Meta 앱 개발

데이터 보안 평가 질문

여기에서 데이터 보안 평가에 관한 모든 질문을 확인할 수 있습니다. 평가가 3.1로 시작되면 2024년 2월 15일이나 그 이후에 평가를 수신한 것입니다. 해당 질문은 아래에 나와 있습니다.

평가에 번호가 매겨져 있지 않은 경우, 2024년 2월 15일 이전에 평가를 수신한 것입니다. 이러한 이전 질문은 여기에서 확인할 수 있습니다.

다음은 업데이트된 2024년 데이터 보안 평가 절차의 일환으로 묻는 질문입니다. 질문의 번호는 해당 버전 번호로 시작합니다. 버전 3.1의 경우, 질문은 3.1-1, 3.1-2와 같이 나열됩니다. Meta에서는 업계 표준에 맞추어 질문을 지속적으로 업데이트하고 있으며 개발자 여러분께서는 평가를 수신한 시점에 따라 다른 질문을 받을 수 있습니다.

사용 지침:

  1. 앱 관리자께서는 내부 팀과 함께 이러한 질문을 검토하셔서 앱이 Meta 플랫폼 약관의 요구 사항을 충족하는지 확인하시기 바랍니다. 각 앱에 데이터 보안 평가가 필요한 경우 모든 앱 관리자에게 알림이 전송됩니다.

  2. 영어로 된 제출만 접수됩니다. 영어로 평가를 제출하는 데 필요한 번역 도구를 자유롭게 활용하세요.

  3. 이러한 질문은 회원님의 편의를 위해 여기에 표시됩니다. 각 앱에 요청되는 질문은 각 앱이 액세스하는 데이터에 따라 달라집니다. 앱에 특정 유형의 데이터에 대한 액세스 권한이 있는 경우, 답변을 뒷받침하는 증거도 제시해야 할 수 있습니다.

  4. 현재 데이터 보안 평가를 작성하는 중이거나 Facebook 검토자의 후속 질문을 처리 중인 경우, 해당 절차를 계속 진행해 주시기 바라며, 현재 답변 중이신 질문은 이곳의 업데이트된 질문과 다를 수 있음에 유의하시기 바랍니다.

데이터 이용

3.1-1. 앱에서 플랫폼 데이터를 사용하여 인종, 민족성, 피부색, 출신 국가, 종교, 나이, 성별, 성적 지향, 성 정체성, 가족 환경, 장애, 의료 또는 유전적 조건을 이유로 특정 사람에게 불이익(차별)을 주나요?

이 질문은 데이팅 앱에서의 성별 및 나이 사용, 언어적 고려를 위한 성별 사용, 성인용 콘텐츠를 제한하기 위해 나이를 사용하거나 앱에서 사용자 경험을 개선하기 위한 방식으로 플랫폼 데이터를 사용하는 등의 시나리오에는 적용되지 않습니다. 자신의 앱이 위와 같은 용도 중 하나와 관련이 있을 경우, 불이익을 주기 위해 정보를 사용하는 것이 아니므로 '아니요'라고 답해야 합니다.

  • [ ] 예
  • [ ] 아니요

'예'라고 답할 경우 다음과 같은 추가 질문이 주어집니다.

3.1-1.a.A. 앱에서 인종, 민족성, 피부색, 출신 국가, 종교, 나이, 성별, 성적 지향, 성 정체성, 가족 환경, 장애, 의료 또는 유전적 조건을 이유로 특정 사람에게 불이익을 주는 데 어떤 플랫폼 데이터를 사용하나요?

3.1-1.a.B. 앱에서 인종, 민족성, 피부색, 출신 국가, 종교, 나이, 성별, 성적 지향, 성 정체성, 가족 환경, 장애, 의료 또는 유전적 조건을 이유로 특정 사람에게 불이익을 주는 데 플랫폼 데이터를 어떻게 사용하나요?

