cara ini?

3.1-3. Apakah aplikasi menggunakan Data Platform untuk aktivitas yang terkait dengan pengawasan? Pengawasan mencakup pemrosesan Data Platform tentang orang, kelompok, atau acara untuk tujuan penegakan hukum atau keamanan nasional.

Jika menjawab "ya", Anda akan diberi pertanyaan tambahan berikut:

3.1-3.a.A. Data Platform mana yang digunakan aplikasi untuk aktivitas terkait pengawasan?

3.1-3.a.B. Bagaimana cara aplikasi menggunakan Data Platform untuk aktivitas terkait pengawasan?

3.1-3.a.C. Kapan aplikasi mulai menggunakan Data Platform untuk tujuan ini?

Berbagi data

3.1-4. Beberapa pertanyaan berikut adalah tentang penyedia layanan dan sub-penyedia layanan. Penyedia layanan adalah orang atau bisnis yang menyediakan layanan untuk membantu Anda menggunakan Platform atau Data Platform. Penyedia sub-layanan adalah penyedia layanan yang digunakan oleh penyedia layanan lain untuk menyediakan layanan kepada mereka sehubungan dengan Data Platform.

Google Cloud dan Amazon Web Services (AWS) adalah contoh penyedia layanan berskala besar yang umum, tetapi Anda juga mungkin bekerja bersama perusahaan berskala lebih kecil untuk memproses atau menggunakan Data Platform, seperti bisnis pengembangan web lokal di negara atau wilayah Anda.

Apakah Anda melakukan hal-hal berikut ini?

Pilih semua yang berlaku.

• a. Saya tidak berbagi Data Platform yang diterima melalui aplikasi ini.
• b. Menjual atau melisensikan Data Platform kepada orang atau bisnis lain, atau memfasilitasi atau mendukung orang lain melakukannya.
• c. Membeli Data Platform dari orang atau bisnis lain, atau memfasilitasi atau mendukung orang lain melakukannya.
• d. Berbagi Data Platform agar seseorang atau bisnis dapat memberi layanan kepada Anda (penyedia layanan).
• e. Berbagi Data Platform agar orang atau bisnis lain (di luar bisnis Anda) dapat mengakses dan menggunakan Platform atau Data Platform
• f. Berbagi Data Platform akibat arahan eksplisit dari seorang pengguna aplikasi ini.
• g. Berbagi Data Platform untuk tujuan lain yang tidak tercantum di atas. Jelaskan.

Jika Anda memilih opsi b dalam pertanyaan 3.1-4, hal berikut akan ditampilkan:

3.1-4.a.A. Jenis Data Platform apa yang Anda jual atau lisensikan?

3.1-4.a.B. Izin, fitur, kemampuan, atau saluran lain mana yang digunakan aplikasi ini untuk mengakses dan mengumpulkan Data Platform tersebut?

3.1-4.a.C. Cantumkan semua entitas, bisnis, dan pihak ketiga yang membeli atau mendapat lisensi Data Platform dari aplikasi ini dan jelaskan tujuan berbagi data itu dalam setiap kasus.

3.1-4.a.D. Kapan Anda mulai menjual atau melisensikan Data Platform?

Jika Anda memilih opsi d dalam pertanyaan 3.1-4, hal berikut akan ditampilkan:

3.1-4.b. Anda menyatakan di atas bahwa Anda berbagi Data Platform dengan penyedia layanan. Silakan centang kotak di bawah untuk menandai penyedia layanan mana yang Anda bagikan Data Platform. Pertanyaan berikutnya akan meminta Anda untuk menjelaskan dengan siapa Anda membagikan Data Platform dan menjelaskan bagaimana caranya serta alasannya.

Catatan: Mohon jangan mencantumkan layanan atau produk Meta sebagai penyedia layanan.

Pilih semua yang berlaku. Jika Anda membagikan Data Platform dengan lebih dari satu penyedia layanan yang terdaftar di sini dan penyedia layanan tambahan yang tidak terdaftar, silakan pilih semua yang berlaku serta “Lainnya”. Misalnya, Anda dapat memilih Apple, Google, dan Lainnya untuk mewakili semua penyedia layanan Anda.

• a. Google (misalnya Play Store, Firebase, Cloud, AdMob, Analytics)
• b. Amazon (misalnya Amazon Web Services)
• c. Salesforce (misalnya Heroku, Marketing Cloud)
• d. Apple (misalnya App Store)
• e. Microsoft (misalnya App Center, Azure, Playfab)
• f. Github
• g. AppLovin (misalnya Adjust)
• h. Appsflyer
• i. Stripe
• j. Twilio (misalnya Segment, SendGrid)
• k. Lainnya (Anda akan diminta untuk mengunggah daftar)

Jika Anda memilih opsi k dalam pertanyaan 3.1-4.b, hal berikut akan ditampilkan:

3.1-4.b.i. Unggah file CSV atau Excel yang mencantumkan penyedia layanan apa pun yang Anda bagikan Data Platform selain yang Anda nyatakan dalam daftar di atas. Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi d dalam pertanyaan 3.1-4 dan opsi k dalam pertanyaan 3.1-4.b, hal berikut akan ditampilkan:

3.1-4.c. Apakah Anda memiliki kesepakatan tertulis dengan setiap penyedia layanan yang Anda bagikan Data Platform yang mewajibkan mereka, dan setiap sub-penyedia layanan mereka (jika ada), untuk menggunakan Data Platform hanya sesuai arahan Anda dan hanya untuk menyediakan layanan yang Anda minta—bukan untuk tujuan mereka sendiri atau untuk menguntungkan klien mereka sendiri?

Perjanjian tertulis dapat meliputi ketentuan layanan, perjanjian non-negosiasi standar, atau kontrak yang ditandatangani. Misalnya, jika Anda menggunakan Google Cloud sebagai penyedia layanan, perjanjian tertulis adalah Ketentuan Layanan yang Anda setujui.

[ ] Ya [ ] Tidak

Jika Anda memilih "Ya", hal berikut akan ditampilkan:

3.1-4.c.i. Centang kotak di bawah ini untuk menyatakan jenis bahasa yang terkandung dalam perjanjian data tertulis Anda dengan penyedia layanan. Pilih semua yang berlaku.

a. Bahasa yang mewajibkan penyedia layanan untuk hanya menggunakan Data Platform untuk menyediakan layanan yang diminta oleh Anda.

b. Bahasa yang mewajibkan penyedia layanan untuk hanya menggunakan Data Platform sebagaimana diperintahkan oleh Anda.

c. Bahasa yang melarang penyedia layanan berbagi Data Platform dengan pihak ketiga kecuali jika diperintahkan oleh Anda.

d. Bahasa yang melarang penyedia layanan memproses Data Platform untuk tujuan mereka sendiri atau untuk pihak ketiga mana pun.

e. Bahasa yang mewajibkan penyedia layanan menghapus Data Platform yang diterima dari Anda ketika Anda berhenti menggunakan layanan mereka.

3.1-4.c.iv. Apakah Anda mengetahui kejadian ketika penyedia layanan Anda, dan/atau sub-penyedia layanan mereka (jika ada), bertindak dengan cara yang tidak sesuai dengan Ketentuan Platform Meta, seperti menjual Data Platform atau tidak menghapus Data Platform setelah Anda berhenti menggunakan layanan mereka?

[ ] Ya [ ] Tidak

3.1-4.c.v. Jika Anda berhenti menggunakan penyedia layanan atau sub-penyedia layanan, apakah perjanjian Anda dengan mereka (seperti ketentuan layanan mereka) menentukan bagaimana dan kapan penyedia layanan tersebut harus menghapus data yang mereka terima dari Anda?

[ ] Ya [ ] Tidak

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-4.c.v, hal berikut akan ditampilkan:

3.1-4.c.vi. Jika Anda berhenti menggunakan penyedia layanan atau sub-penyedia layanan, bagaimana Anda memastikan bahwa mereka menghapus Data Platform yang mereka terima dari Anda?

Jika Anda memilih opsi e dalam pertanyaan 3.1-4 hal berikut akan ditampilkan:

3.1-4.d. Pertanyaan selanjutnya adalah tentang Penyedia Layanan Teknologi, yaitu developer aplikasi yang tujuan utamanya adalah mengelola integrasi Platform atas nama pelanggan atau klien sehingga mereka dapat mengakses dan mengelola data mereka di produk Meta. Contoh Penyedia Teknologi termasuk penyedia dan agensi SaaS (perangkat lunak sebagai layanan).

• Definisi Penyedia Teknologi: Seorang individu atau bisnis yang telah diberikan akses ke API Meta untuk tujuan membuat, memelihara, dan menghapus integrasi atas nama individu atau bisnis lain. Ini mencakup individu atau bisnis yang menciptakan integrasi tunggal atas nama klien individu atau beberapa klien.

Anda mengindikasikan di atas bahwa aplikasi ini memungkinkan orang atau bisnis (klien) untuk mengakses dan menggunakan Data Platform. Ini berarti Anda adalah Penyedia Teknologi.

Apakah Anda memproses Data Platform yang Anda terima melalui aplikasi ini hanya atas nama dan atas arahan klien Anda? [ ] Ya [ ] Tidak

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-4.d, hal berikut akan ditampilkan:

3.1-4.d.i.A. Selain atas arahan dan atas nama klien Anda, untuk siapa Anda memproses Data Platform?

