Domande della Valutazione sulla protezione dei dati

Qui trovi tutte le domande per la Valutazione sulla protezione dei dati. Se la tua valutazione inizia con la 3.1, l'hai ricevuta il 15 febbraio 2024 o dopo tale data. Puoi consultare le relative domande elencate di seguito.

Se la tua valutazione non è numerata, l'hai ricevuta entro il 15 febbraio 2024. Queste domande precedenti sono riportate qui.

Le seguenti domande rientrano nell'aggiornamento della Valutazione sulla protezione dei dati 2024. Noterai che i numeri delle domande iniziano con il corrispondente numero di versione: per la versione 3.1, le domande saranno numerate con 3.1-1, 3.1-2 ecc. Aggiorniamo continuamente le domande in modo che siano coerenti con gli standard del settore e gli sviluppatori potrebbero ricevere domande diverse a seconda di quando hanno ricevuto la valutazione.

Istruzioni per l'uso:

Consigliamo agli amministratori delle app di consultarle insieme ai propri team interni per garantire che le app soddisfino i requisiti delle nostre Condizioni della Piattaforma. Tutti gli amministratori delle app riceveranno una notifica se è necessaria una Valutazione sulla protezione dei dati per ciascuna app.
Saranno accettati solo invii in lingua inglese. Puoi utilizzare tutti gli strumenti di traduzione necessari per inviare la tua valutazione in inglese.
Mostriamo qui le domande solo per tua comodità. Le domande richieste per ogni app varieranno in base ai dati ai quali l'app ha accesso. Se un'app ha accesso a certi tipi di dati, potrebbe essere necessario fornire delle prove a supporto delle risposte date.
Se in questo momento stai svolgendo la procedura di valutazione sulla protezione dei dati o stai rispondendo alle domande di follow-up dei nostri revisori, prosegui e tieni presente che le domande a cui stai rispondendo potrebbero essere diverse dalle domande aggiornate riportate qui.

Uso dei dati

3.1-1. L'app utilizza i Dati della Piattaforma per svantaggiare determinate persone (ovvero fare in modo che alcune persone ottengano qualcosa che altre non ottengono) in base a razza, etnia, colore, nazionalità, religione, età, sesso, orientamento sessuale, identità di genere, stato di famiglia, disabilità, condizione medica o genetica?

Questa domanda non riguarda l'utilizzo del genere e dell'età nelle app di appuntamenti, del genere per considerazioni linguistiche, dell'età per l'applicazione di restrizioni ai contenuti per adulti o altri casi in cui i Dati della Piattaforma vengono usati in modo pertinente ai fini del miglioramento dell'esperienza dell'utente nell'app. Se la tua app è associata a uno di questi utilizzi, rispondi "no", dal momento che la tua modalità di utilizzo di queste informazioni non determina alcuno svantaggio.

[ ] Sì
[ ] No

Se la risposta è "Sì", ti verranno poste le seguenti domande aggiuntive:

3.1-1.a.A. Quali Dati della Piattaforma utilizza l'app per svantaggiare determinate persone in base a razza, etnia, colore, nazionalità, religione, età, sesso, orientamento sessuale, identità di genere, stato di famiglia, disabilità, condizione medica o genetica?

3.1-1.a.B. In che modo l'app utilizza i Dati della Piattaforma per svantaggiare determinate persone in base a razza, etnia, colore, nazionalità, religione, età, sesso, orientamento sessuale, identità di genere, stato di famiglia, disabilità, condizione medica o genetica?

3.1-1.a.C. Quando l'app ha iniziato a usare i Dati della Piattaforma in questo modo?

3.1-2. L'app utilizza i Dati della Piattaforma per prendere decisioni relative ad alloggi, occupazione, assicurazione, opportunità di istruzione, credito, benefit statali o stato di immigrazione?

Se la risposta è "Sì", ti verranno poste le seguenti domande aggiuntive:

3.1-2.a.A. Quali Dati della Piattaforma utilizza l'app per prendere decisioni relative ad alloggi, occupazione, assicurazione, opportunità di istruzione, credito, benefit statali o stato di immigrazione?

3.1-2.a.B. In che modo l'app utilizza i Dati della Piattaforma per prendere decisioni relative ad alloggi, occupazione, assicurazione, opportunità di istruzione, credito, benefit statali o stato di immigrazione?

3.1-2.a.C. Quando l'app ha iniziato a usare i Dati della Piattaforma in questo modo?

3.1-3. L'app utilizza i Dati della Piattaforma per attività correlate alla sorveglianza? La sorveglianza include il trattamento dei Dati della Piattaforma relativamente a persone, gruppi o eventi correlati agli scopi delle forze dell'ordine o di sicurezza nazionale.

Se la risposta è "Sì", ti verranno poste le seguenti domande aggiuntive:

3.1-3.a.A. Quali Dati della Piattaforma utilizza l'app per le attività correlate alla sorveglianza?

3.1-3.a.B. In che modo l'app utilizza i Dati della Piattaforma per attività correlate alla sorveglianza?

3.1-3.a.C. Quando l'app ha iniziato a usare i Dati della Piattaforma a tale scopo?

Condivisione dei dati

3.1-4. Alcune delle domande seguenti si riferiscono a fornitori e subfornitori di servizi. Un fornitore di servizi è una persona o un'azienda che fornisce servizi pensati per aiutarti con l'utilizzo della Piattaforma o dei Dati della Piattaforma. Un subfornitore di servizi è un fornitore di servizi di cui si avvale un altro fornitore per offrire servizi relativamente ai Dati della Piattaforma.

Google Cloud e Amazon Web Services (AWS) sono esempi di fornitori di servizi di grandi dimensioni comunemente usati, ma puoi decidere di lavorare con aziende più piccole per il trattamento o l'utilizzo dei Dati della Piattaforma, ad esempio con un'azienda per lo sviluppo web locale del tuo Paese o della tua area geografica.

Esegui una delle seguenti operazioni?

Seleziona tutte le risposte appropriate.

a. Non condivido i Dati della Piattaforma ricevuti tramite questa app.
b. Vendere o concedere in licenza i Dati della Piattaforma a un'altra persona o azienda, oppure agevolare o supportare altri in tali attività.
c. Acquistare i Dati della Piattaforma da altre persone o aziende o agevolare o supportare altri in tali attività.
d. Condividere i Dati della Piattaforma per consentire a una persona o un'azienda di fornirti un servizio (un fornitore di servizi).
e. Condividere i Dati della Piattaforma per consentire a un'altra persona o azienda (al di fuori della tua azienda) di accedere e usare i Dati della Piattaforma o la Piattaforma.
f. Condividere i Dati della Piattaforma dietro esplicita indicazione di un utente di questa app.
g. Condividere i Dati della Piattaforma per altri scopi non elencati. Fornisci una spiegazione.

Se selezioni l'opzione b nella domanda 3.1-4, ti verrà chiesto quanto segue:

3.1-4.a.A. Quali tipi di Dati della Piattaforma vendi o concedi in licenza?

3.1-4.a.B. Quali autorizzazioni, funzioni, funzionalità o altri canali utilizza questa app per accedere ai Dati della Piattaforma e acquisirli?

3.1-4.a.C. Elenca tutte le entità, le aziende e le terze parti a cui stai vendendo o concedendo in licenza i Dati della Piattaforma da questa app e spiega lo scopo della condivisione per ciascun caso.

3.1-4.a.D. Quando hai iniziato a vendere o concedere in licenza i Dati della Piattaforma?

Se selezioni l'opzione d nella domanda 3.1-4, ti verrà chiesto quanto segue:

3.1-4.b. Hai indicato in precedenza di condividere i Dati della Piattaforma con i fornitori di servizi. Seleziona le caselle sotto indicando i fornitori di servizi con cui condividi i Dati della Piattaforma. Nelle domande successive ti verrà chiesto di indicare con chi condividi i Dati della Piattaforma e di spiegare come e perché.

Nota: non indicare servizi o prodotti di Meta come fornitori di servizi.