3.1-1.a.C. 앱에서 언제부터 이런 방식으로 플랫폼 데이터를 사용하기 시작했나요?

3.1-2. 앱에서 주택, 채용, 보험, 교육 기회, 신용, 정부 수당 또는 체류 자격에 대한 결정을 내리는 데 플랫폼 데이터를 사용하나요?

'예'라고 답할 경우 다음과 같은 추가 질문이 주어집니다.

3.1-2.a.A. 앱이 주택, 채용, 보험, 교육 기회, 신용, 정부 수당 또는 체류 자격에 대한 결정을 내리는 데 어떤 플랫폼 데이터를 사용하나요?

3.1-2.a.B. 앱에서 주택, 채용, 보험, 교육 기회, 신용, 정부 수당 또는 체류 자격에 대한 결정을 내리는 데 플랫폼 데이터를 어떻게 사용하나요?

3.1-2.a.C. 앱에서 언제부터 이런 방식으로 플랫폼 데이터를 사용하기 시작했나요?

3.1-3. 앱에서 감시와 관련된 활동에 플랫폼 데이터를 사용하나요? 감시에는 사법당국 또는 국가 안보 목적으로 사람, 그룹, 이벤트에 관한 플랫폼 데이터를 처리하는 것이 포함됩니다.

'예'라고 답할 경우 다음과 같은 추가 질문이 주어집니다.

3.1-3.a.A. 앱에서 감시와 관련된 활동에 어떤 플랫폼 데이터를 사용하나요?

3.1-3.a.B. 앱에서 감시와 관련된 활동에 플랫폼 데이터를 어떻게 사용하나요?

3.1-3.a.C. 앱에서 언제부터 이런 목적으로 플랫폼 데이터를 사용하기 시작했나요?

데이터 공유

3.1-4. 다음 질문 중 일부는 서비스 제공업체 및 하위 서비스 제공업체와 관련이 있습니다. 서비스 제공업체는 서비스를 제공하여 플랫폼 또는 플랫폼 데이터를 사용하는 데 도움을 주는 개인 또는 비즈니스입니다. 하위 서비스 제공업체는 다른 서비스 제공업체가 플랫폼 데이터와 관련하여 서비스를 제공하는 데 사용하는 서비스 제공업체입니다.

일반적인 대규모 서비스 제공업체의 예로는 Google Cloud와 Amazon Web Services(AWS)가 있으나, 이보다 소규모인 기업(예: 국내 또는 지역 내 현지 웹 개발 비즈니스)과 협력하여 플랫폼 데이터를 처리하거나 사용할 수도 있습니다.

다음 중 해당하는 항목이 있나요?

해당하는 항목을 모두 선택하세요.

  • a. 이 앱을 통해 수신되는 플랫폼 데이터를 공유하지 않습니다.
  • b. 플랫폼 데이터를 다른 개인이나 비즈니스에 판매 또는 라이선스를 제공하거나, 다른 사람이 그러한 행위를 하도록 돕거나 지원합니다.
  • c. 플랫폼 데이터를 다른 개인이나 비즈니스로부터 구매하거나, 다른 사람이 그러한 행위를 하도록 돕거나 지원합니다.
  • d. 플랫폼 데이터를 공유하여 개인이나 비즈니스(서비스 제공업체)가 귀하에게 서비스를 제공할 수 있게 합니다.
  • e. 플랫폼 데이터를 공유하여 (귀하의 비즈니스가 아닌) 다른 개인이나 비즈니스가 플랫폼 또는 플랫폼 데이터에 액세스하고 사용할 수 있게 합니다.
  • f. 이 앱 사용자의 명시적 지시에 따라 플랫폼 데이터를 공유합니다.
  • g. 여기에 나열되지 않은 다른 목적으로 플랫폼 데이터를 공유합니다. (구체적으로 설명해 주세요)

질문 3.1-4에서 옵션 b를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.a.A. 어떤 유형의 플랫폼 데이터를 판매하거나 라이선스를 제공하나요?