3.1-4.d.i.B. Data Platform apa yang Anda proses untuk orang atau bisnis ini?

3.1-4.d.i.C. Mengapa Anda memproses Data Platform untuk orang atau bisnis ini?

3.1-4.d.i.D. Kapan Anda mulai memproses Data Platform tersebut?

3.1-4.d.i.E. Bagaimana cara Anda memproses Data Platform ini?

3.1-4.e. Apakah Anda mengelola Data Platform dari setiap klien Anda secara terpisah (baik secara logika, seperti dalam tabel terpisah, atau secara fisik) dari data klien Anda yang lain dan data yang Anda kelola untuk tujuan Anda sendiri?

[ ] Ya [ ] Tidak

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-4.e, hal berikut akan ditampilkan:

3.1-4.f. Anda menyatakan bahwa Anda berbagi Data Platform dalam situasi selain yang disebutkan dalam pertanyaan sebelumnya. Jelaskan data yang Anda bagikan dalam situasi tersebut.

• Di mana data ini disimpan?
• Bagaimana cara Anda menyimpan dan mengamankan data?
• Siapa yang memiliki akses?
• Bagaimana cara Anda mengontrol akses?

Jika Anda memilih "Lainnya. Mohon jelaskan.", Anda akan lanjut dengan:

• Anda menyatakan bahwa Anda berbagi Data Platform dalam situasi selain yang disebutkan dalam pertanyaan sebelumnya. Jelaskan data yang Anda bagikan dalam situasi tersebut.

Pastikan untuk memasukkan tanggapan untuk pertanyaan-pertanyaan berikut:

• Selain pengguna individu dari aplikasi atau situs web ini, dengan siapa Anda membagikan data ini?
• Bagaimana cara data dibagikan?
• Kapan Anda mulai membagikan data dengan entitas yang Anda sebutkan?
• Apakah data tersebut masih dibagikan saat ini?

3.1-4.f.i. Untuk Data Platform yang dibagikan dalam situasi lain seperti itu, apakah Anda memiliki perjanjian tertulis dengan setiap penerima Data Platform yang melarang mereka menggunakan Data Platform dengan cara yang akan melanggar Ketentuan Platform dan Kebijakan Developer Meta (atau ketentuan lain yang berlaku untuk penggunaan Anda atas Data Platform)?

Contoh perjanjian tertulis termasuk ketentuan layanan, perjanjian standar yang tidak dinegosiasikan, atau kontrak yang ditandatangani.

[ ] Ya [ ] Tidak

3.1-4.g. Sejauh pengetahuan Anda, apakah ada di antara penerima Data Platform ini yang melanggar Ketentuan Platform Facebook? Misalnya dengan menjual, melisensi, atau membeli Data Platform.

[ ] Ya [ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-4.g, hal berikut akan ditampilkan:

3.1-4.g.i. Anda menyatakan di atas bahwa ada penerima Data Platform yang melanggar Ketentuan Platform Facebook. Mohon berikan detailnya.

Jika Anda memilih opsi f dalam pertanyaan 3.1-4, hal berikut akan ditampilkan:

3.1-4.i.A. Anda menyatakan di atas bahwa Anda menyediakan Data Platform yang diterima melalui aplikasi ini bagi orang atau bisnis lain ketika pengguna mengarahkan Anda untuk membagikan Data Platform.

Jelaskan bagaimana cara pengguna mengarahkan Anda untuk membagikan Data Platform kepada orang atau bisnis lain.

3.1-4.i.B. Unggah cuplikan layar alur persetujuan untuk membagikan data tersebut. Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Penghapusan data

3.1-5. Apakah Anda akan menghapus Data Platform dalam SEMUA situasi berikut, kecuali jika penyimpanan diizinkan berdasarkan Ketentuan kami?

a. Ketika menyimpan Data Platform tidak lagi diperlukan untuk tujuan bisnis yang sah,

b. Ketika diminta oleh pengguna,

c. Ketika pengguna tidak lagi memiliki akun di aplikasi Anda (hanya berlaku jika Anda menawarkan akun pengguna),

d. Ketika diminta oleh Meta, dan

e. Ketika diwajibkan oleh undang-undang atau peraturan yang berlaku.

Sehubungan dengan pertanyaan ini, "Data Platform" tidak mencakup data yang tercantum dalam Ketentuan Platform 3. e "Pengecualian". Mohon tinjau Ketentuan Platform 3d "Retensi, Penghapusan, dan Aksesibilitas Data, Platform" untuk memahami persyaratan penghapusan kami. Perhatikan bahwa dalam keadaan tertentu, penghapusan tidak diperlukan jika Data Platform telah dikumpulkan, dikaburkan, atau tidak diidentifikasi sehingga tidak dapat dikaitkan dengan pengguna, browser, atau perangkat tertentu. Mempertahankan data agregat dan anonim untuk tujuan bisnis yang selaras dengan pengalaman pengguna, seperti tagihan, dapat diizinkan.

• [ ] Ya
• [ ] Tidak

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-5, hal berikut akan ditampilkan:

3.1-5.a. Dalam situasi di atas manakah Anda TIDAK akan menghapus Data Platform? Mengapa?

3.1-6. Jika Anda menghapus Data Platform, dalam situasi yang disebutkan di atas, apakah Anda mengambil langkah untuk menghapus Data Platform sesegera mungkin?

Secara wajar mungkin dapat bergantung pada sistem dan data, tetapi umumnya tidak boleh melebihi 120 hari. Pertanyaan ini hanya berlaku untuk Data Platform, bukan data yang dikumpulkan atau disimpan secara independen oleh aplikasi ini.

Ini tidak berlaku untuk Data Platform yang sebaliknya harus Anda simpan berdasarkan undang-undang atau peraturan yang berlaku.

• [ ] Ya
• [ ] Tidak

Dalam kondisi apa Anda akan menyimpan Data Platform selama lebih dari 120 hari? Catatan: Ini tidak berlaku untuk Data Platform yang wajib disimpan berdasarkan undang-undang atau peraturan yang berlaku.

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-6, hal berikut akan ditampilkan:

3.1-6.a. Dalam kondisi apa Anda akan menyimpan Data Platform selama lebih dari 120 hari?

Catatan: Ini tidak berlaku untuk Data Platform yang wajib disimpan berdasarkan undang-undang atau peraturan yang berlaku.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-5, hal berikut akan ditampilkan:

3.1-5.b. Anda menyatakan di atas bahwa Anda menghapus Data Platform ketika tidak lagi diperlukan untuk tujuan bisnis yang sah. Jelaskan bagaimana Anda menentukan kapan Data Platform tidak lagi diperlukan untuk tujuan bisnis yang sah.

Sehubungan dengan pertanyaan ini, "Data Platform" tidak termasuk data yang tercantum dalam Ketentuan Platform 3(e).

3.1-5.c. Anda menyatakan di atas bahwa Anda menghapus Data Platform ketika pengguna meminta penghapusan itu. Jelaskan bagaimana cara pengguna bisa meminta agar datanya dihapus. Mohon sertakan tangkapan layar jika ada.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Sehubungan dengan pertanyaan ini, "Data Platform" tidak termasuk data yang tercantum dalam Ketentuan Platform 3(e).

Keamanan data

3.1-A. Di bawah Ketentuan Platform 6.a.i, Meta mewajibkan Anda untuk memiliki pengamanan administratif, fisik, dan teknis yang dirancang untuk mencegah akses, penghancuran, kehilangan, pengubahan, pengungkapan, distribusi, atau kompromi Data Platform yang tidak sah.

Lihat Praktik Terbaik Keamanan Data Developer, ringkasan Penilaian Perlindungan Data, dan Pertanyaan Umum untuk informasi selengkapnya.

Pastikan Anda berkonsultasi dengan orang yang tepat sebelum menjawab set pertanyaan berikutnya. Ini harus mencakup Direktur Keamanan Informasi (CISO) Anda, seseorang dengan peran yang setara untuk organisasi Anda, atau perusahaan keamanan siber yang memenuhi syarat (misalnya perusahaan yang memiliki setidaknya pengalaman 5 tahun melakukan audit ISO 27001) untuk memastikan keakuratan tanggapan yang diberikan.

Centang 'Saya mengerti' untuk melanjutkan penilaian.

[ ] Saya mengerti

3.1-B. Sebagai pengingat, “Data Platform” didefinisikan dalam Glosarium Ketentuan Platform kami sebagai: "segala informasi, data, atau konten lain yang Anda peroleh dari kami, melalui Platform atau melalui Aplikasi Anda, baik secara langsung maupun tidak langsung dan baik sebelum, pada, atau setelah tanggal Anda menyetujui Ketentuan ini, termasuk data yang dianonimkan, digabungkan, atau diturunkan dari data tersebut. Data Platform meliputi token aplikasi, token halaman, token akses, rahasia aplikasi, dan token pengguna."

Untuk menghindari keraguan, ini termasuk data seperti ID Pengguna, alamat email, dan semua data yang Anda terima dari panggilan API ke graph.facebook.com.

Untuk menjawab pertanyaan berikut, Anda perlu memahami secara komprehensif bagaimana Data Platform Meta yang terkait dengan aplikasi ini ditransmisikan, disimpan, dan diproses dalam perangkat lunak dan sistem Anda.