Seleziona tutte le risposte applicabili. Se condividi i Dati della Piattaforma con più di un fornitore di servizi riportato qui e con fornitori di servizi aggiuntivi non elencati, seleziona tutte le risposte applicabili e "Altro". Ad esempio, potresti selezionare Apple, Google e Altro per indicare tutti i tuoi fornitori di servizi.

a. Google (ad es. Play Store, Firebase, Cloud, AdMob, Analytics)
b. Amazon (ad es. Amazon Web Services)
c. Salesforce (ad es. Heroku, Marketing Cloud)
d. Apple (ad es. App Store)
e. Microsoft (ad es. App Center, Azure, Playfab)
f. Github
g. AppLovin (ad es. Adjust)
h. Appsflyer
i. Stripe
j. Twilio (ad es. Segment, SendGrid)
k. Altro (ti verrà chiesto di caricare una lista)

Se selezioni l'opzione k nella domanda 3.1-4.b, ti verrà chiesto quanto segue:

3.1-4.b.i. Carica un file CSV o Excel contenente una lista di tutti i fornitori di servizi con cui condividi i Dati della Piattaforma in aggiunta a quelli che hai indicato nella lista in alto. Assicurati che i file non siano protetti da password. Puoi caricare più file, massimo 2 GB ciascuno. Accettiamo file in formato .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se selezioni l'opzione d nella domanda 3.1-4 e l'opzione k nella domanda 3.1-4.b, ti verrà chiesto quanto segue:

3.1-4.c. Hai stipulato un accordo scritto con ciascuno dei fornitori di servizi con cui condividi i Dati della Piattaforma in base al quale sono tenuti, inclusi i rispettivi subfornitori di servizi (se presenti), a utilizzare i Dati della Piattaforma solo come da te indicato e allo scopo di fornire il servizio da te richiesto, non per i propri scopi o a beneficio dei propri clienti?

Con accordo scritto si intende i termini di servizio, un accordo non negoziato standard o un contratto firmato. Ad esempio, se utilizzi Google Cloud come fornitore di servizi, l'accordo scritto è costituito dai termini di servizio a cui acconsenti.

[ ] Sì [ ] No

Se selezioni "Sì", ti verrà chiesto quanto segue:

3.1-4.c.i. Spunta le caselle sottostanti per indicare il tipo di formulazione contenuta nei contratti scritti relativi ai dati stipulati con i fornitori di servizi. Seleziona tutte le risposte appropriate.

a. Formulazione che richiede ai fornitori di servizi di usare i Dati della Piattaforma solo per fornire il servizio richiesto da te.

b. Formulazione che richiede ai fornitori di servizi di usare i Dati della Piattaforma solo secondo le istruzioni da te fornite.

c. Formulazione che proibisce ai fornitori di servizi di condividere i Dati della Piattaforma con terzi, a meno che non sia stato indicato da te.

d. Formulazione che proibisce ai fornitori di servizi di trattare i Dati della Piattaforma per scopi propri o per terzi.

e. Formulazione che richiede ai fornitori di servizi di eliminare i Dati della Piattaforma ricevuti da te quando cesserai di usare il loro servizio.

3.1-4.c.iv. Sai di eventuali istanze in cui i tuoi fornitori di servizi, e/o altri loro subfornitori di servizi (se presenti), hanno operato in modo non coerente con le Condizioni della Piattaforma Meta, come ad esempio vendendo i Dati della Piattaforma o non eliminandoli anche dopo che avevi smesso di usare i loro servizi?

[ ] Sì [ ] No

3.1-4.c.v. Se smetti di servirti di un fornitore di servizi o un subfornitore di servizi, i vostri contratti (e le condizioni d'uso del fornitore) specificano in che modo e quando il fornitore di servizi deve eliminare i dati che ha ricevuto da te?

[ ] Sì [ ] No

Se selezioni "No" nella domanda 3.1-4.c.v, ti verrà chiesto quanto segue:

3.1-4.c.vi. Se smetti di collaborare con un fornitore o un subfornitore di servizi, in che modo ti assicuri che questo elimini i Dati della Piattaforma ricevuti da te?

Se selezioni l'opzione e nella domanda 3.1-4, ti verrà chiesto quanto segue:

3.1-4.d. Le seguenti domande si riferiscono ai fornitori di tecnologia, ovvero gli sviluppatori delle app il cui scopo principale è gestire le integrazioni della Piattaforma per conto dei clienti, in modo che possano accedere ai propri dati sui prodotti di Meta e gestirli. Esempi di fornitori di tecnologia includono agenzie e fornitori SaaS (Software as a Service).

Definizione di "fornitore di tecnologia": un individuo o un'azienda con accesso alle API Meta allo scopo di creare, mantenere e rimuovere integrazioni per conto di altri individui o aziende. Questo include individui o aziende che creano una singola integrazione per conto di uno o più clienti.

Hai indicato in alto che questa app consente a persone o aziende (clienti) di accedere ai Dati della Piattaforma e utilizzarli. Ciò significa che sei un fornitore di tecnologia.

Tratti i Dati della Piattaforma che ricevi attraverso questa app per conto e su indicazione dei tuoi clienti? [ ] Sì [ ] No

Se selezioni "No" nella domanda 3.1-4.d, ti verrà chiesto quanto segue:

3.1-4.d.i.A. Per conto e su indicazione di chi, oltre ai tuoi clienti, tratti i Dati della Piattaforma?

3.1-4.d.i.B. Quali Dati della Piattaforma tratti per questa persona o azienda?

3.1-4.d.i.C. Perché tratti Dati della Piattaforma per questa persona o azienda?

3.1-4.d.i.D. Quando hai iniziato a trattare questi Dati della Piattaforma?

3.1-4.d.i.E. In che modo tratti questi Dati della Piattaforma?

3.1-4.e. Conservi i Dati della Piattaforma di ciascuno dei tuoi clienti separatamente (a livello logico, ad esempio in tabelle separate, o fisico) rispetto ai dati degli altri clienti e a quelli che conservi per i tuoi scopi?

[ ] Sì [ ] No

Se selezioni "No" nella domanda 3.1-4.e, ti verrà chiesto quanto segue:

3.1-4.f. Hai indicato di condividere i Dati della Piattaforma in circostanze diverse da quelle specificate nelle domande precedenti. Definisci i dati che condividi in queste circostanze.

Dove vengono memorizzati?
In che modo memorizzi e proteggi i dati?
Chi vi ha accesso?
In che modo controlli gli accessi?

Se selezioni "Altro. Fornisci una spiegazione." ti verrà chiesto quanto segue:

Hai indicato di condividere i Dati della Piattaforma in circostanze diverse da quelle specificate nelle domande precedenti. Definisci i dati che condividi in queste circostanze.

Assicurati di includere le risposte alle seguenti domande:

Con chi condividi questi dati, oltre agli utenti dell'app o del sito web?
In che modo questi dati vengono condivisi?
Quando hai iniziato a condividere i dati con le entità che hai menzionato?
Questi dati vengono attualmente condivisi?

3.1-4.f.i. Per i Dati della Piattaforma condivisi in tali altre circostanze, hai stipulato un accordo scritto con ciascun destinatario dei Dati della Piattaforma che vieta qualsiasi utilizzo che violi le Condizioni della Piattaforma Meta e le Normative per gli sviluppatori (o qualsiasi altra condizione applicabile all'utilizzo dei Dati della Piattaforma)?

Gli esempi di contratti scritti comprendono condizioni d'uso, contratti standard non negoziati o contratti sottoscritti.

[ ] Sì [ ] No

3.1-4.g. Che tu sappia, qualcuno di questi destinatari dei Dati della Piattaforma ha violato le Condizioni della Piattaforma di Meta? Ad esempio, vendendo, concedendo in licenza o acquistando Dati della Piattaforma.

[ ] Sì [ ] No

Se selezioni "Sì" nella domanda 3.1-4.g, ti verrà chiesto quanto segue:

3.1-4.g.i. Hai indicato in precedenza che i destinatari dei Dati della Piattaforma hanno violato le Condizioni della Piattaforma di Meta. Fornisci dettagli.

Se selezioni l'opzione f nella domanda 3.1-4, ti verrà chiesto quanto segue:

3.1-4.i.A. Hai indicato in precedenza di rendere disponibili i Dati della Piattaforma ricevuti attraverso questa app ad altre persone o aziende su indicazione degli utenti.

Fornisci una descrizione del modo in cui gli utenti ti hanno indicato di condividere i Dati della Piattaforma con altre persone o aziende.

3.1-4.i.B. Carica degli screenshot della procedura di consenso per tale condivisione. Assicurati che i file non siano protetti da password. Puoi caricare più file, massimo 2 GB ciascuno. Accettiamo file in formato .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Eliminazione dei dati

3.1-5. Prevedi l'eliminazione dei Dati della piattaforma in TUTTE le seguenti circostanze, ad eccezione dei casi in cui le nostre condizioni ne consentano il mantenimento?

a. Quando conservare i Dati della piattaforma non è più necessario per uno scopo aziendale legittimo

b. Quando richiesto da un utente

c. Quando un utente non ha più un account con la tua app (si applica solo se offri account utente)

d. Quando richiesto da Meta e

e. Quando richiesto da normative o regolamenti.

Relativamente a questa domanda, i "Dati della piattaforma" non includono i dati elencati nelle Condizioni della Piattaforma 3.e "Eccezioni". Fai riferimento alle Condizioni della Piattaforma 3d "Conservazione, eliminazione e accessibilità dei Dati della piattaforma" per comprendere i nostri requisiti di eliminazione. Tieni presente che, in determinate circostanze, l'eliminazione non è necessaria se i Dati della piattaforma sono stati aggregati, oscurati o resi anonimi e quindi non possono essere associati a un particolare utente, browser o dispositivo. La conservazione di dati aggregati e anonimi per scopi aziendali associati a un'esperienza utente, ad esempio la fatturazione, è consentita.