3.1-4.a.B. 이 앱에서 해당 플랫폼 데이터에 액세스하고 이를 수집하는 데 어떤 권한, 특징, 기능 또는 기타 채널을 사용하나요?

3.1-4.a.C. 이 앱에서 플랫폼 데이터를 판매하거나 라이선스를 제공하는 대상이 되는 모든 법인, 비즈니스 및 타사를 나열하고 사례별로 공유 목적을 설명해 주세요.

3.1-4.a.D. 플랫폼 데이터를 언제부터 판매하거나 라이선스를 제공하기 시작했나요?

질문 3.1-4에서 옵션 d를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.b. 위에서 서비스 제공업체와 플랫폼 데이터를 공유한다고 답하셨습니다. 아래의 상자에 어떤 서비스 제공업체와 플랫폼 데이터를 공유하는지 표시해 주세요. 이후에는 플랫폼 데이터를 공유하는 대상과 그 방법 및 이유를 묻는 질문이 이어집니다.

참고: Meta 서비스 또는 제품은 서비스 제공업체로 적지 마세요.

해당하는 항목을 모두 선택하세요. 이곳에 나와 있는 서비스 제공업체 중 하나 이상 및 목록에 없는 다른 제공업체와 플랫폼 데이터를 공유할 경우 해당하는 항목과 '기타'를 선택해 주세요. 예를 들어 Apple, Google, 기타를 선택하여 해당하는 모든 서비스 제공업체를 나타낼 수 있습니다.

  • a. Google(예: Play Store, Firebase, Cloud, AdMob, Analytics)
  • b. Amazon(예: Amazon Web Services)
  • c. Salesforce(예: Heroku, Marketing Cloud)
  • d. Apple(예: App Store)
  • e. Microsoft(예: App Center, Azure, Playfab)
  • f. Github
  • g. AppLovin(예: Adjust)
  • h. Appsflyer
  • i. Stripe
  • j. Twilio(예: Segment, SendGrid)
  • k. 기타(리스트를 업로드하라는 요청이 표시됨)

질문 3.1-4.b에서 옵션 k를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.b.i. 위의 리스트에서 선택한 항목 외에 플랫폼 데이터를 공유하는 서비스 제공업체를 나열한 CSV 또는 Excel 파일을 업로드하세요. 파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-4에서 옵션 d를 선택하고 질문 3.1-4.b에서 옵션 k를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.c. 플랫폼 데이터를 공유하는 서비스 제공업체 및 하위 서비스 제공업체(있을 경우)에 지시에 따라서만 플랫폼 데이터를 사용하고 자체적인 목적이나 자신의 고객에게 이익을 제공하기 위한 목적이 아닌 요청한 서비스만 제공하는 데 사용할 것을 요구하는 서면 계약을 각 서비스 제공업체와 체결했나요?

서면 계약의 예로는 서비스 약관, 표준 비협상 계약 또는 서명된 계약 등이 있습니다. 예를 들어 Google Cloud를 서비스 제공업체로 사용할 경우 서면 계약은 자신이 동의한 서비스 약관이 됩니다.

[ ] 예 [ ] 아니요

'예'를 선택한 경우 다음 내용이 표시됩니다.

3.1-4.c.i. 아래에서 확인란을 선택하여 서비스 제공업체와 맺은 서면 데이터 계약에 포함된 언어의 유형을 표시하세요. 해당하는 항목을 모두 선택하세요.

