Metaアプリ開発

データ保護評価の質問

ここにはデータ保護評価の質問すべてが記載されています。3.1で始まる評価は、2024年2月15日以降に受信したものです。以下に記載されているのは、その評価の質問です。

番号が付いていない評価は、2024年2月15日より前に受け取ったものです。そのような以前の質問は、こちらからご覧ください。

以下の質問は、更新された2024年データ保護評価の一部です。質問番号は対応するバージョン番号で始まります。バージョン3.1の場合、質問は3.1-1、3.1-2などになります。質問は、業界の基準に沿うように継続的に更新しています。開発者に対する質問は、評価を受けるタイミングによって異なる場合があります。

使用方法

  1. アプリがMetaのプラットフォーム利用規約の要件を満たしていることを確認するため、以下の質問を社内のチームと共に検討することをアプリ管理者におすすめします。各アプリについてデータ保護評価が必要な場合に、すべてのアプリ管理者に通知が届きます。

  2. 提出は英語でしか受け付けられませんのでご了承ください。評価を英語で提出するために必要な翻訳ツールは自由に活用できます。

  3. 以下の質問は便宜上表示されるものです。特定のアプリに必須の質問は、各アプリがアクセスできるデータによって異なります。アプリが特定の種類のデータにアクセスする場合、回答を裏付ける証拠の提示が必要となることもあります。

  4. 現在、データ保護評価を実施中の場合、またはMeta社のレビュー担当者からの追加質問に対応している場合は、そのプロセスを継続してください。このページに表示された最新の質問は、現在回答が求められている質問と異なる可能性があります。

データの使用

3.1-1.アプリは、人種、民族、肌の色、国籍、宗教、年齢、性別、性的指向、ジェンダーアイデンティティ、家族状況、障害、健康状態、遺伝的状態に基づいて、特定の人々に不利益を与える(他の人が得られないものを一部の人が得られるようにする)目的でプラットフォームデータを使用していますか?

この質問は、デートアプリでの性別と年齢の使用、言語的配慮のための性別の使用、成人用コンテンツを制限するための年齢の使用など、アプリのユーザーエクスペリエンスの向上に関連する方法でプラットフォームデータを使う場合は該当しません。アプリがこれらの用途でデータを使用する場合、ユーザーが不利益を被るような使い方をしているわけではないため、「いいえ」と回答してください。

  • [ ] はい
  • [ ] いいえ

「はい」と回答した場合、次の追加質問に回答する必要があります。

3.1-1.a.A.人種、民族、肌の色、国籍、宗教、年齢、性別、性的指向、ジェンダーアイデンティティ、家族状況、障害、健康状態、遺伝的状態に基づいて、特定の人々に不利益を与える目的でアプリで使用しているのは、どのプラットフォームデータですか?

3.1-1.a.B.アプリは、人種、民族、肌の色、国籍、宗教、年齢、性別、性的指向、ジェンダーアイデンティティ、家族状況、障害、健康状態、遺伝的状態に基づいて、特定の人々に不利益を与える目的で、どのようにプラットフォームデータを使用していますか?

3.1-1.a.C.アプリがプラットフォームデータをそのような方法で使用し始めたのはいつですか?

3.1-2.アプリは、住宅、雇用、保険、教育機会、与信、政府給付金、移民に関するステータスを判断する目的でプラットフォームデータを使用していますか?

「はい」と回答した場合、次の追加質問に回答する必要があります。

3.1-2.a.A.住宅、雇用、保険、教育機会、与信、政府給付金、移民に関するステータスを判断する目的でアプリで使用しているのは、どのプラットフォームデータですか?

3.1-2.a.B.住宅、雇用、保険、教育機会、与信、政府給付金、移民に関するステータスを判断する目的で、アプリはどのようにプラットフォームデータを使用していますか?

3.1-2.a.C.アプリがプラットフォームデータをそのような方法で使用し始めたのはいつですか?

3.1-3.アプリは、監視に関連する活動のためにプラットフォームデータを使用していますか?監視には、法の執行や国家安全保障を目的とする、利用者、グループ、イベントに関するプラットフォームデータの処理も含まれます。

「はい」と回答した場合、次の追加質問に回答する必要があります。

3.1-3.a.A.監視に関連する活動のためにアプリで使用しているのは、どのプラットフォームデータですか?

3.1-3.a.B.監視に関連する活動のために、アプリはどのようにプラットフォームデータを使用していますか?

3.1-3.a.C.アプリがプラットフォームデータをそのような目的で使用し始めたのはいつですか?

データの共有

3.1-4.以下の質問の一部は、サービスプロバイダーや再委託先サービスプロバイダーについての質問です。サービスプロバイダーとは、開発者がプラットフォームまたはプラットフォームデータを使用するためのサービスを提供する個人または企業を指します。再委託先サービスプロバイダーとは、プラットフォームデータに関するサービスを提供するために、ほかのサービスプロバイダーが利用するサービスプロバイダーを指します。

一般的な大規模サービスプロバイダーの例として、Google CloudやAmazon Web Services (AWS)がありますが、開発者は、所在する国や地域のウェブ開発事業者など、より規模の小さい企業と連携してプラットフォームデータを処理または使用する場合もあります。

次のいずれかを行っていますか?

該当するものをすべて選択してください。

  • a. このアプリで取得したプラットフォームデータを共有していない。
  • b. プラットフォームデータをほかの個人や企業に販売またはライセンス供与しているか、他者によるそのような行為を促進または支援している。
  • c. プラットフォームデータをほかの個人や企業から購入しているか、他者によるそのような行為を促進または支援している。
  • d. サービスを利用するために、個人や企業(サービスプロバイダー)にプラットフォームデータを共有している。
  • e. 社外の個人や企業がプラットフォームまたはプラットフォームデータにアクセスして使用できるようにするため、プラットフォームデータを共有している。
  • f. アプリのユーザーからの明確な指示がある場合に、プラットフォームデータを共有している。
  • g. ここに挙げられている目的以外で、プラットフォームデータを共有している。説明してください。

質問3.1-4で選択肢bを選ぶと、次の質問が表示されます。

3.1-4.a.A.販売またはライセンス供与するプラットフォームデータは、どのような種類のデータですか?

3.1-4.a.B.そのプラットフォームデータへのアクセスとデータ収集のために、アプリはどのようなアクセス許可、機能、チャネルを利用していますか?

3.1-4.a.C.このアプリから得られたプラットフォームデータを販売・ライセンス供与しているすべての団体、企業、サードパーティを挙げ、それぞれについてデータ共有の目的を説明してください。

3.1-4.a.D.プラットフォームデータの販売・ライセンス供与を開始したのはいつですか?

質問3.1-4で選択肢dを選ぶと、次の質問が表示されます。

3.1-4.b.サービスプロバイダーとプラットフォームデータを共有しているとの回答がありました。プラットフォームデータをどのサービスプロバイダーと共有しているか、該当する項目にチェックを入れてください。その後、プラットフォームデータを共有している相手、方法、理由についての質問に回答してください。

注: サービスプロバイダーとしてMetaのサービスや製品を記載しないでください。

該当するものをすべて選択してください。リストに記載されているサービスプロバイダーのうち2つ以上と、記載されていないサービスプロバイダーにプラットフォームデータを共有している場合は、該当するものをすべて選択した上で、「その他」を選んでください。例えば、データを共有しているサービスプロバイダーとして「Apple」「Google」「その他」と選択します。

  • a. Google (例: Playストア、Firebase、Cloud、AdMob、Analytics)
  • b. Amazon (例: Amazon Web Services)
  • c. Salesforce (例: Heroku、Marketing Cloud)
  • d. Apple (例: App Store)
  • e. Microsoft (例: App Center、Azure、Playfab)
  • f. github
  • g. AppLovin (例: Adjust)
  • h. Appsflyer
  • i. Stripe
  • j. Twilio (例: Segment、SendGrid)
  • k. その他(リストをアップロードするよう求められます)

質問3.1-4.bで選択肢kを選ぶと、次の質問が表示されます。

3.1-4.b.i.プラットフォームデータを共有している、上記のリスト以外のサービスプロバイダーを記載した、CSVまたはExcelファイルをアップロードしてください。ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-4で選択肢dを選び、質問3.1-4.bで選択肢kを選ぶと、次の質問が表示されます。

3.1-4.c.プラットフォームデータを共有する各サービスプロバイダー(および再委託先サービスプロバイダー)との間で、開発者が指示した場合に開発者がリクエストしたサービスを提供するためにのみプラットフォームデータを使用し、独自の目的または自身のクライアントの利益のために使用しないことを義務付ける、書面による同意を交わしていますか?