[ ] Sì
[ ] No

Se selezioni "No" nella domanda 3.1-5, ti verrà chiesto quanto segue:

3.1-5.a. In quali delle precedenti circostanze NON prevedi l'eliminazione dei Dati della piattaforma? Perché?

3.1-6. Quando elimini i Dati della piattaforma nelle circostanze definite in alto, provvedi a farlo il prima possibile?

La quantificazione di "il prima possibile" dipende da sistemi e dati, ma in generale non deve superare i 120 giorni. Questa domanda si riferisce solo ai Dati della piattaforma, non a dati raccolti o memorizzati in maniera indipendente da questa app.

Questo non si applica ai Dati della piattaforma che sei tenuto a conservare ai sensi delle leggi o dei regolamenti applicabili.

[ ] Sì
[ ] No

In quali circostanze prevedi di conservare i Dati della piattaforma per oltre 120 giorni? Nota: questo non si applica ai Dati della piattaforma che sei tenuto a conservare ai sensi delle leggi o dei regolamenti applicabili.

Se selezioni "No" nella domanda 3.1-6, ti verrà chiesto quanto segue:

3.1-6.a. In quali circostanze prevedi di conservare i Dati della piattaforma per oltre 120 giorni?

Nota: questo non si applica ai Dati della piattaforma che sei tenuto a conservare ai sensi delle leggi o dei regolamenti applicabili.

Se selezioni "Sì" nella domanda 3.1-5, ti verrà chiesto quanto segue:

3.1-5.b. Hai indicato in precedenza di eliminare i Dati della piattaforma quando non sono più necessari per uno scopo aziendale legittimo. Descrivi come determini quando i Dati della piattaforma non sono più necessari per uno scopo aziendale legittimo.

Per quanto riguarda questa domanda, i "Dati della piattaforma" non includono i dati elencati in Condizioni della Piattaforma 3(e).

3.1-5.c. Hai indicato in precedenza di eliminare i Dati della piattaforma quando richiesto da un utente. Fornisci una descrizione del modo in cui gli utenti possono richiedere l'eliminazione dei propri dati. Includi degli screenshot se applicabile.

Assicurati che i file non siano protetti da password. Puoi caricare più file, massimo 2 GB ciascuno. Accettiamo file in formato .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Per quanto riguarda questa domanda, i "Dati della piattaforma" non includono i dati elencati in Condizioni della Piattaforma 3(e).

Sicurezza dei dati

3.1-A. Ai sensi delle Condizioni della Piattaforma 6.a.i, Meta richiede di disporre misure di sicurezza amministrative, fisiche e tecniche progettate per prevenire qualsiasi accesso non autorizzato, distruzione, perdita, alterazione, divulgazione, distribuzione o compromissione dei Dati della piattaforma.

Per maggiori informazioni, consulta le nostre Best practice in materia di sicurezza dei dati per gli sviluppatori, la panoramica sulla Valutazione sulla protezione dei dati e le FAQ.

Assicurati di consultare le persone giuste prima di rispondere alle prossime domande. Dovresti rivolgerti, ad esempio, al tuo Chief Information Security Officer, una persona con un ruolo equivalente nella tua organizzazione o un'azienda qualificata di sicurezza informatica (ad esempio, un'azienda che ha almeno 5 anni di esperienza nella conduzione di audit ISO 27001) per garantire l'accuratezza delle risposte fornite.

Seleziona "Ho capito" per continuare con la valutazione.

[ ] Ho capito

3.1-B. Come promemoria, la definizione di "Dati della piattaforma" è fornita nel nostro Glossario dei termini della Piattaforma: "Tutte le informazioni, i dati o altri contenuti che l'utente ottiene da Facebook tramite la Piattaforma o attraverso l'app dell'utente, in modo diretto o indiretto e prima, durante o dopo la data di accettazione delle presenti Condizioni, inclusi i dati in forma anonima, aggregata o derivati dai suddetti dati. I Dati della piattaforma comprendono i token dell'app, della Pagina, di accesso, chiavi segrete e i token utente".

A scanso di equivoci, questo include dati come ID utente, indirizzo e-mail e tutti i dati ricevuti dalle chiamate API a graph.facebook.com.

Per rispondere alle seguenti domande, dovrai comprendere in modo completo come i Dati della piattaforma Meta relativi a questa app vengono trasmessi, memorizzati e trattati nel tuo software e nei tuoi sistemi.

Questa domanda si applica a tutte le autorizzazioni, le funzioni e le funzionalità di questa app. Per conoscere le autorizzazioni, le funzioni e le funzionalità di questa app, visita la dashboard gestione app. Puoi accedere alla dashboard gestione app selezionando l'app nella pagina "Le mie app".

Seleziona "Ho capito" per continuare.

[ ] Ho capito

3.1-7. Se disponi di una certificazione di sicurezza delle informazioni che soddisfa tutti i seguenti criteri, puoi presentarla come prova dell'implementazione di garanzie amministrative, fisiche e tecniche sufficienti volte a proteggere i Dati della piattaforma:

Il tipo di certificazione deve essere SOC 2, ISO 27001, ISO 27018 o altro equivalente.
La certificazione deve essere stata rilasciata da un revisore indipendente alla tua organizzazione (anziché essere stata rilasciata a terzi).
La certificazione deve essere in corso di validità: un certificato SOC 2 rilasciato entro l'anno passato o un certificato ISO rilasciato entro i 3 anni precedenti.
L'ambito dell'audit deve coprire in modo completo i sistemi utilizzati per il trattamento dei Dati della piattaforma Meta.

Disponi di una certificazione di sicurezza che soddisfa questi criteri?

[ ] Sì [ ] No

Se selezioni "Sì" nella domanda 3.1-7, ti verrà chiesto quanto segue:

3.1-7.a. Di quali certificati sulla sicurezza dei dati disponi? Seleziona tutte le risposte appropriate. * [ ] Rapporto SOC2 tipo 2 * [ ] Certificato ISO 27001 * [ ] Certificato ISO 27018 * [ ] Un'altra certificazione equivalente * Se selezioni "Un'altra certificazione equivalente" ti verrà ti verrà chiesto quanto segue: * Qual è il nome di questa certificazione di sicurezza?

3.1-7.a.i.B. Carica una copia della tua certificazione di sicurezza. Assicurati che i file non siano protetti da password. Puoi caricare più file, massimo 2 GB ciascuno. Accettiamo file in formato .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se selezioni l'opzione d nella domanda 3.1-7.a, ti verrà chiesto quanto segue:

3.1-7.a.i.A. Qual è il nome di questa certificazione di sicurezza?

3.1-8. Memorizzi i Dati della piattaforma nel tuo ambiente di backend (ad es. database, object storage bucket o block storage all'interno di un cloud o di altro tipo di ambiente ospitato)?

Seleziona "Sì" se scrivi i Dati della piattaforma in qualsiasi storage persistente in un ambiente cloud o server backend che conserva i dati dopo che l'energia al dispositivo è stata spenta, come su disco, file di log o database accessibili tramite un sito web o un'API.

Seleziona "No" se fai una delle seguenti cose:

Tratti esclusivamente i Dati della piattaforma sui client di proprietà di utenti finali della tua app e non trasmetti mai i Dati della piattaforma ad ambienti di backend
Tratti i Dati della piattaforma in un ambiente di backend, ma nessuno di questi dati è mai scritto su uno storage persistente
[ ] Sì
[ ] No

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-8.a. Nella domanda precedente hai indicato che memorizzi i Dati della piattaforma nel tuo ambiente di backend. Quale dei seguenti tipi di Dati della piattaforma memorizzi nel tuo ambiente di backend? Seleziona tutte le risposte applicabili.

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.
"Memorizzazione" si riferisce alla scrittura dei Dati della piattaforma in qualsiasi ambiente che conservi i dati dopo che l'alimentazione è stata disattivata (ad esempio file di log, database di oggetti o relazionali o dischi).

a. ID utente Meta o ID utente con hashing

b. Indirizzo e-mail

c. Immagine del profilo

d. Token d'accesso dell'utente dell'API Meta

e. Chiave segreta

f. Altri Dati della piattaforma non elencati sopra

3.1-8.b. Quale di queste soluzioni di hosting usi per trattare i Dati della piattaforma nel tuo ambiente di backend?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

Seleziona tutte le risposte applicabili.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba / Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Un data center di proprietà di un'altra organizzazione con server di proprietà della mia organizzazione

k. Data center e server di proprietà della mia organizzazione

l. Altro

Se selezioni l'opzione l nella domanda 3.1-8.b, ti verrà chiesto quanto segue:

3.1-8.b.i. Nella domanda precedente, hai selezionato "Altro" per indicare che usi un'opzione di hosting non elencata. Descrivi il tuo approccio di hosting dell'ambiente di backend.