a. 서비스 제공업체가 귀하가 요청한 서비스를 제공하는 데만 플랫폼 데이터를 사용하도록 요구하는 언어

b. 서비스 제공업체가 귀하가 지시한 대로만 플랫폼 데이터를 사용하도록 요구하는 언어

c. 서비스 제공업체가 귀하의 지시가 없는 한 플랫폼 데이터를 타사에 공유하지 못하게 하는 언어

d. 서비스 제공업체가 자신의 목적 또는 타사를 위해 플랫폼 데이터를 처리하는 것을 금지하는 언어

e. 귀하가 서비스 사용을 중단할 시 서비스 제공업체가 귀하에게서 받은 플랫폼 데이터를 삭제하도록 요구하는 언어

3.1-4.c.iv. 서비스 제공업체 및/또는 하위 서비스 제공업체(해당할 경우)가 Meta 플랫폼 약관과 일치하지 않는 방식으로 행동한 경우에 대해 알고 있나요? (예: 귀하가 서비스 사용을 중단한 후에도 플랫폼 데이터를 판매하거나 삭제하지 않는 행위)

[ ] 예 [ ] 아니요

3.1-4.c.v. 서비스 제공업체 또는 하위 서비스 제공업체를 더 이상 사용하지 않게 되는 경우, 해당 서비스 업체와의 계약(예: 서비스 약관)에 해당 서비스 제공업체가 귀하에게서 제공받은 데이터를 삭제해야 하는 방식과 시점이 명시되어 있나요?

[ ] 예 [ ] 아니요

질문 3.1-4.c.v에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.c.vi. 서비스 제공업체 또는 하위 서비스 제공업체를 더 이상 사용하지 않게 되는 경우, 해당 서비스 제공업체가 귀하에게서 제공받은 플랫폼 데이터를 삭제하는지 어떻게 확인하나요?

질문 3.1-4에서 옵션 e를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.d. 다음 질문은 기술 제공업체와 관련이 있습니다. 기술 제공업체란 고객 대신 플랫폼 통합을 관리하여 Meta 제품에서 고객의 데이터에 액세스하고 이를 관리하는 것을 주요 목적으로 하는 앱 개발자입니다. 기술 제공업체의 예로는 SaaS(서비스형 소프트웨어) 제공업체와 에이전시 등이 있습니다.

  • 기술 제공업체의 정의: 다른 개인이나 비즈니스를 대신하여 통합을 생성, 유지 관리 및 제거할 목적으로 Meta API에 대한 액세스 권한을 부여받은 개인 또는 비즈니스입니다. 여기에는 고객 한 명 또는 여러 명을 대행하여 하나의 통합을 생성하는 개인이나 비즈니스가 포함됩니다.

위에서 이 앱에서 사용자나 비즈니스(고객)가 플랫폼 데이터에 액세스하고 이를 사용하도록 허용한다고 답하셨습니다. 이 경우, 귀하는 기술 제공업체에 해당합니다.

이 앱을 통해 받은 플랫폼 데이터를 고객을 대행할 목적으로 고객의 지시에 따라서만 처리하나요? [ ] 예 [ ] 아니요

질문 3.1-4.d에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.d.i.A. 고객의 지시를 따르고 고객을 대행하는 목적 외에 누구를 위해 플랫폼 데이터를 처리하나요?

3.1-4.d.i.B. 이 개인 또는 비즈니스를 위해 어떤 플랫폼 데이터를 처리하나요?

3.1-4.d.i.C. 이 개인 또는 비즈니스를 위해 플랫폼 데이터를 처리하는 이유는 무엇인가요?

3.1-4.d.i.D. 이런 플랫폼 데이터를 언제부터 처리하기 시작했나요?

3.1-4.d.i.E. 이 플랫폼 데이터를 어떻게 처리하나요?

3.1-4.e. 각 고객의 플랫폼 데이터를 다른 고객의 데이터 및 자체 목적으로 관리하는 데이터와 분리(별도의 표를 사용하는 등의 논리적 방법 혹은 물리적 방법을 통해)해서 유지 관리하나요?

[ ] 예 [ ] 아니요

질문 3.1-4.e에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.f. 위의 질문에서 언급한 상황 외에 다른 상황에서 플랫폼 데이터를 공유한다고 답하셨습니다. 이러한 상황에서 공유하는 데이터에 대해 설명해 주세요.