書面による同意には、利用規約、交渉なしの標準契約、署名された契約などが含まれます。例えば、Google Cloudをサービスプロバイダーとして利用する場合、開発者が同意する利用規約が書面による同意にあたります。

[ ] はい [ ] いいえ

「はい」と回答した場合、以下が表示されます。

3.1-4.c.i.サービスプロバイダーとの書面のデータ同意書に含まれる文言のタイプについて、下記のボックスをチェックしてください。該当するものをすべて選択してください。

a. サービスプロバイダーに、リクエストしたサービスを提供するためだけにプラットフォームデータを使うよう求める文言。

b. サービスプロバイダーに、指示したとおりの方法でのみプラットフォームデータを使うよう求める文言。

c. 指示がない限り、サービスプロバイダーがプラットフォームデータを第三者と共有することを禁止する文言。

d. サービスプロバイダーが、自身の目的または第三者のためにプラットフォームデータを処理することを禁止する文言。

e. サービスの利用停止時に、サービスプロバイダーに提供したプラットフォームデータを削除することを求める文言。

3.1-4.c.iv.サービスプロバイダー(またはその再委託先サービスプロバイダー)が、Metaプラットフォーム利用規約に抵触するような行為をした事例(プラットフォームデータを販売する、またはサービスの使用停止後にプラットフォームデータを削除しないなど)を把握していますか?

[ ] はい [ ] いいえ

3.1-4.c.v.サービスプロバイダーや再委託先サービスプロバイダーの利用を停止する場合、同意書(利用規約など)には、そのサービスプロバイダーが開発者から受け取ったデータをいつどのように削除しなければならないかが明記されていますか?

[ ] はい [ ] いいえ

質問3.1-4.c.vで「いいえ」を選ぶと、次の質問が表示されます。

3.1-4.c.vi.サービスプロバイダーや再委託先サービスプロバイダーの使用を中止する場合、開発者が提供したプラットフォームデータが確実に削除されたことをどのようにして確認しますか?

質問3.1-4で選択肢eを選ぶと、次の質問が表示されます。

3.1-4.d.次に、技術提供者について質問します。技術提供者とは、顧客やクライアントに代わってプラットフォームの統合を管理し、顧客がMeta製品にアクセスしてデータを管理できるようにすることを主な目的とするアプリ開発者のことを指します。技術提供者の例としては、SaaS(Software as a Service)プロバイダーや代理店などが挙げられます。

  • 技術提供者の定義: ほかの個人や企業に代わって統合を構築、維持、削除するために、Meta APIへのアクセスを許可された個人または企業。これには、単一のクライアントまたは複数のクライアントに代わって、1つの統合を構築する個人または企業が含まれます。

前述の質問で、このアプリでは、ほかの個人や企業(クライアント)にプラットフォームデータへのアクセスと使用を許可しているとの回答がありました。この場合、開発者が技術提供者にあたります。

このアプリを通じて受け取ったプラットフォームデータは、クライアントの代理としてクライアントの指示によってのみ処理していますか?[ ] はい [ ] いいえ

質問3.1-4.dで「いいえ」を選ぶと、次の質問が表示されます。

3.1-4.d.i.A.クライアントの代理としてクライアントの指示によって処理しているわけではない場合、それは誰のために行っているものですか?

3.1-4.d.i.B.その個人または企業のために、どのようなプラットフォームデータを処理していますか?

3.1-4.d.i.C.その個人または企業のためにプラットフォームデータを処理している目的は何ですか?

3.1-4.d.i.D.そのようなプラットフォームデータの処理を開始したのはいつですか?

3.1-4.d.i.E.そのプラットフォームデータはどのように処理していますか?

3.1-4.e.各クライアントのプラットフォームデータは、ほかのクライアントのデータや個人的な目的で保存しているデータとは別個に(別々のテーブルにするなど論理的に、または物理的に)保管されていますか?

[ ] はい [ ] いいえ

質問3.1-4.eで「いいえ」を選ぶと、次の質問が表示されます。

3.1-4.f.上記の質問にある状況以外でプラットフォームデータを共有しているという回答がありました。そのような状況で共有しているデータの内容について説明してください。

  • どこに保管されていますか?
  • どのようにデータを保管・保護していますか?
  • アクセスできるのは誰ですか?
  • アクセス権はどのように管理されていますか?

「その他(詳しく記入してください)」を選んだ場合、以下が表示されます

  • 上記の質問にある状況以外でプラットフォームデータを共有しているという回答がありました。そのような状況で共有しているデータの内容について説明してください。

次の質問への回答を必ず含めてください。

  • アプリやウェブサイトの個々のユーザー以外に、誰とこのデータを共有していますか?
  • そのデータはどのように共有されていますか?
  • 上記の相手とのデータの共有を開始したのはいつですか?
  • そのデータは今でも共有されていますか?

3.1-4.f.i.そのような別の状況で共有されるプラットフォームデータについて、データの各受領者との間で、Metaプラットフォーム利用規約および開発者ポリシー(または開発者によるプラットフォームデータの使用に適用されるその他の条件)に違反する方法で使用することを禁止する、書面による同意を交わしていますか?

書面による同意の例として、利用規約、標準的な交渉によらない契約、署名付きの契約などがあります。

[ ] はい [ ] いいえ

3.1-4.g.あなたの知る限り、プラットフォームデータ受領者によるMetaプラットフォーム規約の違反がありますか?例: プラットフォームデータの販売、ライセンス、購入など。

[ ] はい [ ] いいえ

質問3.1-4.gで「はい」を選ぶと、次の質問が表示されます。

3.1-4.g.i.プラットフォームデータの受領者がMetaのプラットフォーム規約に違反しているとの回答がありました。具体的に説明してください。

質問3.1-4で選択肢fを選ぶと、次の質問が表示されます。

3.1-4.i.A.ユーザーがプラットフォームデータの共有を指示した場合に、アプリで取得したプラットフォームデータをほかの個人または企業が利用できるようにしているとの回答がありました。

ほかの個人や企業とのプラットフォームデータの共有をユーザーがどのように指示しているか説明してください。

3.1-4.i.B.このようなデータ共有についての同意取得手順がわかるスクリーンショットをアップロードしてください。ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

データの削除

3.1-5.次のすべての状況においてプラットフォームデータを削除しますか?(Metaプラットフォーム利用規約でデータの保持が許可されている場合は除く)

a. 正当な事業目的のためにプラットフォームデータを保持する必要がなくなったとき

b. ユーザーからリクエストがあったとき

c. ユーザーがアプリのアカウントを失ったとき(ユーザーアカウントを提供している場合のみ)

d. Metaからリクエストがあったとき

e. 法律や規制により義務付けられているとき

この質問において、「プラットフォームデータ」には、プラットフォーム利用規約3.e「制限の例外」に記載されたデータは含まれません。データの削除に関する要件についてはプラットフォーム利用規約3.d.「プラットフォームデータの保持、削除、アクセシビリティ」を確認してください。ただし、状況によっては、特定のユーザー、ブラウザー、デバイスと関連付けることができないように集計、不明瞭化、非特定化されているプラットフォームデータは、削除する必要はありません。課金など、ユーザーエクスペリエンスに即したビジネス目的のために集計された匿名データを保持することは許容されます。

  • [ ] はい
  • [ ] いいえ

質問3.1-5で「いいえ」を選ぶと、次の質問が表示されます。

3.1-5.a.プラットフォームデータを削除しないのは上記のどの状況ですか?その理由は?

3.1-6.上記の状況でプラットフォームデータを削除する場合、プラットフォームデータを合理的に可能な限り早く削除するための措置は講じていますか?

合理的に可能な範囲はシステムやデータにより左右されますが、一般的に120日を超えるべきではありません。この質問はプラットフォームデータのみに適用され、アプリが独自に収集または保存したデータには適用されません。

適用される法律または規制の下で保持が義務付けられるプラットフォームデータについては、この限りではありません。

  • [ ] はい
  • [ ] いいえ

どのような条件下で、120日を超える期間プラットフォームデータを保持しますか?注: 適用される法律または規制の下で保持が義務付けられるプラットフォームデータについては、この限りではありません。

質問3.1-6で「いいえ」を選ぶと、次の質問が表示されます。

3.1-6.a.どのような条件下で、120日を超える期間プラットフォームデータを保持しますか?