Se selezioni l'opzione b, c, d, e o f nella domanda 3.1-8.a e l'opzione c, h, i, j, k o l nella domanda 3.1-8.b, ti verrà chiesto quanto segue:

3.1-9.a.Importi la crittografia a riposo per tutti i Dati della piattaforma che memorizzi nel tuo ambiente di backend?

La crittografia a riposo protegge i Dati della piattaforma rendendo i dati indecifrabili senza una chiave di decriptazione. Ciò fornisce un ulteriore livello di protezione contro gli accessi in lettura non autorizzati. Se memorizzi i Dati della piattaforma in un ambiente di backend, ti chiediamo di proteggere tali dati con crittografia a riposo o una protezione alternativa accettabile.

Alcuni provider di hosting abilitano la crittografia a riposo per impostazione predefinita o hanno opzioni di configurazione per abilitarla. Prima di rispondere a questa domanda, verifica se la crittografia a riposo è applicata ai servizi che usi per memorizzare i Dati della piattaforma. In tal caso, rispondi "Sì" a questa domanda.

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No, ma i nostri provider di hosting hanno una certificazione SOC 2 o ISO 27001 che afferma che i loro controlli di sicurezza fisica e di smaltimento sicuro dei supporti sono stati valutati da terzi.

[ ] No

Se selezioni l'opzione b, c, d, e o f nella domanda 3.1-8.a e non selezioni l'opzione c, h, i, j, k o l nella domanda 3.1-8.b, ti verrà chiesto quanto segue:

3.1-9.b. Applichi la crittografia a riposo per tutti i Dati della piattaforma che memorizzi nel tuo ambiente di backend?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No

Se selezioni "Sì" nella domanda 3.1-9.a o "Sì" nella domanda 3.1-9.b, ti verrà chiesto quanto segue:

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

3.1-9.b.i. Nella domanda precedente hai indicato che applichi la crittografia a riposo per tutti i Dati della Piattaforma memorizzati nel tuo ambiente di backend. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che dichiari che tutti i Dati della Piattaforma memorizzati nel tuo ambiente di backend devono essere protetti con crittografia a riposo.

Se classifichi e proteggi i dati in modo diverso in base a un insieme di livelli di sensibilità dei dati, la tua spiegazione deve indicare chiaramente quale livello di sensibilità è assegnato ai Dati della Piattaforma ricevuti da Meta e devi caricare le politiche pertinenti.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

3.1-9.b.ii. Carica almeno una prova (ad es. uno screenshot di un'istanza di database) che dimostri come implementi questa protezione nella pratica: tutti i Dati della Piattaforma memorizzati nel tuo ambiente di backend sono protetti con crittografia a riposo.

Se selezioni "No" nella domanda 3.1-9.a, ti verrà chiesto quanto segue:

3.1-9.c.i. Che tipo di prove possiedi che dimostrino che i controlli di sicurezza fisica e di smaltimento sicuro dei supporti del tuo provider di hosting sono stati valutati?

Per dimostrare che stai seguendo le Condizioni della Piattaforma di Meta, devi confermare che l'audit ISO 27001 o SOC 2 del tuo provider di hosting prevedeva controlli di sicurezza fisica e di smaltimento sicuro dei supporti. Nelle norme ISO/IEC 27001:2013 o 2017, sono i controlli A.8.3, A.11.1 e A.11.2. Nella norma SOC 2, sono i controlli CC6.4 e CC6.5.

a. Un audit ISO 27001 del mio provider di hosting, dove la Dichiarazione di applicabilità (SOA) associata afferma che i controlli di sicurezza fisica e di smaltimento sicuro dei supporti sono stati valutati

b. Un rapporto di audit SOC 2 che afferma che i controlli di sicurezza fisica e smaltimento sicuro dei supporti sono stati testati e che non sono emerse risultanze negative

c. Nessuno dei precedenti

Se selezioni l'opzione a o b nella domanda 3.1-9.c.i, ti verrà chiesto quanto segue:

3.1-9.c.ii. In quale data è stato rilasciato il certificato ISO 27001 o SOC 2 del tuo provider di hosting?

3.1-10. Qualcuno nella tua organizzazione memorizza i Dati della Piattaforma su endpoint aziendali o dispositivi personali (ad es. su portatili o smartphone)?

"Memorizzare" si riferisce alla scrittura dei Dati della Piattaforma in qualsiasi ambiente che conservi i dati dopo che l'energia è stata rimossa, come portatili, unità USB, dischi rigidi rimovibili e servizi di archiviazione nel cloud come Dropbox o Google Drive.

Nota: i Dati della Piattaforma all'interno di client web o mobili per singoli utenti del tuo servizio non rientrano nell'ambito di questa domanda.

[ ] Sì. Una o più persone nella mia organizzazione memorizzano i Dati della Piattaforma sui loro dispositivi aziendali o personali.
[ ] No. In nessun caso nella mia organizzazione vi sono persone che memorizzano i Dati della Piattaforma su dispositivi aziendali o personali.

Se selezioni "Sì" nella domanda 3.1-10, ti verrà chiesto quanto segue:

3.1-10.a. Quando le persone della tua organizzazione memorizzano i Dati della Piattaforma su endpoint aziendali o dispositivi personali, quale di queste protezioni vengono implementate per ridurre il rischio di perdita di dati?

Ti chiediamo di implementare protezioni per ridurre il rischio di accesso ai Dati della Piattaforma quando memorizzati a riposo.

Seleziona tutte le risposte appropriate.

a. Software o servizio che applica la crittografia completa del disco su dispositivi aziendali (ad es. Bitlocker o FileVault)

b. Software Data Loss Prevention (DLP) sull'endpoint su tutti i dispositivi gestiti per monitorare e registrare le azioni relative ai Dati della Piattaforma memorizzati

c. Le persone della mia organizzazione sono obbligate a seguire una normativa sull'uso accettabile che consente il trattamento dei Dati della Piattaforma solo se esiste uno scopo aziendale chiaro e attuabile e che dichiara che i dati devono essere eliminati quando lo scopo aziendale non esiste più

d. Nessuno dei precedenti

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni l'opzione a o b nella domanda 3.1-10.a, ti verrà chiesto quanto segue:

3.1-10.a.i. Nella domanda precedente hai indicato che proteggi i Dati della Piattaforma memorizzati su dispositivi aziendali o personali implementando la crittografia completa del disco su questi dispositivi o con un software Data Loss Prevention (DLP) sull'endpoint. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come implementi questa protezione tecnica.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni l'opzione a o b nella domanda 3.1-10.a, ti verrà chiesto quanto segue:

3.1-10.a.ii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: protezioni tecniche per i Dati della Piattaforma memorizzati su dispositivi aziendali o personali. [Domanda primaria]

Ad esempio:

Uno screenshot di una normativa del gruppo che richieda l'abilitazione di BitLocker per i dispositivi gestiti
Una screenshot di uno strumento di gestione DLP che mostri che il monitoraggio dei dati IIP è abilitato per tutti gli endpoint
Uno screenshot di un altro strumento o prodotto che i tuoi amministratori IT usano per imporre l'uso di protezioni tecniche su tutti i dispositivi aziendali
Assicurati che i file non siano protetti da password. Puoi caricare più file, massimo 2 GB ciascuno. Accettiamo file in formato .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni solo l'opzione c nella domanda 3.1-10.a, ti verrà chiesto quanto segue:

3.1-10.a.iii. In una domanda precedente hai indicato che le persone della tua organizzazione sono tenute a rispettare una normativa sull'uso accettabile quando memorizzano i Dati della Piattaforma su dispositivi aziendali o personali. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) contenente la tua normativa sull'uso accettabile.

Richiediamo che questa normativa descriva chiaramente quanto segue:

Gli scopi aziendali consentiti per il trattamento dei Dati della Piattaforma su dispositivi aziendali o personali
L'obbligo di eliminare i dati quando tali scopi non esistono più

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni solo l'opzione c nella domanda 3.1-10.a, ti verrà chiesto quanto segue:

3.1-10.a.iv. Posso confermare che tutte le persone della mia organizzazione che potrebbero trattare i Dati della Piattaforma su dispositivi aziendali o personali sono state informate della normativa sull'uso accettabile di questi dati, hanno confermato di averla compresa e vengono informate della sua esistenza nell'ambito della procedura di onboarding dei neoassunti

[ ] Sì, confermo.

[ ] No, non confermo.

Se selezioni "Sì" nella domanda 3.1-8 e "No" nella domanda 3.1-10, ti verrà chiesto quanto segue:

3.1-10.b. Nella domanda precedente hai indicato che in nessun caso le persone della tua organizzazione memorizzano i Dati della Piattaforma su dispositivi aziendali o personali.