  • 저장하는 위치는 어디인가요?
  • 해당 데이터를 어떻게 저장하고 보호하나요?
  • 누가 액세스할 수 있나요?
  • 액세스 권한을 어떻게 제어하나요?

'기타. (구체적으로 설명해 주세요)'를 선택한 경우 다음 내용이 표시됩니다.

  • 위의 질문에서 언급한 상황 외에 다른 상황에서 플랫폼 데이터를 공유한다고 답하셨습니다. 이러한 상황에서 공유하는 데이터에 대해 설명해 주세요.

다음 질문에 대한 답을 포함하시기 바랍니다.

  • 이 앱이나 웹사이트의 개인 사용자 외에 누구에게 이 데이터를 공유하나요?
  • 이 데이터를 어떻게 저장하나요?
  • 위에서 언급한 대상과 언제부터 데이터를 공유하기 시작했나요?
  • 여전히 데이터를 공유하고 있나요?

3.1-4.f.i. 이와 같은 상황에서 공유하는 플랫폼 데이터의 경우, Meta 플랫폼 약관과 개발자 정책(또는 플랫폼 데이터 사용에 적용되는 다른 모든 약관)을 위반하는 방식으로 플랫폼 데이터를 사용하는 것을 금지하는 서면 계약을 각 플랫폼 데이터 수신자와 체결하였나요?

서면 계약의 예로는 서비스 약관, 표준 비협상 계약 또는 서명된 계약 등이 있습니다.

[ ] 예 [ ] 아니요

3.1-4.g. 귀하가 알기로 이러한 플랫폼 데이터 수신자 중에서 Meta 플랫폼 약관을 위반한 사람이 있나요? 예를 들어 플랫폼 데이터를 판매하거나 라이선스를 부여하거나 구매하는 행위가 여기에 해당합니다.

[ ] 예 [ ] 아니요

질문 3.1-4.g에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.g.i. 위에서 플랫폼 데이터 수신자가 Meta 플랫폼 약관을 위반했다고 말씀하셨습니다. 자세한 설명을 제공해 주세요.

질문 3.1-4에서 옵션 f를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-4.i.A. 위에서 사용자가 플랫폼 데이터를 공유하도록 지시하면 이 앱을 통해 받은 플랫폼 데이터를 다른 개인이나 비즈니스에 제공한다고 답하셨습니다.

사용자가 플랫폼 데이터를 다른 개인 또는 비즈니스와 공유하도록 지시하는 방법에 대해 설명해 주세요.

3.1-4.i.B. 이러한 공유를 위한 동의 플로의 스크린샷을 업로드해 주세요. 파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

데이터 삭제

3.1-5. Meta 약관에 따라 보관을 허용하는 경우를 제외하고 아래의 모든 상황에서 플랫폼 데이터를 삭제하나요?

a. 합법적인 비즈니스 목적을 위해 더 이상 플랫폼 데이터를 보관해야 할 필요가 없을 경우

b. 사용자가 요청한 경우

c. 사용자가 더 이상 앱 계정을 보유하지 않는 경우(귀하가 사용자 계정을 제공하는 경우에만 해당)

d. Meta에서 요청한 경우

e. 법률 또는 규정에서 요구하는 경우

이 질문의 경우 '플랫폼 데이터'는 플랫폼 약관 3.e '예외'에 나와 있는 데이터를 포함하지 않습니다. 플랫폼 약관 3d '플랫폼 데이터 보관, 삭제 및 접근성'을 읽고 Facebook의 삭제 요구 사항에 대해 알아보세요. 플랫폼 데이터가 취합되었거나 가려졌거나 익명으로 처리되어 특정 사용자, 브라우저 또는 기기와 연관될 수 없는 특정 상황에서는 플랫폼 데이터를 삭제할 필요가 없습니다. 사용자 경험에 따른 비즈니스 목적으로 집계된 익명 데이터(예: 청구)를 유지 관리하는 것은 허용 가능합니다.