Pertanyaan ini berlaku untuk semua izin, fitur, dan kemampuan dalam aplikasi ini. Untuk melihat izin, fitur, dan kemampuan dalam aplikasi ini, kunjungi Dasbor aplikasi ini. Anda dapat membuka Dasbor dengan memilih aplikasi di halaman 'Aplikasi Saya'.

Pilih 'Saya mengerti' untuk melanjutkan.

[ ] Saya mengerti

3.1-7. Jika Anda memiliki sertifikasi keamanan informasi yang memenuhi semua kriteria berikut, Anda dapat mengirimkannya sebagai bukti bahwa Anda telah menerapkan pengamanan administratif, fisik, dan teknis yang memadai yang ditujukan untuk melindungi Data Platform:

• Jenis sertifikasi harus salah satu dari: SOC 2, ISO 27001, ISO 27018, atau yang setara.
• Auditor independen harus telah mengeluarkan sertifikasi untuk organisasi Anda (bukan yang dikeluarkan untuk pihak ketiga).
• Sertifikasi harus valid saat ini—sertifikat SOC 2 yang diterbitkan dalam satu tahun terakhir, atau sertifikat ISO yang diterbitkan dalam tiga tahun terakhir.
• Lingkup audit harus secara komprehensif mencakup sistem yang Anda gunakan untuk memproses Data Platform Meta.

Apakah Anda memiliki sertifikasi keamanan yang memenuhi kriteria ini?

[ ] Ya [ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-7, hal berikut akan ditampilkan:

3.1-7.a. Sertifikat keamanan data mana yang Anda miliki? Pilih semua yang sesuai. * [ ] Laporan SOC2 Tipe 2 * [ ] Sertifikat ISO 27001 * [ ] Sertifikat ISO 27018 * [ ] Sertifikat setara lain * Jika Anda memilih "Sertifikat setara lainnya", hal berikut akan ditampilkan: * Apa nama sertifikasi keamanan ini?

3.1-7.a.i.B. Unggah salinan sertifikasi keamanan Anda. Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi d dalam pertanyaan 3.1-7.a, hal berikut akan ditampilkan:

3.1-7.a.i.A. Apa nama sertifikasi keamanan ini?

3.1-8. Apakah Anda menyimpan Data Platform di lingkungan backend Anda (misalnya, database, bucket penyimpanan objek, atau penyimpanan blok dalam cloud atau jenis lingkungan host lainnya)?

Pilih "Ya" jika Anda menulis Data Platform ke dalam penyimpanan persisten di cloud backend atau lingkungan server yang menyimpan data setelah daya ke perangkat mati, seperti pada disk, file catatan, atau database yang dapat diakses melalui situs web atau API.

Pilih "Tidak" jika Anda melakukan salah satu hal berikut ini:

• Memproses Data Platform secara eksklusif pada klien yang dimiliki oleh pengguna akhir aplikasi Anda dan tidak pernah mengirimkan Data Platform ke lingkungan backend mana pun

• Memproses Data Platform di lingkungan backend, tetapi data itu tidak pernah ditulis ke penyimpanan persisten

• [ ] Ya

• [ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-8.a. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Jenis Data Platform manakah yang Anda simpan di lingkungan backend Anda? Pilih semua yang berlaku.

• "Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

• "Menyimpan" mengacu pada penulisan Data Platform ke lingkungan apa pun yang menyimpan data setelah daya mati (misalnya file catatan, database objek atau relasional, atau disk).

a. ID pengguna Meta atau ID pengguna yang di-hash

b. Alamat email

c. Foto profil

d. Token akses pengguna API Meta

e. Rahasia aplikasi

f. Data Platform lain yang tidak tercantum di atas

3.1-8.b. Solusi hosting mana yang Anda gunakan untuk memproses Data Platform di lingkungan backend Anda?

• "Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

Pilih semua yang berlaku.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba / Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Pusat data yang dimiliki oleh organisasi lain dengan server yang dimiliki oleh organisasi saya

k. Pusat data dan server yang dimiliki oleh organisasi saya

l. Lainnya

Jika Anda memilih opsi l dalam pertanyaan 3.1-8.b, hal berikut akan ditampilkan:

3.1-8.b.i. Dalam pertanyaan sebelumnya Anda memilih "Lainnya" untuk menyatakan bahwa Anda menggunakan opsi hosting yang tidak tercantum. Jelaskan pendekatan hosting lingkungan backend Anda.

Jika Anda memilih opsi b, c, d, e, atau f dalam pertanyaan 3.1-8.a dan opsi c, h, i, j, k, atau l dalam pertanyaan 3.1-8.b, hal berikut akan ditampilkan:

3.1-9.a. Apakah Anda menerapkan enkripsi saat istirahat untuk semua Data Platform yang disimpan di lingkungan backend Anda?

Enkripsi saat istirahat melindungi Data Platform dengan menjadikan data tidak dapat diuraikan tanpa kode dekripsi. Hal ini memberikan lapisan perlindungan tambahan terhadap akses baca yang tidak sah. Jika Anda menyimpan Data Platform di lingkungan backend, kami mewajibkan Anda melindungi data tersebut dengan enkripsi saat istirahat atau perlindungan alternatif yang dapat diterima.

Beberapa penyedia hosting mengaktifkan enkripsi saat istirahat secara default atau memiliki opsi konfigurasi untuk mengaktifkan itu. Sebelum menjawab pertanyaan ini, verifikasikan apakah enkripsi saat istirahat diterapkan pada layanan yang Anda gunakan untuk menyimpan Data Platform. Jika demikian, jawab "Ya" untuk pertanyaan ini.

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak, tetapi penyedia hosting kami memiliki sertifikasi SOC 2 atau ISO 27001 yang menyatakan bahwa keamanan fisik dan kontrol pembuangan media aman mereka telah dievaluasi oleh pihak ketiga.

[ ] Tidak

Jika Anda memilih opsi b, c, d, e, atau f dalam pertanyaan 3.1-8.a dan tidak memilih opsi c, h, i, j, k, atau l dalam pertanyaan 3.1-8.b, hal berikut akan ditampilkan:

3.1-9.b. Apakah Anda menerapkan enkripsi saat istirahat untuk semua Data Platform yang disimpan di lingkungan backend Anda?

Beberapa penyedia hosting mengaktifkan enkripsi saat istirahat secara default atau memiliki opsi konfigurasi untuk mengaktifkan itu. Sebelum menjawab pertanyaan ini, verifikasikan apakah enkripsi saat istirahat diterapkan pada layanan yang Anda gunakan untuk menyimpan Data Platform. Jika demikian, jawab "Ya" untuk pertanyaan ini.

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak

Jika Anda memilih "Ya" dalam pertanyaan 3.1-9.a atau "Ya" dalam pertanyaan 3.1-9.b, hal berikut akan ditampilkan:

3.1-9.b.i. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menerapkan enkripsi saat istirahat untuk semua Data Platform yang disimpan di lingkungan backend Anda. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bahwa semua Data Platform yang disimpan di lingkungan backend Anda harus dilindungi dengan enkripsi saat istirahat.

Jika Anda menggolongkan dan melindungi data secara berbeda-beda berdasarkan tingkat sensitivitas data, penjelasan Anda harus secara jelas menunjukkan tingkat sensitivitas apa yang ditetapkan ke Data Platform yang diterima dari Meta, dan Anda harus mengunggah kebijakan yang relevan.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-9.b.ii. Unggah setidaknya satu bukti (misalnya tangkapan layar instance database) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: semua Data Platform yang disimpan di lingkungan backend Anda dilindungi dengan enkripsi saat istirahat.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-9.a, hal berikut akan ditampilkan:

3.1-9.c.i. Apa jenis bukti yang Anda miliki yang menunjukkan bahwa keamanan fisik dan kontrol pembuangan media aman milik penyedia hosting Anda telah dievaluasi?

Untuk menunjukkan bahwa Anda mematuhi Ketentuan Platform Meta, Anda harus mengonfirmasi bahwa audit ISO 27001 atau SOC 2 dari penyedia hosting Anda memiliki keamanan fisik dalam cakupan dan kontrol pembuangan media yang aman. Dalam standar ISO/IEC 27001:2013 atau 2017, ini adalah kontrol A.8.3, A.11.1, dan A.11.2. Dalam standar SOC 2, ini adalah kontrol CC6.4 dan CC6.5.

a. Audit ISO 27001 terhadap penyedia hosting saya, dengan Statement of Applicability (SOA) terkait menyatakan bahwa keamanan fisik dan kontrol pembuangan media yang aman telah dievaluasi

b. Laporan audit SOC 2 yang menyatakan bahwa keamanan fisik dan kontrol pembuangan media yang aman telah diuji dan tidak ada temuan negatif yang terkait dengan kontrol ini

c. Tidak satu pun dari pilihan di atas

Jika Anda memilih opsi a atau b dalam pertanyaan 3.1-9.c.i, hal berikut akan ditampilkan:

3.1-9.c.ii. Tanggal berapa sertifikat ISO 27001 atau SOC 2 penyedia hosting Anda dikeluarkan?

3.1-10. Apakah ada orang di organisasi Anda yang menyimpan Data Platform di endpoint organisasi atau perangkat pribadi (misalnya di laptop atau smartphone)?