Hai informato le persone della tua organizzazione che non è consentito in nessuna circostanza memorizzare i Dati della Piattaforma su dispositivi aziendali o personali e hai chiesto loro di confermare la comprensione di questo divieto?

Le nostre normative richiedono alle organizzazioni di comunicare a tutte le persone al loro interno, inclusi gli utenti con privilegi elevati come gli amministratori, che non è consentito memorizzare i Dati della Piattaforma.

[ ] Sì

[ ] No

Se selezioni "No" nella domanda 3.1-8 e "No" nella domanda 3.1-10, ti verrà chiesto quanto segue:

3.1-10.c. Nella domanda precedente hai indicato che in nessun caso le persone della tua organizzazione memorizzano i Dati della Piattaforma su dispositivi aziendali o personali.

[ ] Sì

[ ] Non è necessario, perché i Dati della piattaforma non sono mai accessibili alle persone della mia organizzazione.

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-10.b o nella domanda 3.1-10.c, ti verrà chiesto quanto segue:

3.1-10.c.i. In una domanda precedente hai indicato che in nessun caso le persone della tua organizzazione memorizzano i Dati della Piattaforma su dispositivi aziendali o personali. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che dichiari che le persone nella tua organizzazione non devono memorizzare i Dati della Piattaforma su questi dispositivi.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni "Sì" nella domanda 3.1-10.b o nella domanda 3.1-10.c, ti verrà chiesto quanto segue:

3.1-10.c.ii. Confermo che tutte le persone della mia organizzazione:

Sono state informate della normativa che vieta loro di memorizzare i Dati della Piattaforma su dispositivi aziendali o personali

Hanno confermato di aver compreso questa normativa

Sono informate di questa normativa nell'ambito della procedura di onboarding per i neoassunti

[ ] Sì, confermo.

[ ] No, non confermo.

Se selezioni "No" nella domanda 3.1-8 e "No" nella domanda 3.1-10, ti verrà chiesto quanto segue:

3.1-10.d. Carica un diagramma di flusso dati e una descrizione di come la tua app usa i Dati della Piattaforma.

Devono essere inclusi i seguenti dettagli:

Mostra come la tua app effettua chiamate alle API di Meta, come graph.facebook.com, e identifica tutti i componenti che usano i Dati della Piattaforma, inclusi quelli che memorizzano, memorizzato nella cache, trattano o trasferiscono i Dati della Piattaforma su più reti

Descrivi i casi d'uso principali (ad es. flussi che forniscono risultati utili agli utenti della tua app) che supporti.

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-11.a. Abiliti il protocollo di sicurezza TLS 1.2 o versioni successive per crittografare i dati per tutte le connessioni di rete che passano attraverso, o si connettono, o attraversano reti pubbliche dove vengono trasmessi i Dati della Piattaforma?

La crittografia in transito protegge i Dati della Piattaforma quando vengono trasmessi attraverso reti non affidabili (ad es. Internet) rendendoli decifrabili solo ai dispositivi di origine e destinazione. Le parti intermedia della trasmissione non devono poter leggere i Dati della Piattaforma anche se possono vedere il traffico di rete (come in un attacco man-in-the-middle). La crittografia in transito più diffusa è la TLS poiché si tratta della tecnologia che i browser usano per proteggere le comunicazioni verso i siti web, come quelli delle banche.

Richiediamo che per tutti i web listener (ad es. bilanciatori del carico rivolti a Internet) che ricevono o restituiscono i Dati della Piattaforma sia abilitato il protocollo TLS 1.2 o versioni successive. TLS 1.0 e TLS 1.1 possono essere usati solo per la compatibilità con dispositivi client che non supportano TLS 1.2 o versioni successive. Consigliamo, ma non è obbligatorio, che la crittografia in transito sia applicata alle trasmissioni di Dati della Piattaforma eseguite interamente all'interno di reti private affidabili che controlli (ad es. all'interno di un Virtual Private Cloud (VPC)). Per maggiori informazioni su questo requisito e su come caricare le prove richieste, consulta i nostri Requisiti di sicurezza dei dati.

[ ] Sì

[ ] No

Se selezioni "No" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-11.b. Abiliti il protocollo di sicurezza TLS 1.2 o versioni successive per tutte le connessioni di rete che attraversano o si collegano a reti pubbliche su cui vengono trasmessi i Dati della Piattaforma?

La crittografia in transito protegge i Dati della Piattaforma durante la trasmissione lungo reti non affidabili (ad es., Internet) rendendoli decifrabili solo ai dispositivi di origine e di destinazione. Le parti intermedia della trasmissione non devono poter leggere i Dati della Piattaforma anche se possono vedere il traffico di rete (come in un attacco man-in-the-middle). La crittografia in transito più diffusa è la TLS poiché si tratta della tecnologia che i browser usano per proteggere le comunicazioni verso i siti web, come quelli delle banche.

[ ] Sì

[ ] Non è necessario. Non trasmettiamo mai i Dati della Piattaforma su Internet per motivi diversi dalle richieste direttamente a Meta.

[ ] No

Se selezioni "Sì" nella domanda 3.1-11.a o nella domanda 3.1-11.b, ti verrà chiesto quanto segue:

3.1-11.c. Nella domanda precedente hai indicato di abilitare il protocollo di sicurezza TLS 1.2 o versioni successive per crittografare i dati in transito. Ti assicuri che i Dati della Piattaforma non vengano mai trasmessi su reti pubbliche in forma non crittografata (ad es. tramite HTTP o FTP), e che SSL 2.0 e SSL 3.0 non vengano mai usati?

Richiediamo che i Dati della Piattaforma non vengano mai trasmessi su reti non affidabili in forma non crittografata e che SSL 2.0 o SSL 3.0 non vengano mai usati. Per maggiori informazioni su questo requisito e su come caricare le prove richieste, consulta i nostri Requisiti di sicurezza dei dati.

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-11.a o nella domanda 3.1-11.b, ti verrà chiesto quanto segue:

3.1-11.a.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come abiliti il protocollo di sicurezza TLS 1.2 o versioni successive per i dati in transito.

Il tuo documento deve contenere le seguenti dichiarazioni: 1. I Dati della Piattaforma non vengono mai trasmessi senza crittografia in transito 2. SSL versione 2 e SSL versione 3 non vengono mai usati

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-11.a o nella domanda 3.1-11.b, ti verrà chiesto quanto segue:

3.1-11.a.ii. Carica almeno una prova (ad es. una cattura a schermo intero dei risultati di un report Qualys SSL eseguito su uno dei tuoi domini web) che mostri come implementi questa protezione nella pratica: abiliti il protocollo di sicurezza TLS 1.2 o versioni successive per i dati in transito. [Domanda primaria]

Se selezioni "No" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-12.a. Negli ultimi 12 mesi, quale dei seguenti approcci hai usato per testare il software che usi per trattare i Dati della Piattaforma per vulnerabilità e problemi di sicurezza?

Questa domanda si riferisce solo a programmi software che realizzi o di cui distribuisci il pacchetto (ad es. librerie di codice) per trattare i Dati della Piattaforma e non a software realizzato o gestito da altre aziende (ad es. sistemi operativi Android o iOS).

Seleziona tutte le risposte appropriate.

a. Test statico della sicurezza delle applicazioni (SAST)

b. Test dinamico della sicurezza delle applicazioni (DAST)

c. Test di penetrazione da parte di un team interno

d. Test di penetrazione da parte di un'azienda di sicurezza esterna

e. Rapporti di vulnerabilità da ricercatori esterni ottenuti attraverso un programma Vulnerability Disclosure Program (VDP) o un programma Bug Bounty

f. Un altro approccio per individuare le vulnerabilità

g. Nessuno dei precedenti

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni una delle selezioni a - g nella domanda 3.1-12.a, ti verrà chiesto quanto segue:

3.1-12.a.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come testi il software che usi per trattare i Dati della Piattaforma per vulnerabilità e problemi di sicurezza.

Le seguenti procedure di test devono essere tutte incluse nella spiegazione scritta:

Test delle vulnerabilità di sicurezza almeno una volta ogni 12 mesi
Avere un processo per classificare i risultati in base alla gravità
Assicurarsi che le vulnerabilità ad elevata gravità, che potrebbero portare a un accesso non autorizzato ai Dati della Piattaforma, siano risolte tempestivamente

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni una delle opzioni a - f nella domanda 3.1-12.a, ti verrà chiesto quanto segue:

3.1-12.a.ii. Carica almeno una prova (ad es. un riassunto dell'esito di un recente test di penetrazione) che dimostri come implementi questa protezione nella pratica: sottoponi a test il software che usi per trattare i Dati della Piattaforma per individuare vulnerabilità e problemi di sicurezza.