注: 適用される法律または規制の下で保持が義務付けられるプラットフォームデータについては、この限りではありません。

質問3.1-5で「はい」を選ぶと、次の質問が表示されます。

3.1-5.b.正当な事業目的のためにプラットフォームデータが必要なくなったときに削除するとの回答がありました。正当な事業目的のためにプラットフォームデータが必要なくなったかどうかを判断する方法について説明してください。

この質問の「プラットフォームデータ」に、プラットフォーム利用規約3(e)に記載されたデータは含まれません。

3.1-5.c.ユーザーからのリクエストに応じてプラットフォームデータを削除するとの回答がありました。ユーザーがデータの削除をリクエストする方法について説明してください。必要な場合はスクリーンショットも提供してください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

この質問の「プラットフォームデータ」に、プラットフォーム利用規約3(e)に記載されたデータは含まれません。

データセキュリティ

3.1-A.プラットフォーム利用規約6.a.iに基づき、Metaは開発者に対して、プラットフォームデータの不正なアクセス、破壊、喪失、改ざん、開示、配布、危殆化を防止するよう、管理上、物理的または技術的な安全対策を講じることを求めています。

詳しくは、開発者向けのデータセキュリティのベストプラクティス、データ保護評価の概要、およびよくある質問をご覧ください。

以下の一連の質問に答える前に、適切な人に相談していることを確認してください。正確に回答するため、情報セキュリティ最高責任者、社内でそれに相当する職務を果たす人物、または有資格サイバーセキュリティ会社(ISO 27001監査の実施経験が5年以上ある会社)が含まれている必要があります。

評価を続けるには「理解しました」をクリックしてください。

[ ] 理解しました

3.1-B.「プラットフォームデータ」はプラットフォーム利用規約の用語解説で次のように定義されています。「開発者が本利用規約に同意した日の当日であるか、またはその日の前後であるかを問わず、また直接間接を問わず、開発者がプラットフォームを通じて、または開発者のアプリを通じて弊社から取得した情報、データまたはほかのコンテンツを意味し、匿名化データ、集計データや、そのようなデータから派生したデータなども含まれます。プラットフォームデータには、アプリトークン、ページトークン、アクセストークン、app secret、ユーザートークンなどが含まれます。」

具体的には、ユーザーID、メールアドレス、API呼び出しからgraph.facebook.comまで開発者が取得するあらゆるデータが含まれます。

以下の質問に回答するには、アプリに関連するMetaプラットフォームデータが、開発者のソフトウェアやシステムにおいてどのように伝送、保存、処理されるかを包括的に理解している必要があります。

この質問は、このアプリのすべてのアクセス許可、機能、性能に適用されます。アプリのアクセス許可、機能、性能を確認するには、アプリダッシュボードをご覧ください。マイアプリのページでアプリを選択するとダッシュボードにアクセスできます。

続けるには「理解しました」をクリックしてください。

[ ] 理解しました

3.1-7.以下の基準をすべて満たす情報セキュリティ認定資格証明書を取得した場合、プラットフォームデータの保護を目的とした十分な管理上、物理的、技術的な安全対策を実施していることの証拠として、その証明書を提出できます。

  • 認定資格の種類は、SOC 2、ISO 27001、ISO 27018またはこれらと同等のものである。
  • 独立監査人が(第三者に対してではなく)当該組織に対して発行した証明書である。
  • 過去1年以内に発行されたSOC 2証明書、または過去3年以内に発行されたISO証明書など、現在有効な証明書である。
  • 監査は、Metaプラットフォームデータの処理で使用するシステム全体を対象にしたものである。

このような基準を満たすセキュリティ認定資格証明書を所有していますか?

[ ] はい [ ] いいえ

質問3.1-7で「はい」を選ぶと、次の質問が表示されます。

3.1-7.a.所有しているのはどのデータセキュリティ認定資格証明書ですか?当てはまるものをすべて選択してください。* [ ] SOC2タイプ2レポート* [ ] ISO 27001証明書* [ ] ISO 27018証明書* [ ] それに相当する別の証明書* 「それに相当する別の証明書」を選択した場合、以下が表示されます。 *そのセキュリティ認定資格証明書の名称は何ですか?

3.1-7.a.i.B.セキュリティ認定資格証明書の写しをアップロードしてください。ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-7.aで選択肢dを選ぶと、次の質問が表示されます。

3.1-7.a.i.A.そのセキュリティ認定資格証明書の名称は何ですか?

3.1-8.プラットフォームデータをバックエンド環境(例: データベース、オブジェクトストレージバケット、クラウド内のブロックストレージ、その他の種類のホスト対象環境)に保管していますか?

ディスク、ログファイル、ウェブサイト経由やAPI経由でアクセス可能なデータベースなど、デバイス電源オフ後もデータを保持するバックエンドクラウドまたはサーバー環境内の永続的ストレージにプラットフォームデータを書き込む場合は、「はい」を選択してください。

次のいずれかに該当する場合は、「いいえ」を選択してください。

  • アプリのエンドユーザーが所有するクライアントに関するプラットフォームデータは排他的に処理し、プラットフォームデータをバックエンド環境に送信することはない。

  • プラットフォームデータをバックエンド環境で処理するものの、データが永続的ストレージに書き込まれることはない。

  • [ ] はい

  • [ ] いいえ

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-8.a.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。バックエンド環境に保管するプラットフォームデータのタイプは次のうちどれですか?該当するものをすべて選択してください。

  • 「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

  • 「保管」とは、電源オフ後もデータを保持する環境(ログファイル、オブジェクトデータベース、リレーショナルデータベース、ディスクなど)にプラットフォームデータを書き込むことを指します。

a. MetaユーザーIDまたはハッシュ化されたユーザーID

b. メールアドレス

c. プロフィール写真

d. Meta APIユーザーアクセストークン

e. app secret

f. 上記以外のプラットフォームデータ

3.1-8.b.バックエンド環境でプラットフォームデータを処理するために、これらのホスティングソリューションのうちどれを使っていますか?

  • 「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

該当するものをすべて選択してください。

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba / Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. 別の組織が所有するデータセンターで自分の組織が所有するサーバー

k. 自分の組織が所有するデータセンターとサーバー

l.その他

質問3.1-8.bで選択肢lを選ぶと、次の質問が表示されます。

3.1-8.b.i.前の質問で、リストにないホスティングオプションを使っていることを示す「その他」が選択されました。利用しているバックエンド環境ホスティングアプローチについて説明してください。

質問3.1-8.aで選択肢b、c、d、e、fを選び、質問3.1-8.bで選択肢c、h、i、j、k、lを選ぶと、次の質問が表示されます。

3.1-9.a.バックエンド環境に保管するすべてのプラットフォームデータに対して、保存データ暗号化を実施していますか?

保存データ暗号化では、復号鍵なしではデータを解読できないようにすることにより、プラットフォームデータが保護されます。これにより、不正な読み取りアクセスに対する別の保護レイヤーが提供されます。プラットフォームデータをバックエンド環境に保管する場合、保存データの暗号化やそれに代わる適切な保護措置により、そのデータを保護する必要があります。

ホスティングプロバイダーによっては、デフォルトで保存データの暗号化が有効になっている場合や、設定オプションでそれを有効にする場合があります。この質問に答える前に、プラットフォームデータの保管に使うサービスに、保存データの暗号化が適用されているかどうか確認してください。適用されている場合、この質問に「はい」と回答してください。

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ。ただし、ホスティングプロバイダーはSOC 2またはISO 27001の認証を受けており、それによれば、その物理的セキュリティと安全なメディア処分管理方法が第三者によって評価されている。

[ ] いいえ

質問3.1-8.aで選択肢b、c、d、e、fを選び、質問3.1-8.bで選択肢c、h、i、j、k、lを選ばないと、次の質問が表示されます。

3.1-9.b.バックエンド環境に保存されているすべてのプラットフォームデータに対して、保存データの暗号化を実施していますか?