"Menyimpan" mengacu pada penulisan Data Platform ke lingkungan apa pun yang menyimpan data setelah alat dimatikan, seperti laptop, drive USB, hard drive yang dapat dilepas, dan layanan penyimpanan cloud seperti Dropbox atau Google Drive.

Catatan: Data Platform yang disimpan dalam klien web atau seluler untuk pengguna individual layanan Anda tidak termasuk dalam cakupan pertanyaan ini.

• [ ] Ya. Satu atau lebih orang di organisasi saya menyimpan Data Platform di perangkat organisasi atau pribadi mereka.
• [ ] Tidak. Tidak ada orang di organisasi saya yang menyimpan Data Platform di perangkat organisasi atau pribadi mereka dalam situasi apa pun.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-10, hal berikut akan ditampilkan:

3.1-10.a. Ketika orang di organisasi Anda menyimpan Data Platform pada endpoint organisasi atau perangkat pribadi, perlindungan mana yang Anda terapkan untuk mengurangi risiko kehilangan data?

Kami mewajibkan Anda menerapkan perlindungan untuk mengurangi risiko akses ke Data Platform saat disimpan saat istirahat.

Pilih semua yang berlaku.

a. Perangkat lunak atau layanan yang menerapkan enkripsi disk penuh pada perangkat organisasi (misalnya Bitlocker atau FilVault)

b. Perangkat lunak Pencegahan Kehilangan Data (DLP) endpoint pada semua perangkat yang dikelola untuk memantau dan mencatat tindakan yang terkait dengan Data Platform yang tersimpan

c. Orang di organisasi saya wajib mengikuti kebijakan penggunaan yang dapat diterima, yang hanya membolehkan memproses Data Platform jika ada tujuan bisnis yang jelas dan dapat ditindaklanjuti dan menyatakan bahwa data harus dihapus ketika tujuan bisnis itu tidak ada lagi

d. Tidak satu pun dari pilihan di atas

Jika Anda memilih opsi a atau b dalam pertanyaan 3.1-10.a, hal berikut akan ditampilkan:

3.1-10.a.i. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda melindungi Data Platform yang disimpan di perangkat organisasi atau pribadi dengan menerapkan enkripsi disk penuh pada perangkat ini atau dengan perangkat lunak Pencegahan Kehilangan Data (DLP) endpoint. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda menerapkan perlindungan teknis ini.

Jika Anda menggolongkan dan melindungi data secara berbeda-beda berdasarkan tingkat sensitivitas data, penjelasan Anda harus secara jelas menunjukkan tingkat sensitivitas apa yang ditetapkan ke Data Platform yang diterima dari Meta, dan Anda harus mengunggah kebijakan yang relevan.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi a atau b dalam pertanyaan 3.1-10.a, hal berikut akan ditampilkan:

3.1-10.a.ii. Unggah setidaknya satu bukti (misalnya konfigurasi fitur atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: perlindungan teknis untuk Data Platform yang disimpan di perangkat organisasi atau pribadi. [Pertanyaan utama]

Contoh:

• Tangkapan layar Kebijakan Grup yang mewajibkan BitLocker diaktifkan untuk perangkat yang dikelola

• Tangkapan layar fitur pengelolaan DLP yang menunjukkan pemantauan data PII diaktifkan untuk semua endpoint

• Tangkapan layar fitur atau produk lain yang digunakan administrator TI Anda untuk menerapkan penggunaan perlindungan teknis pada semua perangkat organisasi

• Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda hanya memilih opsi c dalam pertanyaan 3.1-10.a, hal berikut akan ditampilkan:

3.1-10.a.iii. Anda menyatakan dalam pertanyaan sebelumnya bahwa orang di organisasi Anda wajib mengikuti kebijakan penggunaan yang dapat diterima ketika mereka menyimpan Data Platform di perangkat organisasi atau pribadi. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang memuat kebijakan penggunaan yang dapat diterima dalam organisasi Anda.

Kami mewajibkan kebijakan ini menjelaskan hal-hal berikut:

• Tujuan bisnis yang diizinkan untuk memproses Data Platform pada perangkat organisasi atau pribadi

• Kewajiban untuk menghapus data ketika tujuan ini sudah tidak ada

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda hanya memilih opsi c dalam pertanyaan 3.1-10.a, hal berikut akan ditampilkan:

3.1-10.a.iv. Saya dapat mengonfirmasi bahwa semua orang di organisasi saya yang dapat memproses Data Platform di perangkat organisasi atau pribadi: Telah diberi tahu tentang kebijakan penggunaan yang dapat diterima untuk data ini Telah menyatakan bahwa mereka memahami kebijakan ini Telah diberi tahu tentang kebijakan ini dalam proses penerimaan mereka sebagai karyawan baru

[ ] Ya, saya dapat mengonfirmasi.

[ ] Tidak, saya tidak dapat mengonfirmasi.

Jika Anda memilih "Ya" dalam pertanyaan 3.1-8 dan "Tidak" dalam pertanyaan 3.1-10, hal berikut akan ditampilkan:

3.1-10.b. Anda menyatakan dalam pertanyaan sebelumnya bahwa tidak ada orang di organisasi Anda yang menyimpan Data Platform di perangkat organisasi atau pribadi dalam situasi apa pun.

Apakah Anda sudah memberi tahu orang-orang di organisasi Anda bahwa menyimpan Data Platform di perangkat organisasi atau pribadi tidak diizinkan dalam situasi apa pun, dan mewajibkan mereka untuk menyetujui kewajiban ini?

"Menyimpan" mengacu pada penulisan Data Platform ke lingkungan apa pun yang menyimpan data setelah alat dimatikan, seperti laptop, drive USB, hard drive yang dapat dilepas, dan layanan penyimpanan cloud seperti Dropbox atau Google Drive.

Kebijakan kami mewajibkan organisasi untuk memberi tahu semua orang di organisasi mereka, termasuk pengguna yang memiliki hak tingkat tinggi seperti administrator, bahwa menyimpan Data Platform tidak diizinkan.

[ ] Ya

[ ] Tidak

Jika Anda memilih "Tidak" dalam pertanyaan 3.1-8 dan "Tidak" dalam pertanyaan 3.1-10, hal berikut akan ditampilkan:

3.1-10.c. Anda menyatakan dalam pertanyaan sebelumnya bahwa tidak ada orang di organisasi Anda yang menyimpan Data Platform di perangkat organisasi atau pribadi dalam situasi apa pun.

Apakah Anda sudah memberi tahu orang-orang di organisasi Anda bahwa menyimpan Data Platform di perangkat organisasi atau pribadi tidak diizinkan dalam situasi apa pun, dan mewajibkan mereka untuk menyetujui kewajiban ini?

"Menyimpan" mengacu pada penulisan Data Platform ke lingkungan apa pun yang menyimpan data setelah alat dimatikan, seperti laptop, drive USB, hard drive yang dapat dilepas, dan layanan penyimpanan cloud seperti Dropbox atau Google Drive.

Kebijakan kami mewajibkan organisasi untuk memberi tahu semua orang di organisasi mereka, termasuk pengguna yang memiliki hak tingkat tinggi seperti administrator, bahwa menyimpan Data Platform tidak diizinkan.

[ ] Ya

[ ] Ini tidak diperlukan, karena Data Platform tidak pernah dapat diakses oleh orang di organisasi saya.

[ ] Tidak

Jika Anda memilih "Ya" dalam pertanyaan 3.1-10.b atau pertanyaan 3.1-10.c, hal berikut akan ditampilkan:

3.1-10.c.i. Anda menyatakan dalam pertanyaan sebelumnya bahwa tidak ada orang di organisasi Anda yang menyimpan Data Platform di perangkat organisasi atau pribadi dalam situasi apa pun. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bahwa orang di organisasi Anda tidak boleh menyimpan Data Platform di perangkat seperti ini.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih "Ya" dalam pertanyaan 3.1-10.b atau pertanyaan 3.1-10.c, hal berikut akan ditampilkan:

3.1-10.c.ii. Saya dapat mengonfirmasi bahwa semua orang di organisasi saya:

Telah diberi tahu tentang kebijakan yang melarang mereka menyimpan Data Platform di perangkat organisasi atau pribadi

Telah menyatakan bahwa mereka memahami kebijakan ini

Diberi tahu tentang kebijakan ini dalam proses penerimaan mereka sebagai karyawan baru

[ ] Ya, saya dapat mengonfirmasi.

[ ] Tidak, saya tidak dapat mengonfirmasi.

Jika Anda memilih "Tidak" dalam pertanyaan 3.1-8 dan "Tidak" dalam pertanyaan 3.1-10, hal berikut akan ditampilkan:

3.1-10.d. Unggah bagan alur data dan penjelasan tentang bagaimana aplikasi Anda menggunakan Data Platform.

Detail berikut harus disertakan:

Tunjukkan bagaimana aplikasi Anda melakukan panggilan ke API Meta, seperti graph.facebook.com, dan sebutkan semua komponen yang menggunakan Data Platform, termasuk yang menyimpan, men-cache, memproses, atau mentransfer Data Platform di jaringan

Jelaskan kasus penggunaan utama (yaitu alur yang memberikan hasil berharga bagi pengguna aplikasi Anda) yang Anda dukung.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-11.a. Apakah Anda mengaktifkan protokol keamanan TLS 1.2 atau versi lebih baru untuk mengenkripsi data untuk semua koneksi jaringan yang melewati, atau menghubungkan, atau melintasi jaringan publik ketika Data Platform dikirim?