Nella prova devono essere inclusi i seguenti dettagli: 1. Una spiegazione della portata e della metodologia di test 2. La data in cui si è svolta l'attività di test (per essere accettabile, la data non deve essere anteriore a 12 mesi prima della data in cui ti abbiamo comunicato questa valutazione) 3. Se del caso, un riassunto di eventuali vulnerabilità critiche e ad alta gravità non risolte

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-12.b. Negli ultimi 12 mesi, quale dei seguenti approcci hai usato per testare vulnerabilità e problemi di sicurezza nel tuo ambiente di backend dove tratti i Dati della Piattaforma?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

Seleziona tutte le risposte appropriate.

a. Test statico della sicurezza delle applicazioni (SAST)

b. Test dinamico della sicurezza delle applicazioni (DAST)

c. Scansione web

d. Test di penetrazione da parte di un team interno

e. Test di penetrazione da parte di un'azienda di sicurezza esterna

f. Rapporti di vulnerabilità da ricercatori esterni ottenuti attraverso un programma Vulnerability Disclosure Program (VDP) o un programma Bug Bounty

g. Un altro approccio per individuare le vulnerabilità

h. Non è necessario perché la mia organizzazione usa una soluzione di backend no-code

i. Nessuno dei precedenti

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni una delle opzioni a - g nella domanda 3.1-12.b, ti verrà chiesto quanto segue:

3.1-12.b.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come testi le vulnerabilità e i problemi di sicurezza nel tuo ambiente di backend dove tratti i Dati della Piattaforma.

Le seguenti procedure di test devono essere tutte incluse nella spiegazione scritta:

Test delle vulnerabilità di sicurezza almeno una volta ogni 12 mesi
Avere un processo per classificare i risultati in base alla gravità
Assicurarsi che le vulnerabilità ad elevata gravità, che potrebbero portare a un accesso non autorizzato ai Dati della Piattaforma, siano risolte tempestivamente

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni una delle opzioni a - g nella domanda 3.1-12.b, ti verrà chiesto quanto segue:

3.1-12.b.ii. Carica almeno una prova (ad es. un riassunto dell'esito di un recente test di penetrazione) che dimostri come implementi questa protezione nella pratica: esegui test per vulnerabilità e problemi di sicurezza nel tuo ambiente di backend in cui tratti i Dati della Piattaforma.

Nella prova devono essere inclusi i seguenti dettagli:

Una spiegazione della portata e della metodologia di test
La data in cui si è svolta l'attività di test (per essere accettabile, la data non deve essere anteriore a 12 mesi prima della data in cui ti abbiamo comunicato questa valutazione)
Se del caso, un riassunto di eventuali vulnerabilità critiche e ad alta gravità non risolte

Se selezioni una delle opzioni: a-b o d-i in 3.1-8.b

3.1-12.c. Sottoponi a test l'ambiente cloud che usi per trattare i Dati della Piattaforma per configurazioni di sicurezza errate (ad es. utilizzando uno strumento come NCC Scout Suite per identificare le configurazioni errate) almeno ogni 12 mesi?

Meta richiede che adotti misure per testare il software per individuare vulnerabilità e problemi di sicurezza almeno una volta ogni 12 mesi al fine di evitare accessi non autorizzati ai Dati della Piattaforma.

[ ] Sì

[ ] Non applicabile, perché la mia organizzazione si basa solo su un servizio di backend che non espone opzioni di configurazione di sicurezza sensibili

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni "Sì" nella domanda 3.1-12.c, ti verrà chiesto quanto segue:

3.1-12.c.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come sottoponi a test l'ambiente cloud che usi per trattare i Dati della Piattaforma per individuare configurazioni di sicurezza errate.

Le seguenti procedure di test devono essere tutte incluse nella spiegazione scritta:

Test per le vulnerabilità di sicurezza almeno una volta ogni 12 mesi.
Procedura per classificare i risultati in base alla gravità.
Assicurati che le vulnerabilità ad alta gravità, che potrebbero portare a un accesso non autorizzato ai Dati della Piattaforma, siano risolte tempestivamente.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-12.c, ti verrà chiesto quanto segue:

3.1-12.c.ii. Carica almeno una prova (ad es., un riepilogo di un test NCC Scout Suite) che dimostri come implementi questa protezione nella pratica: sottoponi a test l'ambiente cloud che usi per trattare i Dati della Piattaforma per individuare configurazioni di sicurezza errate.

Nella prova devono essere inclusi i seguenti dettagli:

Una spiegazione della portata e della metodologia di test
La data in cui si è svolta l'attività di test (per essere accettabile, la data non deve essere anteriore a 12 mesi prima della data in cui ti abbiamo comunicato questa valutazione)
Se del caso, un riassunto di eventuali vulnerabilità critiche e ad alta gravità non risolte

3.1-13.a. La tua app o il tuo programma software memorizza mai i token d'accesso su dispositivi clienti o client leggibili da un'app o un utente diverso?

"Dispositivo cliente o client" si riferisce a un hardware, come un cellulare Android o iPhone, che appartiene agli utenti finali della tua app o del tuo servizio.

Seleziona "No" se non hai un'app o un software che vengono eseguiti su dispositivi dei clienti o client, come telefoni cellulari.

[ ] Sì

[ ] No

Se questa app non è configurata come desktop/nativa, ti verrà chiesto quanto segue:

3.1-13.b. La chiave segreta di Facebook viene mai esposta nei dispositivi dei clienti o client (ad es. all'interno del codice compilato)?

[ ] Sì

[ ] Sì, ma la mia app è configurata come app desktop o nativa

[ ] No

Se selezioni l'opzione d nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-13.c. Ti viene mostrata questa domanda perché in una domanda precedente hai indicato che memorizzi i token d'accesso degli utenti dell'API Meta nel tuo ambiente di backend. Come proteggi questi token da un uso non autorizzato?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

I token d'accesso sono fondamentali per la sicurezza delle API di Meta. Richiediamo agli sviluppatori di proteggere i token d'accesso da accessi non autorizzati. Scopri di più sui token d'accesso.

Seleziona tutte le risposte appropriate.

a. Memorizzando questi dati in un data vault (ad es. Vault di Hashicorp) con un servizio di gestione delle chiavi (Key Management Service, KMS) separato

b. Usando la crittografia dell'app (ad es. i token d'accesso degli utenti non vengono mai scritti, decrittografati nei database o in qualsiasi altro storage persistente)

c. Configurando l'app in modo che richieda il parametro appsecret_proof per le chiamate API a Meta

d. Uso un approccio diverso per proteggere i token d'accesso degli utenti

e. Nessuno dei precedenti

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni a, b, c o d nella domanda 3.1-13.c, ti verrà chiesto quanto segue:

3.1-13.c.i. La domanda precedente chiedeva come proteggi i token d'accesso degli utenti memorizzati nel tuo ambiente di backend da usi non autorizzati. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come proteggi questi token d'accesso.

La spiegazione scritta deve includere:

Descrizione di come i token d'accesso degli utenti sono protetti da accessi non autorizzati in lettura
Un requisito che preveda che i token d'accesso degli utenti non devono mai essere scritti nei file di registro in forma cleartext (decrittografata)

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

I token d'accesso sono fondamentali per la sicurezza delle API di Meta. Richiediamo agli sviluppatori di proteggere i token d'accesso da accessi non autorizzati. Scopri di più sui token d'accesso.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

3.1-13.c.ii Carica almeno una prova (ad es. uno screenshot della chiave di un token d'accesso, ma non il suo valore) che dimostri come implementi questa protezione in pratica: proteggi i token d'accesso memorizzati nel tuo ambiente di backend da usi non autorizzati. [Domanda primaria]

Se selezioni l'opzione e nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-13.d. Ti viene mostrata questa domanda perché in una domanda precedente hai indicato che memorizzi la chiave segreta nel tuo ambiente di backend. Come proteggi la chiave segreta da usi non autorizzati?

La chiave segreta è un parametro associato alle tecnologie di Meta che può essere usato come token d'accesso in determinate chiamate API per modificare la configurazione di un'app, ad esempio configurando i callback webhook. La chiave segreta di un'app è riportata nella Dashboard gestione app in Impostazioni > Di base. Per maggiori informazioni sulla chiave segreta, consulta la nostra documentazione per gli sviluppatori sulla Protezione degli accessi. Per maggiori informazioni sui nostri requisiti per proteggere le chiavi segrete e i token d'accesso degli utenti, incluse eventuali prove che ti potrebbe essere chiesto di fornire, consulta Proteggere la chiave segreta e i token d'accesso di Meta.

Ti chiediamo di proteggere la chiave segreta in uno dei due modi seguenti:

Non esponendola mai al di fuori di un ambiente server protetto. Ciò significa che non viene mai restituita da una chiamata di rete a un browser o a un'app mobile e la chiave segreta non è incorporata nel codice distribuito a client mobili o nativi/desktop.
Oppure, configurando l'autenticazione dell'app con il tipo "App nativa o desktop", in modo che le API di Meta non ritengano più affidabili le chiamate API contenenti la chiave segreta.