ホスティングプロバイダーによっては、デフォルトで保存データの暗号化が有効になっている場合や、設定オプションでそれを有効にする場合があります。この質問に答える前に、プラットフォームデータの保管に使うサービスに、保存データの暗号化が適用されているかどうか確認してください。適用されている場合、この質問に「はい」と回答してください。

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ

質問3.1-9.aで「はい」を選ぶか、質問3.1-9.bで「はい」を選ぶと、次の質問が表示されます。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

3.1-9.b.i.前の質問で、バックエンド環境に保管されるすべてのプラットフォームデータに対して保存データ暗号化が実施されているとの回答がありました。バックエンド環境に保管されるすべてのプラットフォームデータを保存データの暗号化で保護する必要があることを記載した説明(ポリシーまたは手順書など)をアップロードしてください。

データ機密レベルに応じて分類や保護の方法が異なる場合は、その説明の中で、Metaから受け取るプラットフォームデータにどの機密レベルが割り当てられるかを明確に示し、関連するポリシーをアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

3.1-9.b.ii.実際にこの保護を実施して、バックエンド環境に保管されているすべてのプラットフォームデータが保存データの暗号化で保護されていることを示す証拠(データベースインスタンスの画面キャプチャなど)を少なくとも1つアップロードしてください。

ファイルにはパスワードを設定しないようにしてください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-9.aで「いいえ」を選ぶと、次の質問が表示されます。

3.1-9.c.i.ホスティングプロバイダーの物理的セキュリティと安全なメディア処分管理方法が評価されたことを示すものとして、どんな種類の証拠がありますか?

Metaのプラットフォーム利用規約に従っていることを示すには、ホスティングプロバイダーのISO 27001監査またはSOC 2監査に、適用範囲内での物理的セキュリティと安全なメディア処分管理が含まれていることを確証する必要があります。ISO/IEC 27001:2013または2017の標準規格の場合、これらはコントロールA.8.3、A.11.1、A.11.2です。SOC 2標準規格の場合、コントロールCC6.4とCC6.5です。

a. ホスティングプロバイダーのISO 27001監査で、関連する適用宣言書(Statement of Applicability、SOA)により、物理的セキュリティと安全なメディア処分管理が評価されたことが記載されているもの

b. 物理的セキュリティと安全なメディア処分管理がテストされ、それらの管理に関して不利な所見はなかったことを示すSOC 2監査報告書

c. 上記のどれにも当てはまらない

質問3.1-9.c.iで選択肢aまたはbを選ぶと、次の質問が表示されます。

3.1-9.c.ii.ホスティングプロバイダーのISO 27001証明書またはSOC 2証明書の発行日はいつですか?

3.1-10.組織内に、プラットフォームデータを組織のエンドポイントや個人デバイス(ノートパソコンやスマートフォンなど)に保管している人はいますか?

「保管」とは、ノートパソコン、USBドライブ、外付けハードドライブ、クラウドストレージサービス(例: DropboxやGoogle Drive)など、電源を停止した後もデータを保持する何らかの環境にプラットフォームデータを書き込むことを指します。

注: サービスを利用する個々のユーザーのウェブまたはモバイルクライアントに存在するプラットフォームデータは、この質問の対象外です。

  • [ ] はい。組織内に、プラットフォームデータを組織または個人のデバイスに保管している人が1人以上いる。
  • [ ] いいえ。いかなる状況でも、組織内の人がプラットフォームデータを組織デバイスや個人デバイスに保管することはない。

質問3.1-10で「はい」を選ぶと、次の質問が表示されます。

3.1-10.a.組織のメンバーが、組織のエンドポイントまたは個人デバイスにプラットフォームデータを保管する際に、データ損失のリスクを減らすために実施している保護措置はどれですか?

保管状態にあるプラットフォームデータにアクセスするリスクを減らすために保護措置を実施する必要があります。

該当するものをすべて選択してください。

a. 組織デバイス上でディスク全体の暗号化を実施するソフトウェアまたはサービス(BitlockerやFileVaultなど)

b. 保管されたプラットフォームデータに関連する動作を監視してログに記録するために、すべての管理対象デバイスにインストールしたエンドポイントデータ損失防止(DLP)ソフトウェア

c. 組織のメンバーは、明確かつ実行可能なビジネス目的が存在する場合に限りプラットフォームデータの処理が許可されること、そして、ビジネス目的が存在しなくなった時点でデータを削除する必要があることを明示した使用ポリシーに従うことが義務付けられている

d. 上記のどれにも当てはまらない

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-10.aで選択肢aまたはbを選ぶと、次の質問が表示されます。

3.1-10.a.i.前の質問で、組織または個人のデバイスに保管されるプラットフォームデータを保護するために、デバイス上でディスク全体の暗号化を実施している、またはエンドポイントデータ損失防止(DLP)ソフトウェアを使っているという回答がありました。この技術的保護をどのように実施しているかを記載した説明(ポリシーや手順書など)をアップロードしてください。

データ機密レベルに応じて分類や保護の方法が異なる場合は、その説明の中で、Metaから受け取るプラットフォームデータにどの機密レベルが割り当てられるかを明確に示し、関連するポリシーをアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-10.aで選択肢aまたはbを選ぶと、次の質問が表示されます。

3.1-10.a.ii.実際にこの保護を実施して、組織または個人のデバイス上に保管されるプラットフォームデータの技術保護がなされていることを示す証拠(ツールの設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。[主な質問]

例:

  • 管理対象デバイスに対してBitLockerを有効にすることを求めるグループポリシーの画面キャプチャ

  • 全エンドポイントに対してPIIデータモニタリングが有効になっていることを示すDLP管理ツールの画面キャプチャ

  • IT管理者がすべての組織デバイス上で技術的保護措置の利用を強制するために使う別のツールや製品の画面キャプチャ

  • ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-10.aで選択肢cだけを選ぶと、次の質問が表示されます。

3.1-10.a.iii.前の質問で、組織のメンバーがプラットフォームデータを組織または個人のデバイスに保管する場合に、妥当な使用ポリシーに従うことが義務付けられているとの回答がありました。妥当な使用ポリシーを記載した説明(ポリシーや手順書など)をアップロードしてください。

そのポリシーでは、以下のことが明確に記述されている必要があります。

  • 組織または個人のデバイスでプラットフォームデータを処理することが許可されるビジネス目的

  • その目的が存在しなくなった時点でデータを削除する必要があること

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-10.aで選択肢cだけを選ぶと、次の質問が表示されます。

3.1-10.a.iv.組織または個人のデバイスでプラットフォームデータを処理する可能性のある組織内のすべての人について、次のことを確証できます: このデータの使用ポリシーについて知らされていること。そのポリシーを理解した旨の承諾をしたこと。新入社員オンボーディングの一環としてこのポリシーについて知らされていること。

[ ] はい、確証できます。

[ ] いいえ、確証できません。

質問3.1-8で「はい」を選び、質問3.1-10で「いいえ」を選ぶと、次の質問が表示されます。

3.1-10.b.前の質問で、いかなる状況でも、組織内の人がプラットフォームデータを組織デバイスや個人デバイスに保管することはないとの回答がありました。

組織のメンバーに対して、組織または個人のデバイス上にプラットフォームデータを保管することはいかなる状況でも許可されていないことを伝え、この義務を承諾するよう求めましたか?

「保管」とは、ノートパソコン、USBドライブ、外付けハードドライブ、クラウドストレージサービス(例: DropboxやGoogle Drive)など、電源を停止した後もデータを保持する何らかの環境にプラットフォームデータを書き込むことを指します。

Metaのポリシーでは、管理者などの高特権ユーザーを含む組織内のすべての人に対して、プラットフォームデータの保管が許可されていない旨を伝えることが求められています。

[ ] はい

[ ] いいえ

質問3.1-8で「いいえ」を選び、質問3.1-10で「いいえ」を選ぶと、次の質問が表示されます。

3.1-10.c.前の質問で、いかなる状況でも、組織内の人がプラットフォームデータを組織デバイスや個人デバイスに保管することはないとの回答がありました。

組織のメンバーに対して、組織または個人のデバイス上にプラットフォームデータを保管することはいかなる状況でも許可されていないことを伝え、この義務を承諾するよう求めましたか?