Enkripsi saat transit melindungi Data Platform saat data dikirimkan melalui jaringan yang tidak tepercaya (misalnya internet) dengan menjadikannya tidak dapat diuraikan kecuali untuk perangkat asal dan tujuan. Pihak di tengah pengiriman tidak dapat membaca Data Platform meskipun dapat melihat traffic jaringan (misalnya dalam serangan man-in-the-middle (MiTM). TLS adalah bentuk enkripsi yang paling umum saat transit karena merupakan teknologi yang digunakan browser untuk mengamankan komunikasi ke situs web seperti bank.

Kami mewajibkan semua pendengar web (misalnya penyeimbang beban yang menghadap ke internet) yang menerima atau mengembalikan Data Platform untuk mengaktifkan TLS 1.2 atau lebih. TLS 1.0 dan TLS 1.1 hanya boleh digunakan untuk kompatibilitas dengan perangkat klien yang tidak mendukung TLS 1.2 atau lebih. Kami menyarankan, tetapi tidak mewajibkan, bahwa enkripsi saat transit diterapkan pada pengiriman Data Platform yang seluruhnya berada dalam jaringan pribadi tepercaya yang Anda kendalikan (misalnya dalam Virtual Private Cloud (VPC)). Untuk informasi lebih lanjut tentang persyaratan ini dan cara mengunggah bukti yang diperlukan, lihat Persyaratan Keamanan Data kami.

[ ] Ya

[ ] Tidak

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-11.b. Apakah Anda mengaktifkan protokol keamanan TLS 1.2 atau versi lebih baru untuk mengenkripsi data untuk semua koneksi jaringan yang melewati, atau menghubungkan, atau melintasi jaringan publik ketika Data Platform dikirim?

Enkripsi saat transit melindungi Data Platform saat data dikirimkan melalui jaringan yang tidak tepercaya (misalnya internet) dengan menjadikannya tidak dapat diuraikan kecuali untuk perangkat asal dan tujuan. Pihak di tengah pengiriman tidak dapat membaca Data Platform meskipun dapat melihat traffic jaringan (misalnya dalam serangan man-in-the-middle (MiTM). TLS adalah bentuk enkripsi yang paling umum saat transit karena merupakan teknologi yang digunakan browser untuk mengamankan komunikasi ke situs web seperti bank.

Kami mewajibkan semua pendengar web (misalnya penyeimbang beban yang menghadap ke internet) yang menerima atau mengembalikan Data Platform untuk mengaktifkan TLS 1.2 atau lebih. TLS 1.0 dan TLS 1.1 hanya boleh digunakan untuk kompatibilitas dengan perangkat klien yang tidak mendukung TLS 1.2 atau lebih. Kami menyarankan, tetapi tidak mewajibkan, bahwa enkripsi saat transit diterapkan pada pengiriman Data Platform yang seluruhnya berada dalam jaringan pribadi tepercaya yang Anda kendalikan (misalnya dalam Virtual Private Cloud (VPC)). Untuk informasi lebih lanjut tentang persyaratan ini dan cara mengunggah bukti yang diperlukan, lihat Persyaratan Keamanan Data kami.

[ ] Ya

[ ] Ini tidak diperlukan. Kami tidak pernah mengirimkan Data Platform melalui internet untuk alasan apa pun selain permintaan langsung ke Meta.

[ ] Tidak

Jika Anda memilih "Ya" dalam pertanyaan 3.1-11.a atau pertanyaan 3.1-11.b, hal berikut akan ditampilkan:

3.1-11.c. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda mengaktifkan protokol keamanan TLS 1.2 atau lebih untuk mengenkripsi data saat transit. Apakah Anda memastikan bahwa Data Platform tidak pernah dikirimkan melalui jaringan publik dalam bentuk tidak terenkripsi (misalnya melalui HTTP atau FTP), dan bahwa SSL 2.0 dan SSL 3.0 tidak pernah digunakan?

Kami mensyaratkan bahwa Data Platform tidak boleh dikirim melalui jaringan yang tidak tepercaya dalam bentuk yang tidak terenkripsi, dan Anda tidak pernah menggunakan SSL 2.0 atau SSL 3.0. Untuk informasi lebih lanjut tentang persyaratan ini dan cara mengunggah bukti yang diperlukan, lihat Persyaratan Keamanan Data kami.

[ ] Ya

[ ] Tidak

Jika Anda memilih "Ya" dalam pertanyaan 3.1-11.a atau pertanyaan 3.1-11.b, hal berikut akan ditampilkan:

3.1-11.a.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda mengaktifkan protokol keamanan TLS 1.2 atau lebih untuk data saat transit.

Dokumen Anda harus memuat pernyataan berikut: 1. Data Platform tidak pernah dikirimkan tanpa enkripsi saat transit 2. SSL versi 2 dan SSL versi 3 tidak pernah digunakan

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih "Ya" dalam pertanyaan 3.1-11.a atau pertanyaan 3.1-11.b, hal berikut akan ditampilkan:

3.1-11.a.ii. Unggah setidaknya satu bukti (misalnya tangkapan layar penuh dari hasil laporan Qualys SSL yang dijalankan terhadap salah satu domain web Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: mengaktifkan protokol keamanan TLS 1.2 atau lebih untuk data saat transit. [Pertanyaan utama]

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-12.a. Dalam 12 bulan terakhir, pendekatan mana yang Anda gunakan untuk menguji perangkat lunak yang Anda gunakan untuk memproses Data Platform untuk masalah kerentanan dan keamanan?

Pertanyaan ini hanya mengacu pada perangkat lunak yang Anda buat atau kemas (misalnya perpustakaan kode) untuk memproses Data Platform, bukan perangkat lunak yang dibuat atau dikelola oleh perusahaan lain (misalnya sistem operasi Android atau iOS).

Pilih semua yang berlaku.

a. Uji keamanan aplikasi statis (SAST)

b. Uji keamanan aplikasi dinamis (DAST)

c. Uji penetrasi oleh tim internal

d. Uji penetrasi oleh perusahaan keamanan eksternal

e. Laporan kerentanan dari peneliti eksternal yang diperoleh melalui Program Pengungkapan Kerentanan (VDP) atau program Bug Bounty

f. Pendekatan lain untuk mengidentifikasi kerentanan

g. Tidak satu pun dari pilihan di atas

Jika Anda memilih opsi mana pun dari a - g dalam pertanyaan 3.1-12.a, hal berikut akan ditampilkan:

3.1-12.a.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda menguji perangkat lunak yang Anda gunakan untuk memproses Data Platform dalam hal masalah kerentanan dan keamanan.

Prosedur pengujian berikut ini harus disertakan semuanya dalam penjelasan tertulis Anda:

1. Menguji kerentanan keamanan setidaknya 12 bulan sekali

2. Memiliki proses untuk melakukan triase terhadap temuan berdasarkan tingkat keparahan

3. Memastikan bahwa kerentanan dengan tingkat keparahan tinggi, yang dapat menyebabkan akses tidak sah ke Data Platform, segera diperbaiki

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari a - f dalam pertanyaan 3.1-12.a, hal berikut akan ditampilkan:

3.1-12.a.ii. Unggah setidaknya satu bukti (misalnya ringkasan hasil uji penetrasi terbaru) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: menguji perangkat lunak yang Anda gunakan untuk memproses Data Platform dalam hal masalah kerentanan dan keamanan.

Detail berikut harus disertakan dalam bukti Anda: 1. Penjelasan tentang lingkup dan metode pengujian 2. Tanggal dilakukannya aktivitas pengujian (agar dapat diterima, tanggal tidak boleh lebih awal dari 12 bulan sebelum tanggal kami memberi tahu Anda tentang penilaian ini.) 3. Jika berlaku, ringkasan kerentanan dengan tingkat keparahan tinggi dan kritis yang tidak belum diperbaiki

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-12.b. Dalam 12 bulan terakhir, pendekatan mana yang Anda gunakan untuk menguji masalah kerentanan dan keamanan di lingkungan backend Anda tempat Anda memproses Data Platform?

Pertanyaan ini hanya mengacu pada perangkat lunak yang Anda buat atau kemas (misalnya perpustakaan kode) untuk memproses Data Platform, bukan perangkat lunak yang dibuat atau dikelola oleh perusahaan lain (misalnya layanan analitik yang Anda andalkan sebagai Penyedia Layanan).

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

Pilih semua yang berlaku.

a. Uji keamanan aplikasi statis (SAST)

b. Uji keamanan aplikasi dinamis (DAST)

c. Pemindaian web

d. Uji penetrasi oleh tim internal

e. Uji penetrasi oleh perusahaan keamanan eksternal

f. Laporan kerentanan dari peneliti eksternal yang diperoleh melalui Program Pengungkapan Kerentanan (VDP) atau program Bug Bounty

g. Pendekatan lain untuk mengidentifikasi kerentanan

h. Ini tidak diperlukan karena organisasi saya menggunakan solusi backend tanpa kode

i. Tidak satu pun dari pilihan di atas

Jika Anda memilih opsi mana pun dari a - g dalam pertanyaan 3.1-12.b, hal berikut akan ditampilkan:

3.1-12.b.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda menguji masalah kerentanan dan keamanan di lingkungan backend tempat Anda memproses Data Platform.