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

Seleziona tutte le risposte appropriate.

a. Memorizzando questi dati in un data vault (ad es. Vault di Hashicorp) con un servizio di gestione delle chiavi (Key Management Service, KMS) separato

b. Usando la crittografia dell'app (ad es., la chiave segreta non viene mai scritta, decrittografata nei database o in qualsiasi altro storage persistente)

c. Uso un approccio diverso per proteggere le chiavi segrete

d. Nessuno dei precedenti

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni l'opzione a, b o c nella domanda 3.1-13.d, ti verrà chiesto quanto segue:

3.1-13.d.i. Nella domanda precedente hai indicato che proteggi la chiave segreta memorizzata nel tuo ambiente di backend da usi non autorizzati. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come implementi questa protezione.

La spiegazione scritta deve includere:

Descrizione di come la chiave segreta è protetta da accessi in lettura non autorizzati
Un requisito che preveda che la chiave non venga mai scritta nei file di registro in forma cleartext (decrittografata)

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

La chiave segreta è fondamentale per la sicurezza delle API di Meta. Richiediamo agli sviluppatori di proteggere la chiave segreta da accessi non autorizzati. Scopri di più sulla chiave segreta.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni l'opzione a, b o c nella domanda 3.1-13.d, ti verrà chiesto quanto segue:

3.1-13.d.ii. Carica almeno una prova (ad es. uno screenshot del tuo gestore di chiavi segrete contenente la chiave segreta con il valore oscurato) che dimostri come implementi questa protezione nella pratica: proteggi la chiave segreta memorizzata nel tuo ambiente di backend da usi non autorizzati.

Per vedere un esempio di prova accettabile, consulta la nostra guida alle prove per questa domanda.

3.1-15.a. La tua organizzazione prevede l'autenticazione a più fattori (MFA) per accedere ai vostri strumenti di collaborazione e comunicazione?

Richiediamo MFA o una protezione alternativa accettabile per tutti gli utenti dei tuoi strumenti di collaborazione e comunicazione (ad es. e-mail, Slack). Non chiediamo che venga impiegato alcun metodo specifico per l'implementazione della MFA.

[ ] Sì

[ ] No, ma applichiamo una normativa di complessità delle password e abbiamo ritardi di backoff dell'autenticazione e blocchi automatici degli account con tentativi di accesso falliti.

[ ] No

3.1-15.b. La tua organizzazione prevede l'autenticazione a più fattori (MFA) per l'accesso al vostro strumento di repository del codice (ad es. GitHub) o a qualsiasi strumento usato per monitorare le modifiche apportate all'app e al codice e alla configurazione del sistema?

Richiediamo l'impiego di MFA o di una protezione alternativa accettabile per tutti gli utenti del repository di codice. Non chiediamo che venga impiegato alcun metodo specifico per l'implementazione della MFA.

[ ] Sì

[ ] No, ma applichiamo una normativa di complessità delle password e abbiamo ritardi di backoff dell'autenticazione e blocchi automatici degli account con tentativi di accesso falliti.

[ ] No

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-15.c. La tua organizzazione prevede l'autenticazione a più fattori (MFA) per l'accesso ai vostri strumenti di distribuzione software, ad esempio Jenkins o un altro strumento di distribuzione continua, diffusione continua (CI/CD)?

Richiediamo l'impiego di MFA o di una protezione alternativa accettabile per tutti gli utenti dei vostri strumenti di distribuzione software. Non chiediamo che venga impiegato alcun metodo specifico per l'implementazione della MFA.

[ ] Sì

[ ] No, ma applichiamo una normativa di complessità delle password e abbiamo ritardi di backoff dell'autenticazione e blocchi automatici degli account con tentativi di accesso falliti.

[ ] No

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-15.d. La tua organizzazione prevede l'autenticazione a più fattori (MFA) per l'accesso ai vostri strumenti amministrativi di backend, ad esempio un portale amministrativo in cloud?

Richiediamo l'impiego di MFA o di una protezione alternativa accettabile per tutti gli utenti dei vostri strumenti amministrativi su cloud o server. Non chiediamo che venga impiegato alcun metodo specifico per l'implementazione della MFA.

[ ] Sì

[ ] No, ma applichiamo una normativa di complessità delle password e abbiamo ritardi di backoff dell'autenticazione e blocchi automatici degli account con tentativi di accesso falliti.

[ ] No

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-15.e. La tua organizzazione richiede l'autenticazione a più fattori (MFA) per l'accesso remoto ai server, ad esempio tramite SSH?

Richiediamo l'impiego di MFA o di una protezione alternativa accettabile per tutti gli accessi remoti ai server. Non chiediamo che venga impiegato alcun metodo specifico per l'implementazione della MFA.

[ ] Sì

[ ] No, ma applichiamo una normativa di complessità delle password e abbiamo ritardi di backoff dell'autenticazione e blocchi automatici degli account con tentativi di accesso falliti.

[ ] Non pertinente. Non abbiamo accesso remoto ai server.

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni "Sì" in qualsiasi domanda da 3.1-15.a fino a 3.1-15.e, ti verrà chiesto quanto segue:

3.1-15.e.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi i tuoi requisiti per l'autenticazione a più fattori (MFA) o altre misure per evitare l'appropriazione dell'account (ad es. complessità della password combinata con backoff di autenticazione e blocco automatico dell'account quando un tentativo di accesso fallisce).

La tua spiegazione deve includere i tuoi requisiti di autenticazione per tutti gli accessi a qualsiasi strumento di collaborazione e comunicazione, repository di codice, strumenti di distribuzione software, strumenti amministrativi di backend e l'accesso remoto ai server tramite uno strumento come SSH.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" in qualsiasi domanda da 3.1-15.a fino a 3.1-15.e, ti verrà chiesto quanto segue:

3.1-15.e.ii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: autenticazione a più fattori o altre misure per evitare l'appropriazione di un account.

La prova deve mostrare come usi l'autenticazione per proteggere tutti gli accessi a qualsiasi strumento di collaborazione e comunicazione, repository di codice, strumenti di distribuzione software, strumenti amministrativi di backend e l'accesso remoto ai server tramite uno strumento come SSH.

3.1-16. Hai un sistema per il mantenimento degli account che gestisce la concessione, la revoca e il controllo dell'accesso alle persone della tua organizzazione?

Noi chiediamo che sia utilizzato un sistema per la gestione degli account e che vengano controllate regolarmente le concessioni di accesso, almeno una volta ogni 12 mesi. Devi avere una procedura per revocare immediatamente l'accesso quando:

L'accesso non è più necessario
L'accesso non viene più usato
Una persona lascia l'organizzazione

[ ] Sì

[ ] No

Se selezioni "Sì" nella domanda 3.1-16, ti verrà chiesto quanto segue:

3.1-16.a. Quale dei processi sottostanti implementa la tua organizzazione nell'ambito del vostro sistema di gestione degli account?

Seleziona tutte le risposte appropriate.

a. Controlliamo tutte le concessioni di accesso almeno una volta ogni 12 mesi e revochiamo gli accessi che non sono più necessari.

b. Controlliamo tutte le concessioni di accesso almeno una volta ogni 12 mesi e revochiamo gli accessi che non vengono più usati.

c. Revochiamo prontamente tutte le concessioni di accesso quando una persona lascia l'organizzazione.

d. Nessuna delle opzioni precedenti

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni una delle opzioni a-c nella domanda 3.1-16.a, ti verrà chiesto quanto segue:

3.1-16.a.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che dichiari quanto segue: requisiti relativi al sistema della tua organizzazione per la gestione degli account.

La spiegazione scritta deve includere requisiti che prevedano quanto segue:

Revoca degli accessi che non sono più necessari
Revoca degli accessi che non sono più usati
Revoca tempestiva dell'accesso quando una persona lascia l'organizzazione

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni una delle opzioni a-c nella domanda 3.1-16.a, ti verrà chiesto quanto segue:

3.1-16.a.ii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot) che dimostri come implementi questa protezione nella pratica: implementazione di un sistema per la gestione degli account.

La prova deve mostrare come la tua organizzazione esegue le seguenti operazioni:

Revoca degli accessi che non sono più necessari
Revoca degli accessi che non sono più usati
Revoca tempestiva dell'accesso quando una persona lascia l'organizzazione

Se selezioni "Sì" nella domanda 3.1-8, ti verrà chiesto quanto segue:

3.1-17.a. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. In relazione al programma software che usi per trattare i Dati della Piattaforma nel tuo ambiente di backend, esegui tutte le attività seguenti: hai un modo definito e ripetibile di identificare patch in software di terzi che risolvono le vulnerabilità di sicurezza, dai priorità alle patch disponibili in base al rischio (ad es. in base alla gravità CVSS), applichi patch in modo continuativo?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] Non è necessario, poiché la mia organizzazione usa una soluzione di backend no-code.