「保管」とは、ノートパソコン、USBドライブ、外付けハードドライブ、クラウドストレージサービス(例: DropboxやGoogle Drive)など、電源を停止した後もデータを保持する何らかの環境にプラットフォームデータを書き込むことを指します。

Metaのポリシーでは、管理者などの高特権ユーザーを含む組織内のすべての人に対して、プラットフォームデータの保管が許可されていない旨を伝えることが求められています。

[ ] はい

[ ] 組織のメンバーはMetaプラットフォームデータにアクセスできないため、これは不要です。

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-10.bまたは質問3.1-10.cのいずれかで「はい」を選ぶと、次の質問が表示されます。

3.1-10.c.i.以前の質問で、いかなる状況でもプラットフォームデータを組織または個人のデバイスに保管する人は組織内にいないとの回答がありました。組織のメンバーがこれらのデバイスにプラットフォームデータを保存してはならないことを明記した説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-10.bまたは質問3.1-10.cのいずれかで「はい」を選ぶと、次の質問が表示されます。

3.1-10.c.ii.私は、組織内のあらゆる人について、以下のことを確証できます。

プラットフォームデータを組織または個人のデバイスに保管することを禁止するポリシーについて知らされている

このポリシーについて理解した旨の承諾をした

新入社員オンボーディングの一環としてこのポリシーについて知らされている

[ ] はい、確証できます。

[ ] いいえ、確証できません。

質問3.1-8で「いいえ」を選び、質問3.1-10で「いいえ」を選ぶと、次の質問が表示されます。

3.1-10.d.データフロー図と、アプリでプラットフォームデータを使う方法についての説明をアップロードしてください。

次の詳細を含めてください。

graph.facebook.comなど、Meta APIの呼び出しをアプリで発行する方法を示し、プラットフォームデータを格納したり、キャッシュに入れたり、処理したり、ネットワーク経由で転送したりしてプラットフォームデータを使うすべての構成要素を列挙してください。

サポートしている主なユースケース(アプリのユーザーに価値のある成果をもたらすフロー)について説明してください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-11.a.プラットフォームデータが送信されるパブリックネットワークを通過したり、接続したり、交差したりするすべてのネットワーク接続についてデータを暗号化するために、セキュリティプロトコルTLS 1.2以上を有効にしていますか?

送信中のデータを暗号化し、送信元のデバイスや送信先のデバイス以外では解読不能にすることで、信頼できないネットワーク(インターネットなど)を経由して送信されるプラットフォームデータが保護されます。送信の途中に存在する人物がネットワークトラフィックを観察できる場合でも(中間者攻撃など)、プラットフォームデータを読み取れないようになっていなければなりません。TLSは、ブラウザーが銀行などのウェブサイトとの通信の安全を確保するために使用するテクノロジーであるため、送信中のデータを暗号化するための最も一般的な形式です。

プラットフォームデータを受信したり返したりするすべてのウェブリスナー(インターネット対応ロードバランサーなど)では、TLS 1.2以上を有効にすることが求められています。TLS 1.0とTLS 1.1は、TLS 1.2以上に対応していないクライアントデバイスとの互換性を確保するためにのみ使うことができます。Metaでは、(Virtual Private Cloud (VPC)内など)信頼できるプライベートネットワーク内で完結するプラットフォームデータ送信にも暗号化を適用することをおすすめしていますが、これは必須ではありません。この要件や、必要な証拠のアップロード方法について詳しくは、データセキュリティ要件をご覧ください。

[ ] はい

[ ] いいえ

質問3.1-8で「いいえ」を選ぶと、次の質問が表示されます。

3.1-11.b.プラットフォームデータが送信されるパブリックネットワークを通過、接続、交差するすべてのネットワーク接続についてデータを暗号化するために、セキュリティプロトコルTLS 1.2以上を有効にしていますか?

送信中のデータを暗号化して、送信元のデバイスや送信先のデバイス以外では解読不能にすることで、信頼できないネットワーク(インターネットなど)を経由して送信されるプラットフォームデータが保護されます。送信の途中に存在する人物がネットワークトラフィックを観察できる場合でも(中間者攻撃など)、プラットフォームデータを読み取れないようになっていなければなりません。TLSは、ブラウザーが銀行などのウェブサイトとの通信の安全を確保するために使用するテクノロジーであるため、送信中のデータを暗号化するための最も一般的な形式です。

プラットフォームデータを受信したり返したりするすべてのウェブリスナー(インターネット対応ロードバランサーなど)では、TLS 1.2以上を有効にすることが求められています。TLS 1.0とTLS 1.1は、TLS 1.2以上に対応していないクライアントデバイスとの互換性を確保するためにのみ使うことができます。Metaでは、(Virtual Private Cloud (VPC)内など)信頼できるプライベートネットワーク内で完結するプラットフォームデータ送信にも暗号化を適用することをおすすめしていますが、これは必須ではありません。この要件や、必要な証拠のアップロード方法について詳しくは、データセキュリティ要件をご覧ください。

[ ] はい

[ ] これは不要です。直接Metaにリクエストする以外の理由で、インターネット上でプラットフォームデータを送信することはありません。

[ ] いいえ

質問3.1-11.aか質問3.1-11.bのどちらかで「はい」を選択すると、以下が表示されます。

3.1-11.c.前の質問で、転送時にデータを暗号化するために、セキュリティプロトコルTLS 1.2以上を有効にしているとの回答がありました。プラットフォームデータが暗号化されていない形でパブリックネットワーク経由で(HTTPやFTPによるなど)送信されることはないこと、そして、セキュリティプロトコルとしてSSL 2.0もSSL 3.0も使われないことを確認していますか?

信頼できないネットワークを介しプラットフォームデータを暗号化せずに送信することがないよう求められています。また、SSL 2.0とSSL 3.0のどちらも、決して使ってはなりません。この要件について、また、必要な証拠をアップロードする方法について詳しくは、データセキュリティ要件をご覧ください。

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-11.aか質問3.1-11.bのどちらかで「はい」を選択すると、以下が表示されます。

3.1-11.a.i.転送時データのためにTLS 1.2以上のセキュリティプロトコルを有効にする方法を記載した説明(ポリシーまたは手順書など)をアップロードしてください。

そのドキュメントには以下の記述を含めてください。1. 転送時にプラットフォームデータが暗号化なしに送信されることはない。2.SSLバージョン2とSSLバージョン3が使われることはない。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-11.aか質問3.1-11.bのどちらかで「はい」を選択すると、以下が表示されます。

3.1-11.a.ii.実際にこの保護を実施して、転送時データにセキュリティプロトコルTLS 1.2以上を有効にしている様子を示す証拠(自分のウェブドメインのいずれかに対して実行したQualys SSLレポート結果の全画面キャプチャなど)を少なくとも1つアップロードしてください。[主な質問]

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8で「いいえ」を選ぶと、次の質問が表示されます。

3.1-12.a.過去12か月以内に、プラットフォームデータの処理に使うソフトウェアに脆弱性やセキュリティの問題がないかをテストするために使ったアプローチは次のうちどれですか?

この質問の対象となるソフトウェアは、他社がビルド/メンテナンスするソフトウェア(AndroidやiOSオペレーティングシステムなど)ではなく、プラットフォームデータを処理するために自分が構築またはパッケージ化するソフトウェア(コードライブラリなど)だけです。

該当するものをすべて選択してください。

a. 静的アプリセキュリティテスト(SAST)

b. 動的アプリセキュリティテスト(DAST)

c. 社内チームによる侵入テスト

d. 外部セキュリティ会社による侵入テスト

e. 脆弱性開示プログラム(VDP)やバグ報告の報奨金制度を通じて得られた外部調査機関による脆弱性レポート

f. 脆弱性を特定するための別のアプローチ

g. 上記のどれにも当てはまらない

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-12.aでa~gのいずれかを選択すると、以下が表示されます。

3.1-12.a.i.プラットフォームデータの処理に使うソフトウェアに脆弱性やセキュリティの問題がないかテストするための方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

その説明には、以下のテスト手順のすべてを含めてください。

  1. 少なくとも12か月に1回、セキュリティ脆弱性をテストする

  2. 重大度に基づいて検出結果を選別するプロセスがある

  3. プラットフォームデータへの不正アクセスにつながる可能性がある高重大度の脆弱性があれば、適切なタイミングで確実に修復されるようにする

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-12.aで選択肢aからfのいずれかを選ぶと、次の質問が表示されます。

3.1-12.a.ii.実際にこの保護を実施して、プラットフォームデータの脆弱性やセキュリティの問題をテストしている様子を示す証拠(最近の侵入テストの結果の概要など)を少なくとも1つアップロードしてください。

次の詳細を証拠に含めてください。1. スコープとテスト方法の説明。2. テスト実施日(承認を受けるには、この評価についての通知を受け取った時点で過去12か月以内のものでなければならない)3.該当する場合、重大な脆弱性と高重大度の脆弱性のうち未解決のものの概要

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-12.b.過去12か月以内に、プラットフォームデータを処理するバックエンド環境で脆弱性やセキュリティ問題のテストを実施した際に、以下のうちどのアプローチを使いましたか?