Prosedur pengujian berikut ini harus disertakan semuanya dalam penjelasan tertulis Anda:

1. Menguji kerentanan keamanan setidaknya 12 bulan sekali

2. Memiliki proses untuk melakukan triase terhadap temuan berdasarkan tingkat keparahan

3. Memastikan bahwa kerentanan dengan tingkat keparahan tinggi, yang dapat menyebabkan akses tidak sah ke Data Platform, segera diperbaiki

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari a - g dalam pertanyaan 3.1-12.b, hal berikut akan ditampilkan:

3.1-12.b.ii. Unggah setidaknya satu bukti (misalnya ringkasan hasil uji penetrasi terbaru) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: menguji masalah kerentanan dan keamanan di lingkungan backend tempat Anda memproses Data Platform.

Detail berikut harus disertakan dalam bukti Anda:

1. Penjelasan tentang lingkup dan metode pengujian

2. Tanggal dilakukannya aktivitas pengujian (agar dapat diterima, tanggal tidak boleh lebih awal dari 12 bulan sebelum tanggal kami memberi tahu Anda tentang penilaian ini.)

3. Jika berlaku, ringkasan kerentanan dengan tingkat keparahan tinggi dan kritis yang tidak belum diperbaiki

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari a-b atau d-i dalam pertanyaan 3.1-8.b

3.1-12.c. Apakah Anda menguji lingkungan cloud yang Anda gunakan untuk memproses Data Platform dalam hal kesalahan konfigurasi keamanan (misalnya menggunakan alat seperti NCC Scout Suite untuk mengidentifikasi kesalahan konfigurasi) setidaknya 12 bulan sekali?

Meta mewajibkan Anda mengambil langkah untuk menguji perangkat lunak Anda dalam hal masalah kerentanan dan keamanan setidaknya 12 bulan sekali untuk mencegah akses tidak sah ke Data Platform.

[ ] Ya

[ ] Tidak berlaku karena organisasi saya hanya menggunakan layanan backend yang tidak memaparkan opsi konfigurasi keamanan sensitif

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-12.c, hal berikut akan ditampilkan:

3.1-12.c.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda menguji lingkungan cloud yang Anda gunakan untuk memproses Data Platform dalam hal kesalahan konfigurasi keamanan.

Prosedur pengujian berikut ini harus disertakan semuanya dalam penjelasan tertulis Anda:

1. Menguji kerentanan keamanan setidaknya 12 bulan sekali.

2. Memiliki proses untuk melakukan triase terhadap temuan berdasarkan tingkat keparahan.

3. Memastikan bahwa kerentanan dengan tingkat keparahan tinggi, yang dapat menyebabkan akses tidak sah ke Data Platform, segera diperbaiki.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Meta mewajibkan Anda mengambil langkah untuk menguji perangkat lunak Anda dalam hal masalah kerentanan dan keamanan setidaknya 12 bulan sekali untuk mencegah akses tidak sah ke Data Platform.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-12.c, hal berikut akan ditampilkan:

3.1-12.c.ii. Unggah setidaknya satu bukti (misalnya ringkasan uji NCC Scout Suite) yang menunjukkan cara Anda menerapkan perlindungan ini dalam praktik: menguji lingkungan cloud yang Anda gunakan untuk memproses Data Platform dalam hal kesalahan konfigurasi keamanan.

Detail berikut harus disertakan dalam bukti Anda:

1. Penjelasan tentang lingkup dan metode pengujian

2. Tanggal dilakukannya aktivitas pengujian (agar dapat diterima, tanggal tidak boleh lebih awal dari 12 bulan sebelum tanggal kami memberi tahu Anda tentang penilaian ini.)

3. Jika berlaku, ringkasan kerentanan dengan tingkat keparahan tinggi dan kritis yang tidak belum diperbaiki

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-13.a. Apakah aplikasi atau perangkat lunak Anda pernah menyimpan token akses di perangkat pelanggan atau klien yang dapat dibaca oleh aplikasi atau pengguna yang berbeda?

"Perangkat pelanggan atau klien" mengacu pada perangkat keras, seperti ponsel Android atau iPhone, yang dimiliki oleh pengguna akhir aplikasi atau layanan Anda.

Pilih "tidak" jika Anda tidak memiliki aplikasi atau perangkat lunak yang berjalan di perangkat pelanggan atau klien, seperti ponsel.

[ ] Ya

[ ] Tidak

Jika aplikasi ini tidak dikonfigurasi sebagai Desktop/Native, hal berikut akan ditampilkan:

3.1-13.b. Apakah rahasia aplikasi Facebook pernah terpapar ke perangkat pelanggan atau klien (misalnya dalam kode yang telah dikompilasi)?

[ ] Ya

[ ] Ya, tetapi aplikasi saya dikonfigurasi sebagai aplikasi desktop atau native

[ ] Tidak

Jika Anda memilih opsi d dalam pertanyaan 3.1-8.a hal berikut akan ditampilkan:

3.1-13.c. Anda mendapat pertanyaan ini karena Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan token akses pengguna API Meta di lingkungan backend Anda. Bagaimana cara Anda melindungi token ini dari penggunaan yang tidak sah?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

Token akses sangat mendasar bagi keamanan API Meta. Kami mewajibkan developer untuk melindungi token akses dari akses yang tidak sah. Pelajari tentang token akses.

Pilih semua yang berlaku.

a. Dengan menyimpan data ini dalam vault data (misalnya Vault oleh Hashicorp) dengan layanan pengelolaan kunci (KMS) terpisah

b. Dengan menggunakan enkripsi aplikasi (misalnya token akses pengguna tidak pernah ditulis tanpa enkripsi ke dalam database atau penyimpanan persisten lainnya)

c. Dengan mengonfigurasi aplikasi untuk mewajibkan parameter appsecret_proof untuk panggilan API ke Meta

d. Saya menggunakan pendekatan yang berbeda untuk melindungi token akses pengguna

e. Tidak satu pun dari pilihan di atas

Jika Anda memilih a, b, c, atau d dalam pertanyaan 3.1-13.c, hal berikut akan ditampilkan:

3.1-13.c.i. Pertanyaan sebelumnya menanyakan bagaimana Anda melindungi token akses pengguna yang disimpan di lingkungan backend Anda dari penggunaan yang tidak sah. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda melindungi token akses ini.

Penjelasan tertulis Anda harus mencakup:

1. Deskripsi tentang bagaimana token akses pengguna dilindungi dari akses baca yang tidak sah

2. Larangan menulis token akses pengguna di file catatan dalam bentuk cleartext (tidak terenkripsi)

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Token akses sangat mendasar bagi keamanan API Meta. Kami mewajibkan developer untuk melindungi token akses dari akses yang tidak sah. Pelajari tentang token akses.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-13.c.ii Unggah setidaknya satu bukti (misalnya tangkapan layar kunci token akses, tetapi tidak nilainya) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: melindungi token akses yang disimpan di lingkungan backend Anda dari penggunaan yang tidak sah. [Pertanyaan utama]

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi e dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-13.d. Anda mendapatkan pertanyaan ini karena Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan rahasia aplikasi di lingkungan backend Anda. Bagaimana cara Anda melindungi rahasia aplikasi dari penggunaan yang tidak sah?

Rahasia aplikasi adalah parameter yang terkait dengan teknologi Meta yang dapat digunakan sebagai token akses dalam panggilan API tertentu untuk mengubah konfigurasi aplikasi, misalnya mengonfigurasi panggilan balik Webhook. Anda dapat menemukan rahasia aplikasi suatu aplikasi di dasbor aplikasi di bawah Pengaturan > Dasar. Untuk informasi lebih lanjut tentang rahasia aplikasi, lihat dokumentasi developer kami di Keamanan Login. Untuk informasi lebih lanjut tentang kewajiban melindungi rahasia aplikasi dan token akses pengguna, termasuk bukti yang mungkin harus Anda berikan, lihat Lindungi Rahasia Aplikasi Meta dan Token Akses.

Kami mewajibkan Anda melindungi rahasia aplikasi dengan salah satu dari dua cara:

1. Dengan tidak pernah mengungkapkannya di luar lingkungan server yang aman. Ini berarti rahasia aplikasi tidak pernah dikembalikan oleh panggilan jaringan ke browser atau aplikasi seluler, dan rahasia tersebut tidak disematkan ke dalam kode yang didistribusikan ke klien native/desktop atau seluler.

2. Atau, dengan mengonfigurasi Autentikasi Aplikasi dengan jenis "Aplikasi native atau desktop" agar API Meta tidak lagi memercayai panggilan API yang memuat rahasia aplikasi.

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

Pilih semua yang berlaku.

a. Dengan menyimpan data ini dalam vault data (misalnya Vault oleh Hashicorp) dengan layanan pengelolaan kunci (KMS) terpisah

b. Dengan menggunakan enkripsi aplikasi (misalnya rahasia aplikasi tidak pernah ditulis tanpa enkripsi ke dalam database atau penyimpanan persisten lainnya)

c. Saya menggunakan pendekatan yang berbeda untuk melindungi rahasia aplikasi

d. Tidak satu pun dari pilihan di atas

Jika Anda memilih opsi a, b, atau c dalam pertanyaan 3.1-13.d, hal berikut akan ditampilkan:

3.1-13.d.i. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda melindungi rahasia aplikasi yang disimpan di lingkungan backend Anda dari penggunaan yang tidak sah. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda menerapkan perlindungan ini.