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-17.a, ti verrà chiesto quanto segue:

3.1-17.a.i. Nella domanda precedente hai indicato di avere dei processi per mantenere aggiornati il codice e l'ambiente di backend. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come mantieni aggiornati il codice e l'ambiente di backend.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-17.a, ti verrà chiesto quanto segue:

3.1-17.a.ii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: tieni aggiornato il codice e l'ambiente di backend.

3.1-17.b. In relazione al programma software di terzi che usi per trattare i Dati della Piattaforma in un'app mobile come un'app Android o iPhone, esegui tutte le attività seguenti: hai un modo definito e ripetibile di identificare patch in software di terzi che risolvono le vulnerabilità di sicurezza, dai priorità alle patch disponibili in base al rischio (ad es. in base alla gravità CVSS), applichi patch in modo continuativo?

[ ] Sì

[ ] Non è necessario, perché la mia organizzazione non tratta i Dati della Piattaforma in un'app mobile.

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni "Sì" nella domanda 3.1-17.b, ti verrà chiesto quanto segue:

3.1-17.b.i. Nella domanda precedente hai indicato di tenere aggiornato il software di terzi nella tua app mobile. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come mantieni aggiornato il codice di terzi nella tua app mobile.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-17.b, ti verrà chiesto quanto segue:

3.1-17.b.ii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: mantieni aggiornato il codice di terzi nella tua app mobile.

3.1-17.c. In relazione a sistemi operativi, software antivirus, browser eseguiti su computer portatili e altri sistemi e applicazioni usati dalle persone della tua organizzazione per realizzare e gestire la tua app, esegui tutte le attività seguenti: hai un modo definito e ripetibile di identificare patch in software di terzi che risolvono le vulnerabilità di sicurezza, dai priorità alle patch disponibili in base al rischio (ad es. in base alla gravità CVSS), applichi patch in modo continuativo?

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-17.c, ti verrà chiesto quanto segue:

3.1-17.c.i. Nella domanda precedente hai indicato di tenere aggiornato il software di terzi nei sistemi e nelle applicazioni usati per realizzare e gestire la tua app. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come tieni aggiornati software e antivirus di terzi.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

Questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-17.c, ti verrà chiesto quanto segue:

3.1-17.c.ii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: tieni aggiornati software e antivirus di terzi. [Domanda primaria]

3.1-21. Disponi di un sistema pubblico che consenta alle persone di segnalarti le vulnerabilità di sicurezza presenti nella tua app?

[ ] Sì

[ ] No

Se selezioni "No" nella domanda 3.1-21, ti verrà chiesto quanto segue:

3.1-21.a. Hai previsto un indirizzo e-mail, un numero di telefono o una modalità di contatto tramite cui le persone possono contattarti e che monitori regolarmente?

[ ] Sì

[ ] No

Se selezioni una delle opzioni b - f nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-22. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Acquisisci i registri degli audit degli amministratori per questo ambiente di backend?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22, ti verrà chiesto quanto segue:

3.1-22.a. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come acquisisci i registri degli audit degli amministratori per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti sono applicabili al tuo caso

Se selezioni "Sì" nella domanda 3.1-22, ti verrà chiesto quanto segue:

3.1-22.a.i. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: acquisisci i registri degli audit degli amministratori per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma.

Se selezioni una delle opzioni b - f nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-22.b. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Acquisisci i registri di audit degli eventi dell'app per questo ambiente di backend? Gli eventi dell'app possono includere:

Errori di convalida di input e output
Errore di controllo degli accessi e autenticazione
Errori dell'app ed eventi di sistema

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No

Se selezioni "Sì" nella domanda 3.1-22.b, ti verrà chiesto quanto segue:

3.1-22.b.i. Questi registri di audit degli eventi dell'app per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma includono tutti i seguenti campi?

ID utente di Meta (quando condiviso con te)
Tipo di evento
Data e ora
Indicatore di successo o errore

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22.b, ti verrà chiesto quanto segue:

3.1-22.b.ii. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi la procedura in atto per acquisire i registri di audit degli eventi per l'ambiente di backend in cui sono memorizzati i Dati della Piattaforma.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22.b, ti verrà chiesto quanto segue:

3.1-22.b.iii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: acquisisci i registri di audit degli eventi dell'app per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma.

Se selezioni una delle opzioni b - f nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-22.c. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Hai in atto normative o procedure per evitare accessi non autorizzati e manomissioni dei registri di audit per questo ambiente di backend?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No

3.1-22.d. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Per questo ambiente, conservi i registri di audit per almeno 30 giorni?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì [ ] No

Se selezioni una delle opzioni b - f nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-22.e. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Usi una soluzione automatizzata per controllare i registri di audit degli eventi dell'app per questo ambiente di backend al fine di trovare indicatori di eventi o incidenti di sicurezza quotidiani che comportano rischi o danni (ad es. tentativi di bypassare i controlli degli accessi o sfruttare vulnerabilità del software)?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No

Se selezioni "Sì" nella domanda 3.1-22.e, ti verrà chiesto quanto segue: 3.1-22.e.i. Controlli questi registri di audit degli eventi dell'app per il tuo ambiente di backend in cui vengono memorizzati i Dati della Piattaforma almeno ogni 7 giorni?

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22.e, ti verrà chiesto quanto segue:

3.1-22.e.ii. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come controlli i registri diaudit degli eventi dell'app per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma almeno ogni 7 giorni.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22.e, ti verrà chiesto quanto segue:

3.1-22.e.iii. Carica almeno una prova (ad es. una configurazione dello strumento o uno screenshot dalla tua app) che dimostri come implementi questa protezione nella pratica: controlli i registri di audit degli eventi dell'app per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma almeno ogni 7 giorni.

Se selezioni una delle opzioni b - f nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-22.f. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Controlli i registri di audit degli amministratori per questo ambiente per trovare indicatori di eventi o incidenti di sicurezza quotidiani che comportano rischi o danni (ad es. tentativi di bypassare i controlli degli accessi o sfruttare vulnerabilità del software)?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

[ ] Sì

[ ] No

Se selezioni "Sì" nella domanda 3.1-22.f, ti verrà chiesto quanto segue:

3.1-22.f.i. Controlli questi registri di audit degli amministratori per il tuo ambiente di backend in cui vengono memorizzati i Dati della Piattaforma almeno ogni 7 giorni?

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22.f, ti verrà chiesto quanto segue:

3.1-22.f.ii Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi che la procedura in atto prevede di controllare i registri di audit degli amministratori per il tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma per trovare indicatori di eventi o incidenti di sicurezza quotidiani almeno ogni 7 giorni.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

Se selezioni una delle opzioni b - f nella domanda 3.1-8.a, ti verrà chiesto quanto segue:

3.1-22.g. In una domanda precedente hai indicato che memorizzi i Dati della Piattaforma nel tuo ambiente di backend. Se identifichi un evento o un incidente di sicurezza quotidiano che comporta rischi o danni ai tuoi registri di audit per questo ambiente di backend, hai in atto una procedura per approfondire?

"Ambiente di backend" si riferisce a un ambiente cloud o server a cui i tuoi clienti o client possono accedere da remoto, come un sito web o un'API web.

Promemoria: se si verifica un evento o un incidente di sicurezza, le nostre normative richiedono che ce lo segnali tempestivamente.

[ ] Sì

[ ] No

DISCLAIMER: questa domanda è applicabile solo ad alcuni sviluppatori. Consulta il tuo modulo di valutazione specifico per determinare se questi requisiti si applicano a te.

Se selezioni "Sì" nella domanda 3.1-22.g, ti verrà chiesto quanto segue:

3.1-22.g.i. Carica una spiegazione scritta (ad es. un documento che riporti la normativa o la procedura) che indichi come indaghi su eventi o incidenti di sicurezza quotidiani nel tuo ambiente di backend in cui sono memorizzati i Dati della Piattaforma che comportano rischi o danni ai tuoi registri di audit.

Metti in evidenza o cerchia il punto in cui nella normativa sono delineate queste condizioni.

3.1-23. Hai in atto procedure di sicurezza per le persone che hanno accesso ai Dati della Piattaforma?

Tali procedure potrebbero comprendere uno o più dei seguenti elementi:

Controlli dei precedenti completati prima di autorizzare l'accesso ai Dati della Piattaforma
Accordi di riservatezza firmati prima di ottenere l'accesso ai Dati della Piattaforma Formazione per il nuovo personale sulle normative e procedure relative alla sicurezza delle informazioni
Formazione regolare e costante di sensibilizzazione alla sicurezza (ovvero, annuale)
Formazione destinata a ruoli professionali specifici che accedono ai Dati della Piattaforma
Restituzione delle risorse (ad es. computer portatile o cellulare) quando si lascia l'organizzazione

[ ] Sì

[ ] No