この質問の対象となるソフトウェアは、他社がビルド/メンテナンスするソフトウェア(サービスプロバイダーとして利用するアナリティクスサービスなど)ではなく、プラットフォームデータを処理するために自分で構築またはパッケージ化するソフトウェア(コードライブラリなど)だけです。

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

該当するものをすべて選択してください。

a. 静的アプリセキュリティテスト(SAST)

b. 動的アプリセキュリティテスト(DAST)

c. ウェブスキャン

d. 社内チームによる侵入テスト

e. 外部セキュリティ会社による侵入テスト

f. 脆弱性開示プログラム(VDP)やバグ報告の報奨金制度を通じて得られた外部調査機関による脆弱性レポート

g. 脆弱性を特定するための別のアプローチ

h. 組織ではノーコードバックエンドソリューションを使っているため、これは不要です。

i. 上記のどれにも当てはまらない

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-12.bで選択肢aからgのいずれかを選ぶと、次の質問が表示されます。

3.1-12.b.i.プラットフォームデータを処理するバックエンド環境における脆弱性やセキュリティ問題をテストする方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

その説明には、以下のテスト手順のすべてを含めてください。

  1. 少なくとも12か月に1回、セキュリティ脆弱性をテストする

  2. 重大度に基づいて検出結果を選別するプロセスがある

  3. プラットフォームデータへの不正アクセスにつながる可能性がある高重大度の脆弱性があれば、適切なタイミングで確実に修復されるようにする

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-12.bで選択肢aからgのいずれかを選ぶと、次の質問が表示されます。

3.1-12.b.ii.実際にこの保護を実施して、プラットフォームデータを処理するバックエンド環境における脆弱性やセキュリティ問題をテストしている様子を示す証拠(最近実施した侵入テストの結果の概要など)を少なくとも1つアップロードしてください。

以下の詳細を証拠に含めてください。

  1. スコープとテスト方法の説明

  2. テスト実施日(承認を受けるには、この評価についての通知を受け取った時点で過去12か月以内のものでなければならない)

  3. 該当する場合、重大な脆弱性と高重大度の脆弱性のうち未解決のものの概要

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-8.bで選択肢aからbまたはdからiのいずれかを選択した場合

3.1-12.c.プラットフォームデータの処理に使うクラウド環境のセキュリティ設定に誤りがないかを調べるテスト(NCC Scout Suiteなどのツールを使って設定の誤りを特定するなど)を、少なくとも12か月に1回実施していますか?

Metaでは、プラットフォームデータへの不正アクセスを防ぐために、ソフトウェアの脆弱性とセキュリティ問題のテストを少なくとも12か月に1回実施する手段を講じるよう求めています。

[ ] はい

[ ] 組織では、機密セキュリティ設定オプションを公開しないバックエンドサービスのみを使用しているため、該当しない

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-12.cで「はい」を選ぶと、次の質問が表示されます。

3.1-12.c.i.プラットフォームデータの処理に使うクラウド環境のセキュリティ設定に誤りがあるかどうかをテストする方法を記載した説明(ポリシーまたは手順書など)をアップロードしてください。

その説明には、以下のテスト手順のすべてを含めてください。

  1. セキュリティの脆弱性のテストを少なくとも12か月に1回実施する。

  2. 重大度に基づいて検出結果を選別するプロセスがある。

  3. プラットフォームデータへの不正アクセスにつながる可能性がある高重大度の脆弱性が、適切なタイミングで必ず修復されるようにする。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

Metaでは、プラットフォームデータへの不正アクセスを防ぐために、ソフトウェアの脆弱性とセキュリティ問題のテストを少なくとも12か月に1回実施する手段を講じるよう求めています。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-12.cで「はい」を選ぶと、次の質問が表示されます。

3.1-12.c.ii.実際にこの保護を実施して、プラットフォームデータの処理に使うクラウド環境のセキュリティ設定に誤りがないかをテストしている様子を示す証拠(NCC Scout Suiteテストの概要など)を少なくとも1つアップロードしてください。

以下の詳細を証拠に含めてください。

  1. スコープとテスト方法の説明

  2. テスト実施日(この評価についての通知を受け取った時点で過去12か月以内のものでなければならない)

  3. 該当する場合、重大な脆弱性と高重大度の脆弱性のうち未解決のものの概要

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-13.a.アプリやソフトウェアは、別のアプリやユーザーによって読み取ることが可能なアクセストークンを顧客やクライアントのデバイスに保管しますか?

「顧客またはクライアントのデバイス」とは、アプリやサービスのエンドユーザーが所有する、AndroidやiPhoneの携帯電話などのハードウェアを指します。

携帯電話など、顧客やクライアントのデバイスで動作するアプリやソフトウェアがない場合は「いいえ」を選択してください。

[ ] はい

[ ] いいえ

このアプリがデスクトップ/ネイティブとして設定されていないなら、以下が表示されます。

3.1-13.b.(コンパイルされたコード内などで)Facebook app secretが顧客やクライアントのデバイスに対して公開されることがありますか?

[ ] はい

[ ] はい。ただし、アプリはデスクトップアプリまたはネイティブアプリとして設定されている。

[ ] いいえ

質問3.1-8.aで選択肢dを選ぶと、次の質問が表示されます。

3.1-13.c.前の質問で、Meta APIのユーザーアクセストークンをバックエンド環境に保管すると回答した場合の質問です。どんな方法でそれらのトークンを不正利用から保護していますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

アクセストークンは、MetaのAPIのセキュリティにとって基本となるものです。開発者には、アクセストークンを不正アクセスから保護することが求められています。アクセストークンについて詳細をご確認ください。

該当するものをすべて選択してください。

a. 別個のキー管理サービス(KMS)でこのデータをデータボルト(HashicorpのVaultなど)に保管

b. アプリ暗号化を使用(ユーザーアクセストークンがデータベースやその他の永続的ストレージに暗号化なしで書き込まれないようにするなど)

c. MetaへのAPI呼び出しにappsecret_proofパラメーターが必須になるようにアプリを設定

d. ユーザーアクセストークンを保護するために別のアプローチを使用

e. 上記のどれにも当てはまらない

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-13.cでa、b、c、dのいずれかを選択すると、以下が表示されます。

3.1-13.c.i.前の質問では、バックエンド環境に保管されたユーザーアクセストークンを不正使用から保護する方法について尋ねました。それらのアクセストークンをどのように保護するかを記載した説明(ポリシーや手順書など)をアップロードしてください。

その説明には、以下のことを含めてください。

  1. ユーザーアクセストークンを不正読み取りアクセスから保護する方法についての説明

  2. ユーザーアクセストークンがクリアテキスト(暗号化されていない)形式でログファイルに書き込まれないようにするという要件

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

アクセストークンは、MetaのAPIのセキュリティにとって基本となるものです。開発者には、アクセストークンを不正アクセスから保護することが求められています。アクセストークンについて詳細をご確認ください

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

3.1-13.c.ii 実際にこの保護を実施して、バックエンド環境に保管されたアクセストークンを不正使用から保護している様子を示す証拠(アクセストークンキー(その値ではない)の画面キャプチャなど)を少なくとも1つアップロードしてください。[主な質問]

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8.aで選択肢eを選ぶと、次の質問が表示されます。

3.1-13.d.前の質問で、バックエンド環境にapp secretを保管していると回答した場合の質問です。どんな方法でapp secretを不正使用から保護していますか?

app secretは、Metaのさまざまなテクノロジーに関連するパラメーターです。これは、Webhookコールバックの設定など、アプリの設定変更のために特定のAPI呼び出しでアクセストークンとして使うことができます。アプリのapp secretは、[設定] > [基本]の下のアプリダッシュボードで確認できます。app secretについて詳しくは、開発者ドキュメントのログインセキュリティを参照してください。app secretとユーザーアクセストークンを保護するための要件や、提出する必要がある証拠については、Metaのapp secretとアクセストークンを保護するをご覧ください。

app secretは、次の2つの方法のいずれかによって保護する必要があります。

  1. セキュアなサーバー環境の外部に決して公開しないようにする。つまり、app secretがネットワーク呼び出しによってブラウザーまたはモバイルアプリに返されることが決してなく、モバイルまたはネイティブ/デスクトップクライアントに配信されるコードにapp secretが埋め込まれないようにするということです。

  2. 「ネイティブアプリまたはデスクトップアプリ」タイプとしてアプリ認証を設定する。それにより、Meta APIはapp secretを含むAPI呼び出しを信用しなくなります。

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

該当するものをすべて選択してください。

a. 別個のキー管理サービス(KMS)でこのデータをデータボルト(HashicorpのVaultなど)に保管

b. アプリ暗号化を使用(app secretがデータベースやその他の永続的ストレージに暗号化なしで書き込まれないようにするなど)

c. app secretを保護する別のアプローチを使用

d. 上記のどれにも当てはまらない

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-13.dで選択肢a、b、cを選ぶと、次の質問が表示されます。

3.1-13.d.i.前の質問で、バックエンド環境に保管されたapp secretを不正使用から保護しているとの回答がありました。この保護の実施方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

その説明には、以下のことを含めてください。

  1. app secretを不正読み取りアクセスから保護する方法についての説明

  2. app secretがクリアテキスト(暗号化されていない)形式でログファイルに書き込まれないようにするという要件

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

app secretは、MetaのAPIのセキュリティにとって基本となるものです。開発者には、app secretを不正アクセスから保護することが求められています。app secretについて詳細をご確認ください

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-13.dで選択肢a、b、cを選ぶと、次の質問が表示されます。

3.1-13.d.ii.実際にこの保護を実施して、バックエンド環境に保管されたapp secretを不正使用から保護している様子を示す証拠を少なくとも1つ(app secretを含むsecretマネージャの画面キャプチャ、ただし値を編集したものなど)をアップロードしてください。

承認される証拠の例については、この質問の証拠資料に関するガイドをご覧ください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-15.a.コラボレーションツールやコミュニケーションツールに対するすべてのアクセスについて、多要素認証(MFA)を必須にしていますか?