  • [ ] 예
  • [ ] 아니요

질문 3.1-5에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-5.a. 위의 상황 중 플랫폼 데이터를 삭제하지 않는 경우는 언제인가요? 그 이유가 무엇인가요?

3.1-6. 위에서 언급한 상황에서 플랫폼 데이터를 삭제할 경우, 합리적인 수준에서 최대한 빠르게 플랫폼 데이터를 삭제하기 위한 조치를 취하나요?

'합리적인 수준'은 시스템과 데이터에 따라 달라질 수 있지만 일반적으로는 120일을 초과해서는 안 됩니다. 이 질문은 이 앱에서 독립적으로 수집하거나 저장한 데이터가 아니라 플랫폼 데이터에만 적용됩니다.

이 질문은 그 외에 관련 법률이나 규정에 따라 보관해야 하는 플랫폼 데이터에는 적용되지 않습니다.

  • [ ] 예
  • [ ] 아니요

어떤 조건일 때 플랫폼 데이터를 120일을 초과하여 보관하나요? 참고: 이 질문은 그 외에 관련 법률이나 규정에 따라 보관해야 하는 플랫폼 데이터에는 적용되지 않습니다.

질문 3.1-6에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-6.a. 어떤 조건일 때 플랫폼 데이터를 120일을 초과하여 보관하나요?

참고: 이 질문은 그 외에 관련 법률이나 규정에 따라 보관해야 하는 플랫폼 데이터에는 적용되지 않습니다.

질문 3.1-5에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-5.b. 위에서 합법적인 비즈니스 목적을 위해 더 이상 플랫폼 데이터가 필요하지 않을 때 플랫폼 데이터를 삭제한다고 답하셨습니다. 플랫폼 데이터가 더 이상 합법적 비즈니스 목적에 필요하지 않은 시점을 결정하는 방법을 설명해 주세요.

이 질문의 경우 '플랫폼 데이터'는 플랫폼 약관 3(e)에 나와 있는 데이터를 포함하지 않습니다.

3.1-5.c. 위에서 사용자가 요청 시 플랫폼 데이터를 삭제한다고 답하셨습니다. 사용자가 데이터 삭제를 요청할 수 있는 방법을 설명해 주세요. 가능한 경우 스크린샷을 포함해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

이 질문의 경우 '플랫폼 데이터'는 플랫폼 약관 3(e)에 나와 있는 데이터를 포함하지 않습니다.

데이터 보안

3.1-A.플랫폼 약관 6.a.i에 따라, Meta에서는 플랫폼 데이터에 대한 무단 액세스, 파괴, 손실, 변경, 공개, 배포 또는 침해를 예방하도록 설계된 행정적, 물리적, 기술적 안전장치를 유지할 것을 요구합니다.

자세한 내용은 개발자 데이터 보안 모범 사례, 데이터 보안 평가 개요FAQ를 참조하세요.

다음 질문들에 답하기 전에 적절한 사람들과 상의하시기 바랍니다. 최고 정보 보안 책임자, 조직 내에서 그와 동등한 역할을 수행하는 담당자 또는 자격을 갖춘 사이버 보안 기업(예: ISO 27001 감사를 수행한 경험이 5년 이상인 기업) 등과 상담하여 제공하는 답변의 정확성을 보장해야 합니다.

평가를 계속하려면 '이해했습니다'에 체크하세요.

[ ] 이해했습니다

3.1-B. 참고로 Meta 플랫폼 약관 용어집에서는 '플랫폼 데이터'를 다음과 같이 정의합니다. "플랫폼 데이터란 귀하가 본 약관에 동의하기 전, 동의 시점, 동의 후에 플랫폼 또는 귀하의 앱을 통해 당사로부터 직간접적으로 획득하는 정보, 데이터 또는 기타 콘텐츠를 의미하며, 익명화된 데이터, 집계된 데이터, 해당 데이터로부터 파생된 데이터를 포함합니다. 플랫폼 데이터에는 앱 토큰, 페이지 토큰, 액세스 토큰, 앱 시크릿 코드, 사용자 토큰이 포함됩니다."