Penjelasan tertulis Anda harus mencakup:

1. Deskripsi tentang bagaimana rahasia aplikasi dilindungi dari akses baca yang tidak sah

2. Larangan menulis rahasia aplikasi di file catatan dalam bentuk cleartext (tidak terenkripsi)

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Rahasia aplikasi sangat mendasar bagi keamanan API Meta. Kami mewajibkan developer untuk melindungi rahasia aplikasi dari akses yang tidak sah. Pelajari selengkapnya tentang rahasia aplikasi.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi a, b, atau c dalam pertanyaan 3.1-13.d, hal berikut akan ditampilkan:

3.1-13.d.ii. Unggah setidaknya satu bukti (misalnya tangkapan layar pengelola rahasia Anda yang menampilkan rahasia aplikasi dengan nilai sudah dihapus) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: melindungi rahasia aplikasi yang tersimpan di lingkungan backend Anda dari penggunaan yang tidak sah.

Untuk melihat contoh bukti yang dapat diterima, kunjungi panduan bukti kami untuk pertanyaan ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-15.a. Apakah Anda mewajibkan autentikasi multifaktor (MFA) untuk semua akses ke fitur kolaborasi dan komunikasi Anda?

Kami mewajibkan MFA atau perlindungan alternatif yang dapat diterima untuk semua pengguna fitur kolaborasi dan komunikasi Anda (misalnya email, Slack). Kami tidak mewajibkan metode tertentu untuk menerapkan MFA.

[ ] Ya

[ ] Tidak, tetapi kami menerapkan kebijakan kerumitan kata sandi dan memiliki penundaan autentikasi dan penguncian akun otomatis dengan upaya login gagal.

[ ] Tidak

3.1-15.b. Apakah Anda mewajibkan autentikasi multifaktor (MFA) untuk semua akses ke alat repositori kode Anda (misalnya Github) atau alat apa pun yang digunakan untuk melacak perubahan pada aplikasi maupun kode dan konfigurasi apa pun pada sistem?

Kami mewajibkan MFA atau perlindungan alternatif yang dapat diterima untuk semua pengguna repositori kode Anda. Kami tidak mewajibkan metode tertentu untuk menerapkan MFA.

[ ] Ya

[ ] Tidak, tetapi kami menerapkan kebijakan kerumitan kata sandi dan memiliki penundaan autentikasi dan penguncian akun otomatis dengan upaya login gagal.

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-15.c. Apakah Anda mewajibkan autentikasi multifaktor (MFA) untuk semua akses ke alat penyebaran perangkat lunak Anda, misalnya Jenkins atau alat integrasi berkelanjutan, penyebaran berkelanjutan (CI/CD) lain?

Kami mewajibkan MFA atau perlindungan alternatif yang dapat diterima untuk semua pengguna alat penyebaran perangkat lunak Anda. Kami tidak mewajibkan metode tertentu untuk menerapkan MFA.

[ ] Ya

[ ] Tidak, tetapi kami menerapkan kebijakan kerumitan kata sandi dan memiliki penundaan autentikasi dan penguncian akun otomatis dengan upaya login gagal.

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-15.d. Apakah Anda mewajibkan autentikasi multifaktor (MFA) untuk semua akses ke alat administrasi backend Anda, misalnya portal administrasi cloud?

Kami mewajibkan MFA atau perlindungan alternatif yang dapat diterima untuk semua pengguna alat administrasi server atau cloud Anda. Kami tidak mewajibkan metode tertentu untuk menerapkan MFA.

[ ] Ya

[ ] Tidak, tetapi kami menerapkan kebijakan kerumitan kata sandi dan memiliki penundaan autentikasi dan penguncian akun otomatis dengan upaya login gagal.

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-15.e. Apakah Anda mewajibkan autentikasi multifaktor (MFA) untuk semua akses jarak jauh ke server, misalnya melalui SSH?

Kami mewajibkan MFA atau perlindungan alternatif yang dapat diterima untuk semua akses arak jauh ke server. Kami tidak mewajibkan metode tertentu untuk menerapkan MFA.

[ ] Ya

[ ] Tidak, tetapi kami menerapkan kebijakan kerumitan kata sandi dan memiliki penundaan autentikasi dan penguncian akun otomatis dengan upaya login gagal.

[ ] Tidak berlaku. Kami tidak memiliki akses jarak jauh ke server.

[ ] Tidak

Jika Anda memilih "Ya" dalam pertanyaan mana pun dari 3.1-15.a hingga 3.1-15.e, hal berikut akan ditampilkan:

3.1-15.e.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bahwa Anda mewajibkan autentikasi multifaktor (MFA) atau langkah lain untuk mencegah pengambilalihan akun (misalnya kerumitan kata sandi yang dipadukan dengan penundaan autentikasi dan penguncian akun otomatis ketika upaya login gagal).

Penjelasan Anda harus mencakup bahwa Anda mewajibkan autentikasi untuk semua akses ke alat kolaborasi dan komunikasi, repositori kode, alat penyebaran perangkat lunak, alat administrasi backend, dan akses jarak jauh ke server melalui alat seperti SSH.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih "Ya" dalam pertanyaan mana pun dari 3.1-15.a hingga 3.1-15.e, hal berikut akan ditampilkan:

3.1-15.e.ii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: autentikasi multifaktor atau langkah lain untuk mencegah pengambilalihan akun.

Bukti Anda harus menunjukkan bagaimana Anda menggunakan autentikasi untuk melindungi semua akses ke alat kolaborasi dan komunikasi, repositori kode, alat penyebaran perangkat lunak, alat administrasi backend, dan akses jarak jauh ke server melalui alat seperti SSH.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-16. Apakah Anda memiliki sistem untuk menangani akun yang mengelola pemberian, pencabutan, dan peninjauan akses ke orang-orang di organisasi Anda?

Kami mewajibkan Anda untuk memiliki sistem untuk mengelola akun dan bahwa Anda meninjau pemberian akses secara teratur, tidak kurang dari 12 bulan sekali. Anda harus memiliki proses untuk segera mencabut akses saat:

• Akses tidak lagi diperlukan

• Akses tidak lagi digunakan

• Orang meninggalkan organisasi

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-16, hal berikut akan ditampilkan:

3.1-16.a. Proses mana yang Anda terapkan sebagai bagian dari sistem Anda untuk mengelola akun?

Pilih semua yang berlaku.

a. Kami meninjau semua pemberian akses setidaknya 12 bulan sekali dan mencabut akses yang tidak diperlukan lagi.

b. Kami meninjau semua pemberian akses setidaknya 12 bulan sekali dan mencabut akses yang tidak lagi digunakan.

c. Kami langsung mencabut semua pemberian akses ketika seseorang meninggalkan organisasi.

d. Tidak satu pun dari pilihan di atas

Jika Anda memilih opsi mana pun dari a - c dalam pertanyaan 3.1-16.a, hal berikut akan ditampilkan:

3.1-16.a.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan hal berikut: ketentuan yang terkait dengan sistem Anda dalam mengelola akun.

Penjelasan tertulis Anda harus memuat ketentuan untuk:

1. Mencabut akses yang tidak diperlukan lagi

2. Mencabut akses yang tidak digunakan lagi

3. Mencabut akses segera saat seseorang meninggalkan organisasi Anda

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari a - c dalam pertanyaan 3.1-16.a, hal berikut akan ditampilkan:

3.1-16.a.ii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: menerapkan sistem untuk mengelola akun.

Bukti Anda harus menunjukkan bagaimana Anda:

1. Mencabut akses yang tidak diperlukan lagi

2. Mencabut akses yang tidak digunakan lagi

3. Mencabut akses segera saat seseorang meninggalkan organisasi Anda

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-8, hal berikut akan ditampilkan:

3.1-17.a. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Terkait dengan perangkat lunak yang Anda gunakan untuk memproses Data Platform di lingkungan backend Anda, apakah Anda melakukan semua hal berikut: Memiliki cara yang jelas dan dapat diulang untuk mengidentifikasi patch pada perangkat lunak pihak ketiga yang menyelesaikan kerentanan keamanan Memprioritaskan patch yang tersedia berdasarkan risiko (misalnya berdasarkan keparahan CVSS) Menerapkan patch sebagai aktivitas yang terus berlangsung

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Ini tidak diperlukan karena organisasi saya menggunakan solusi backend tanpa kode.

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-17.c, hal berikut akan ditampilkan:

3.1-17.a.i. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda memiliki proses untuk terus memperbarui kode dan lingkungan backend. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda selalu memperbarui kode dan lingkungan backend.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-17.c, hal berikut akan ditampilkan:

3.1-17.a.ii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: terus memperbarui kode dan lingkungan backend Anda.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-17.b. Terkait dengan perangkat lunak pihak ketiga yang Anda gunakan untuk memproses Data Platform di aplikasi seluler seperti aplikasi Android atau iPhone, apakah Anda melakukan semua hal berikut: Memiliki cara yang jelas dan dapat diulang untuk mengidentifikasi patch pada perangkat lunak pihak ketiga yang menyelesaikan kerentanan keamanan Memprioritaskan patch yang tersedia berdasarkan risiko (misalnya berdasarkan keparahan CVSS) Menerapkan patch sebagai aktivitas yang terus berlangsung

[ ] Ya

[ ] Ini tidak diperlukan karena organisasi saya tidak memproses Data Platform di aplikasi seluler.