コラボレーションツールやコミュニケーションツール(電子メール、Slackなど)のすべてのユーザーに対して、MFAや妥当な代替保護措置が求められています。MFAの実施について特定の方法は求められていません。

[ ] はい

[ ] いいえ。ただし、パスワード複雑性ポリシーを適用し、認証バックオフ遅延やログイン試行失敗での自動アカウントロックアウトを実施している。

[ ] いいえ

3.1-15.b.コードリポジトリツール(GitHubなど)、またはアプリの変更とシステムのコードや設定の変更を追跡するツールに対するすべてのアクセスについて、多要素認証(MFA)を必須にしていますか?

コードリポジトリのすべてのユーザーに対して、MFAまたは妥当な代替保護措置が求められています。MFAの実施について特定の方法は求められていません。

[ ] はい

[ ] いいえ。ただし、パスワード複雑性ポリシーを適用し、認証バックオフ遅延やログイン試行失敗での自動アカウントロックアウトを実施している。

[ ] いいえ

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-15.c.Jenkinsなどのソフトウェアデプロイメントツール、または別の継続的統合、継続的デプロイメント(CI/CD)ツールなどへのすべてのアクセスについて、多要素認証(MFA)を必須にしていますか?

ソフトウェアデプロイメントツールの全ユーザーに対して、MFAまたは妥当な代替保護措置が求められています。MFAの実施について特定の方法は求められていません。

[ ] はい

[ ] いいえ。ただし、パスワード複雑性ポリシーを適用し、認証バックオフ遅延やログイン試行失敗での自動アカウントロックアウトを実施している。

[ ] いいえ

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-15.d.クラウド管理ポータルなど、バックエンド管理ツールへのすべてのアクセスについて、多要素認証(MFA)を必須としていますか?

クラウド管理ツールまたはサーバー管理ツールのすべてのユーザーに対して、MFAまたは妥当な代替保護措置が求められています。MFAの実施について特定の方法は求められていません。

[ ] はい

[ ] いいえ。ただし、パスワード複雑性ポリシーを適用し、認証バックオフ遅延やログイン試行失敗での自動アカウントロックアウトを実施している。

[ ] いいえ

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-15.e.SSHなど、サーバーへのすべてのリモートアクセスで多要素認証(MFA)を必須としていますか?

サーバーへのあらゆるリモートアクセスについて、MFAまたは妥当な代替保護措置が求められています。MFAの実施について特定の方法は求められていません。

[ ] はい

[ ] いいえ。ただし、パスワード複雑性ポリシーを適用し、認証バックオフ遅延やログイン試行失敗での自動アカウントロックアウトを実施している。

[ ] 該当しないサーバーへのリモートアクセスはありません。

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-15.aから質問3.1-15.eのいずれかで「はい」を選ぶと、次の質問が表示されます。

3.1-15.e.i.アカウント乗っ取りを防ぐための多要素認証(MFA)などの対策(パスワード複雑性と、認証バックオフやログイン試行失敗時の自動アカウントロックアウトとを組み合わせるなど)を記載した説明(ポリシーまたは手順書)をアップロードしてください。

その説明には、コラボレーションツールとコミュニケーションツール、コードリポジトリ、ソフトウェアデプロイメントツール、バックエンド管理ツールに対するあらゆるアクセス、またSSHなどのツールによるサーバーへのリモートアクセスについての認証要件を含めてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-15.aから質問3.1-15.eのいずれかで「はい」を選ぶと、次の質問が表示されます。

3.1-15.e.ii.実際にこの保護を実施して、アカウント乗っ取りを防ぐための多要素認証などの措置を運用している証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。

その証拠は、コラボレーションツールとコミュニケーションツール、コードリポジトリ、ソフトウェアデプロイメントツール、バックエンド管理ツールへのあらゆるアクセス、またSSHのようなツールによるサーバーへのリモートアクセスを保護するために、どのように認証を使うかを示すものでなければなりません。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-16.組織内のメンバーへのアクセス許可の付与、取消、審査を管理するためのアカウント管理システムがありますか?

アカウントを維持するためのシステムが整備されていること、また、アクセス付与を少なくとも12か月に1回見直すことが求められています。以下の場合に速やかにアクセスを取り消すプロセスがなければなりません。

  • アクセスが不要になった場合

  • アクセスが使われなくなった場合

  • 人が組織を離れた場合

[ ] はい

[ ] いいえ

質問3.1-16で「はい」を選ぶと、次の質問が表示されます。

3.1-16.a.アカウント管理システムの一部として、以下のプロセスのうちどれを実装していますか?

該当するものをすべて選択してください。

a. 少なくとも12か月に1回はアクセス付与をすべて見直し、不要になったアクセスは取り消している。

b. 少なくとも12か月に1回はアクセス付与をすべて見直し、使われなくなったアクセスは取り消している。

c. 人が組織から離れる際、すべてのアクセス付与を速やかに取り消している。

d. 該当なし

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-16.aで選択肢aからcのいずれかを選ぶと、次の質問が表示されます。

3.1-16.a.i.アカウント管理システムに関する要件を記載した説明(ポリシーまたは手順書など)をアップロードしてください。

その説明には、以下の要件が含まれている必要があります。

  1. 不要になったアクセスを取り消す

  2. 使われなくなったアクセスを取り消す

  3. 人が組織から離れたら速やかにアクセス許可を取り消す

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-16.aで選択肢aからcのいずれかを選ぶと、次の質問が表示されます。

3.1-16.a.ii.実際にこの保護を実施して、アカウント管理システムを実装している様子を示す証拠(ツール設定や画面キャプチャなど)を少なくとも1つアップロードしてください。

その証拠は、次のことを実施している様子が示されていなければなりません。

  1. 不要になったアクセスを取り消す

  2. 使われなくなったアクセスを取り消す

  3. 人が組織から離れたら速やかにアクセス許可を取り消す

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8で「はい」を選ぶと、次の質問が表示されます。

3.1-17.a.以前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。バックエンド環境でプラットフォームデータを処理するために使うソフトウェアに関して、次のことをすべて実行していますか: サードパーティソフトウェアのセキュリティ脆弱性を解決するパッチを特定するための明確に定義された反復可能な方法を確立している。リスクに基づいて(CVSS重大度に基づくなど)利用可能なパッチの優先度を決める。現在進行中のアクティビティとしてパッチを適用する。

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] 組織ではノーコードバックエンドソリューションを採用しているため、これは不要です。

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-17.aで「はい」を選ぶと、次の質問が表示されます。

3.1-17.a.i.前の質問で、コードとバックエンド環境を最新の状態に保つためのプロセスがあるとの回答がありました。コードとバックエンド環境を最新の状態に保つ方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-17.aで「はい」を選ぶと、次の質問が表示されます。

3.1-17.a.ii.実際にこの保護を実施して、コードとバックエンド環境を最新の状態に保っている様子を示す証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-17.b.AndroidやiPhoneアプリなどのモバイルアプリでプラットフォームデータを処理するために使うサードパーティソフトウェアに関して、次のすべてを実行していますか: サードパーティソフトウェアのセキュリティ脆弱性を解決するパッチを特定するための明確に定義された反復可能な方法を確立している。リスクに基づいて(CVSSの重大度に基づくなど)進行中のアクティビティとしてパッチを適用する。

[ ] はい

[ ] 組織ではモバイルアプリでプラットフォームデータを処理しないため、これは不要です。

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-17.bで「はい」を選ぶと、次の質問が表示されます。

3.1-17.b.i.前の質問で、モバイルアプリでサードパーティソフトウェアを最新状態に保っているとの回答がありました。モバイルアプリでサードパーティコードが常に更新された状態に維持する方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-17.bで「はい」を選ぶと、次の質問が表示されます。

3.1-17.b.ii.実際にこの保護を実施して、モバイルアプリでサードパーティコードを最新状態に保っている様子を示す証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-17.c.アプリのビルドと運用のために組織内の人が使うオペレーティングシステム、アンチウイルスソフトウェア、ラップトップ上のブラウザー、その他のシステムやアプリに関して、次のすべてを実行していますか: サードパーティソフトウェアのセキュリティ脆弱性を解決するパッチを特定するための明確に定義された反復可能な方法を確立している。リスクに基づいて(CVSS重大度に基づくなど)利用可能なパッチの優先度を決める。進行中のアクティビティとしてパッチを適用して検証する。

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-17.cで「はい」を選ぶと、次の質問が表示されます。

3.1-17.c.i.前の質問で、アプリのビルドと運用のために使うシステムやアプリ内のサードパーティソフトウェアを最新状態に保っているとの回答がありました。このサードパーティソフトウェアとウイルス対策ソフトウェアをどのように最新状態に保っているかを記載した説明(ポリシーまたは手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

この質問が当てはまるのは、一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-17.cで「はい」を選ぶと、次の質問が表示されます。

3.1-17.c.ii.実際にこの保護を実施して、サードパーティソフトウェアとウイルス対策ソフトウェアを最新状態に保っている様子を示す証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。[主な質問]

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-21.このアプリのセキュリティ脆弱性を開発者に報告する方法は公開されていますか?

[ ] はい

[ ] いいえ

質問3.1-21で「いいえ」を選ぶと、次の質問が表示されます。

3.1-21.a.開発者に連絡をとるために使用可能な、定期的にモニタリングされている公開メールアドレス、電話番号または問い合わせフォームはありますか?

[ ] はい

[ ] いいえ

質問3.1-8.aで選択肢bからfのいずれかを選ぶと、次の質問が表示されます。

3.1-22.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。このバックエンド環境の管理者監査ログを収集していますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22で「はい」を選ぶと、次の質問が表示されます。

3.1-22.a.プラットフォームデータの保管先となるバックエンド環境の管理者監査ログを収集する方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分固有の評価フォームをご覧ください

質問3.1-22で「はい」を選ぶと、次の質問が表示されます。

3.1-22.a.i.実際にこの保護を実施して、プラットフォームデータの保管先となるバックエンド環境の管理者監査ログを収集している様子を示す証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8.aで選択肢bからfのいずれかを選ぶと、次の質問が表示されます。

3.1-22.b.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。このバックエンド環境のアプリイベント監査ログを収集していますか?アプリイベントには、以下が含まれます。

  • インプットとアウトプットの検証失敗

  • 認証とアクセス制御の失敗

  • アプリエラーとシステムイベント

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ

質問3.1-22.bで「はい」を選ぶと、次の質問が表示されます。

3.1-22.b.i.プラットフォームデータの保管先となるバックエンド環境のアプリイベント監査ログには、以下のフィールドがすべて含まれていますか?

  • MetaユーザーID(自分と共有している場合)

  • イベントの種類

  • 日時

  • 成功か失敗かの指標

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22.bで「はい」を選ぶと、次の質問が表示されます。

3.1-22.b.ii.プラットフォームデータの保管先となるバックエンド環境のアプリイベント監査ログの収集方法を示す説明説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22.bで「はい」を選ぶと、次の質問が表示されます。

3.1-22.b.iii.実際にこの保護を実施して、プラットフォームデータの保管先となるバックエンド環境のアプリイベント監査ログを収集している様子を示す証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8.aで選択肢bからfのいずれかを選ぶと、次の質問が表示されます。

3.1-22.c.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。このバックエンド環境の監査ログにより不正アクセスや改ざんを防ぐためのポリシーや手順が実施されていますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ

3.1-22.d.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。この環境で、監査ログを少なくとも30日間保持していますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい [ ] いいえ

3.1-8.aで選択肢bからfのいずれかを選ぶと、次の質問が表示されます。

3.1-22.e.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。リスクや損害を引き起こす日常的なセキュリティイベントやインシデント(アクセス制御を回避しようとしたりソフトウェア脆弱性を悪用しようとしたりすること)を示す指標を見つけるため、自動化ソリューションを使って、このバックエンド環境のアプリケーションイベント監査ログを確認していますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ

質問3.1-22.eで「はい」を選ぶと、3.1-22.e.iが表示されます。プラットフォームデータの保管先となるバックエンド環境のアプリイベント監査ログを、少なくとも7日ごとに確認していますか?

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22.eで「はい」を選ぶと、次の質問が表示されます。

3.1-22.e.ii.プラットフォームデータの保管先となるバックエンド環境のアプリイベント監査ログを少なくとも7日ごとに確認する方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22.eで「はい」を選ぶと、次の質問が表示されます。

3.1-22.e.iii.実際にこの保護を実施して、プラットフォームデータの保管先となるバックエンド環境のアプリイベント監査ログを少なくとも7日ごとに確認している様子を示す証拠(ツール設定やアプリの画面キャプチャなど)を少なくとも1つアップロードしてください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8.aで選択肢bからfのいずれかを選ぶと、次の質問が表示されます。

3.1-22.f.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。リスクや損害を引き起こす日常的なセキュリティイベントやインシデント(アクセス制御を回避しようとしたりソフトウェア脆弱性を悪用したりするなど)の指標を見つけるために、この環境の管理者監査ログを確認していますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

[ ] はい

[ ] いいえ

質問3.1-22.fで「はい」を選ぶと、次の質問が表示されます。

3.1-22.f.i.プラットフォームデータの保管先となるバックエンド環境について、これらの管理者監査ログを少なくとも7日ごとに確認していますか?

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22.fで「はい」を選ぶと、次の質問が表示されます。

3.1-22.f.ii 日常のセキュリティイベントやインシデントの指標を見つけるために、少なくとも7日ごとに、プラットフォームデータが保管されているバックエンド環境についての管理者監査ログを確認する方法について記載した説明(ポリシーまたは手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

質問3.1-8.aで選択肢bからfのいずれかを選ぶと、次の質問が表示されます。

3.1-22.g.前の質問で、プラットフォームデータをバックエンド環境に保管しているとの回答がありました。このバックエンド環境の監査ログに対してリスクや損害をもたらす日常的なセキュリティイベントやインシデントを特定した場合、さらに調査するためのプロセスが確立されていますか?

「バックエンド環境」とは、ウェブサイトやウェブAPIなど、顧客やクライアントから遠隔アクセスできるクラウドやサーバー環境のことを指します。

リマインダー: セキュリティイベントやインシデントが発生した場合、速やかにそれをMetaに報告することがMetaのポリシーにより求められています。

[ ] はい

[ ] いいえ

免責事項: この質問が適用されるのは一部の開発者だけです。これらの要件が自分に当てはまるかどうかについては、自分専用の評価フォームをご覧ください。

質問3.1-22.gで「はい」を選ぶと、次の質問が表示されます。

3.1-22.g.i.プラットフォームデータの保管先となるバックエンド環境において、監査ログに対してリスクまたは損害をもたらす日常的なセキュリティイベントやインシデントを調査する方法を記載した説明(ポリシーや手順書など)をアップロードしてください。

これらの条件の概要が示されているポリシー内の個所をハイライトするか、丸で囲んでください。

ファイルにはパスワードを設定しないでください。それぞれ最大2 GBのファイルを複数アップロードできます。受け入れられるのは、.xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip、.zipxです。

3.1-23.プラットフォームデータにアクセスできる人のためのセキュリティプロセスが実施されていますか?

そのようなプロセスには次のようなものが含まれます。

  • プラットフォームデータへのアクセス許可を付与する前に背景チェックを実施

  • プラットフォームデータへのアクセス許可を付与する前に守秘義務契約に署名 情報セキュリティのポリシーと手順についての新人トレーニング

  • セキュリティ啓発トレーニングを(1年ごとなど)定期的かつ継続的に実施

  • プラットフォームデータにアクセスする特定の役職に関連するトレーニング

  • 組織を離れる際にアセット(ノートパソコンや携帯電話など)を返却

[ ] はい

[ ] いいえ