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-17.b, hal berikut akan ditampilkan:

3.1-17.b.i. Dalam pertanyaan sebelumnya Anda menyatakan bahwa Anda terus memperbarui perangkat lunak pihak ketiga di aplikasi seluler Anda. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda terus memperbarui kode pihak ketiga di aplikasi seluler Anda.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-17.b, hal berikut akan ditampilkan:

3.1-17.b.ii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: terus memperbarui kode pihak ketiga di aplikasi seluler Anda.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-17.c. Terkait dengan sistem operasi, perangkat lunak antivirus, browser yang berjalan di laptop, serta sistem dan aplikasi lain yang digunakan orang di organisasi Anda untuk membuat dan mengoperasikan aplikasi Anda, apakah Anda melakukan semua hal berikut: Memiliki cara yang jelas dan dapat diulang untuk mengidentifikasi patch pada perangkat lunak pihak ketiga yang menyelesaikan kerentanan keamanan Memprioritaskan patch yang tersedia berdasarkan risiko (misalnya berdasarkan keparahan CVSS) Menerapkan patch sebagai aktivitas yang terus berlangsung

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-17.c, hal berikut akan ditampilkan:

3.1-17.c.i. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda terus memperbarui perangkat lunak pihak ketiga dalam sistem dan aplikasi yang digunakan untuk membuat dan mengoperasikan aplikasi Anda. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda terus memperbarui perangkat lunak pihak ketiga dan perangkat lunak antivirus.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Pertanyaan ini hanya berlaku untuk sebagian developer. Lihat formulir penilaian Anda sendiri untuk menentukan apakah kewajiban ini berlaku untuk Anda.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-17.c, hal berikut akan ditampilkan:

3.1-17.c.ii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: terus memperbarui perangkat lunak pihak ketiga dan perangkat lunak antivirus. [Pertanyaan utama]

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-21. Apakah Anda memiliki cara yang tersedia secara umum bagi orang-orang untuk melaporkan kerentanan keamanan di aplikasi ini kepada Anda?

[ ] Ya

[ ] Tidak

Jika Anda memilih “Tidak” dalam pertanyaan 3.1-21, hal berikut akan ditampilkan:

3.1-21.a. Apakah ada alamat email, nomor telepon, atau formulir kontak yang tersedia untuk umum yang dapat digunakan orang untuk menghubungi Anda, yang dipantau secara berkala?

[ ] Ya

[ ] Tidak

Jika Anda memilih opsi mana pun dari b - f dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-22. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Apakah Anda mengumpulkan catatan audit admin untuk lingkungan backend ini?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22, hal berikut akan ditampilkan:

3.1-22.a. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda mengumpulkan catatan audit admin untuk lingkungan backend Anda tempat Data Platform disimpan.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22, hal berikut akan ditampilkan:

3.1-22.a.i. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: mengumpulkan catatan audit admin untuk lingkungan backend Anda tempat Data Platform disimpan.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari b - f dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-22.b. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Apakah Anda mengumpulkan catatan audit peristiwa aplikasi untuk lingkungan backend ini? Peristiwa aplikasi dapat meliputi:

• Kegagalan validasi input dan output

• Kegagalan autentikasi dan kontrol akses

• Kesalahan aplikasi dan peristiwa sistem

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.b, hal berikut akan ditampilkan:

3.1-22.b.i. Apakah catatan audit peristiwa aplikasi untuk lingkungan backend tempat Data Platform disimpan ini mencakup semua kolom berikut?

• ID pengguna Meta (jika dibagikan dengan Anda)

• Jenis peristiwa

• Tanggal dan waktu

• Indikator keberhasilan atau kegagalan

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.b, hal berikut akan ditampilkan:

3.1-22.b.ii. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan pendekatan Anda untuk mengumpulkan catatan audit peristiwa aplikasi untuk lingkungan backend Anda tempat Data Platform disimpan.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.b, hal berikut akan ditampilkan:

3.1-22.b.iii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: mengumpulkan catatan audit peristiwa aplikasi untuk lingkungan backend Anda tempat Data Platform disimpan.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari b - f dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-22.c. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Apakah Anda menerapkan kebijakan atau prosedur untuk mencegah akses yang tidak sah dan perusakan catatan audit untuk lingkungan backend ini?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak

3.1-22.d. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Untuk lingkungan ini, apakah Anda menyimpan catatan audit setidaknya selama 30 hari?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya [ ] Tidak

Jika Anda memilih opsi mana pun dari b - f dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-22.e. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Apakah Anda menggunakan solusi otomatis untuk meninjau catatan audit peristiwa aplikasi untuk lingkungan backend ini untuk menemukan indikator peristiwa atau insiden keamanan sehari-hari yang mengakibatkan risiko atau kerusakan (misalnya upaya mem-bypass kontrol akses atau mengeksploitasi kerentanan perangkat lunak)?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya dalam pertanyaan 3.1-22.e, hal berikut akan ditampilkan: 3.1-22.e.i Apakah Anda meninjau catatan audit peristiwa aplikasi untuk lingkungan backend tempat Data Platform disimpan ini setidaknya 7 hari sekali?

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.e, hal berikut akan ditampilkan:

3.1-22.e.ii. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda meninjau catatan audit peristiwa aplikasi untuk lingkungan backend Anda tempat Data Platform disimpan setidaknya 7 hari sekali.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.e, hal berikut akan ditampilkan:

3.1-22.e.iii. Unggah setidaknya satu bukti (misalnya konfigurasi alat atau tangkapan layar dari aplikasi Anda) yang menunjukkan bagaimana Anda menerapkan perlindungan ini dalam praktik: meninjau catatan audit peristiwa aplikasi untuk lingkungan backend Anda tempat Data Platform disimpan setidaknya 7 hari sekali.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari b - f dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-22.f. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Apakah Anda meninjau catatan audit admin untuk lingkungan ini untuk menemukan indikator peristiwa atau insiden keamanan sehari-hari yang mengakibatkan risiko atau kerusakan (misalnya upaya mem-bypass kontrol akses atau mengeksploitasi kerentanan perangkat lunak)?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.f, hal berikut akan ditampilkan:

3.1-22.f.i. Apakah Anda meninjau catatan audit admin untuk lingkungan backend tempat Data Platform disimpan ini setidaknya 7 hari sekali?

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.f, hal berikut akan ditampilkan:

3.1-22.f.ii Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan pendekatan Anda untuk meninjau catatan audit admin untuk lingkungan backend Anda tempat Data Platform disimpan untuk menemukan indikator peristiwa atau insiden keamanan sehari-hari setidaknya 7 hari sekali.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

Jika Anda memilih opsi mana pun dari b - f dalam pertanyaan 3.1-8.a, hal berikut akan ditampilkan:

3.1-22.g. Anda menyatakan dalam pertanyaan sebelumnya bahwa Anda menyimpan Data Platform di lingkungan backend Anda. Jika Anda mengidentifikasi peristiwa atau insiden keamanan sehari-hari yang mengakibatkan risiko atau kerusakan pada catatan audit Anda untuk lingkungan backend ini, apakah Anda memiliki proses untuk menyelidiki lebih lanjut?

"Lingkungan backend" mengacu pada lingkungan cloud atau server yang dapat diakses oleh pelanggan atau klien Anda dari jarak jauh, seperti situs web atau API web.

Pengingat: Jika terjadi peristiwa atau insiden keamanan, kebijakan kami mewajibkan Anda untuk segera melaporkannya kepada kami.

[ ] Ya

[ ] Tidak

Jika Anda memilih “Ya” dalam pertanyaan 3.1-22.g, hal berikut akan ditampilkan:

3.1-22.g.i. Unggah penjelasan tertulis (misalnya dokumen kebijakan atau prosedur) yang menyatakan bagaimana Anda menyelidiki peristiwa atau insiden keamanan sehari-hari di lingkungan backend Anda tempat Data Platform disimpan, yang mengakibatkan risiko atau kerusakan pada catatan audit Anda.

Sorot atau lingkari teks dalam kebijakan Anda yang menjelaskan syarat-syarat ini.

Pastikan file tidak dilindungi kata sandi. Anda dapat mengunggah beberapa file, masing-masing maksimum 2 GB. Kami menerima .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip, dan .zipx.

3.1-23. Apakah Anda menerapkan proses keamanan untuk orang-orang yang memiliki akses ke Data Platform?

Proses tersebut dapat mencakup satu atau lebih hal berikut:

• Pemeriksaan latar belakang diselesaikan sebelum mendapatkan akses ke Data Platform

• Perjanjian kerahasiaan ditandatangani sebelum mendapatkan akses ke Pelatihan Data Platform untuk personel baru tentang kebijakan dan prosedur keamanan informasi

• Pelatihan kesadaran keamanan yang teratur dan terus berlangsung (yaitu setiap tahun)

• Pelatihan yang terkait dengan peran pekerjaan tertentu yang mengakses Data Platform

• Pengembalian aset (misalnya laptop atau ponsel) setelah berpisah dengan organisasi

[ ] Ya

[ ] Tidak