다시 말해 여기에는 사용자 ID 및 이메일 주소와 같은 데이터와 graph.facebook.com으로 보내는 API 호출을 통해 수신하는 모든 데이터가 포함됩니다.

다음 질문에 답하려면 이 앱과 관련된 Meta 플랫폼 데이터가 귀하의 소프트웨어 및 시스템에서 전송, 저장 및 처리되는 방식을 포괄적으로 이해해야 합니다.

이 질문은 이 앱의 모든 권한, 특징 및 기능에 적용됩니다. 이 앱의 권한, 특징 및 기능을 확인하려면 앱 대시보드를 방문하세요. '내 앱' 페이지에서 앱을 선택하면 대시보드로 이동할 수 있습니다.

계속하려면 '이해했습니다'를 선택하세요.

[ ] 이해했습니다

3.1-7. 다음의 모든 기준을 충족하는 정보 보안 인증을 받은 경우, 플랫폼 데이터를 보호하기에 충분한 행정적, 물리적, 기술적 안전장치를 구현하였다는 증거로 해당 인증을 제출할 수 있습니다.

  • 인증 유형은 SOC 2, ISO 27001, ISO 27018 또는 그에 준하는 것이어야 합니다.
  • 독립적인 감사자가 (타사가 아닌) 여러분의 조직에 발급한 인증이어야 합니다.
  • 인증은 현재 유효한 상태여야 합니다. 즉, SOC 2 인증은 최근 1년 이내에 발급한 것이어야 하고 ISO 인증은 최근 3년 이내에 발급한 것이어야 합니다.
  • 감사 범위에는 Meta 플랫폼 데이터를 처리하는 데 사용하는 시스템이 포괄적으로 포함되어야 합니다.

이와 같은 기준을 충족하는 보안 인증을 보유하고 있나요?

[ ] 예 [ ] 아니요

질문 3.1-7에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-7.a. 어떤 데이터 보안 인증을 보유하고 있나요? 해당하는 항목을 모두 선택하세요 * [ ] SOC2 Type 2 보고서 * [ ] ISO 27001 인증서 * [ ] ISO 27018 인증서 * [ ] 그에 준하는 다른 인증 * '그에 준하는 다른 인증'을 선택하는 경우 다음과 같은 질문이 표시됩니다. * 이 보안 인증의 이름은 무엇인가요?

3.1-7.a.i.B. 보안 인증 사본을 업로드해 주세요. 파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-7.a에서 옵션 d를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-7.a.i.A. 이 보안 인증의 이름은 무엇인가요?

3.1-8. 백엔드 환경(예: 데이터베이스, 객체 스토리지 버킷, 클라우드나 다른 유형의 호스팅 환경 내에 있는 블록 스토리지)에 플랫폼 데이터를 저장하시나요?

디스크, 로그 파일 또는 웹사이트나 API를 통해 액세스할 수 있는 데이터베이스와 같이 기기 전원이 꺼진 후에 데이터를 유지하는 백엔드 클라우드나 서버 환경의 영구 스토리지에 플랫폼 데이터를 작성하는 경우 '예'를 선택하세요.

다음 중 하나에 해당하는 경우 '아니요'를 선택하세요.

  • 앱의 최종 사용자가 소유한 클라이언트에서 플랫폼 데이터를 독점적으로 처리하고 백엔드 환경으로는 절대로 플랫폼 데이터를 전송하지 않습니다.

  • 백엔드 환경에서 플랫폼 데이터를 처리하지만 영구 스토리지에 그 어떤 데이터도 작성하지 않습니다.

  • [ ] 예

  • [ ] 아니요

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-8.a. 위의 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 다음 중 어떤 유형의 플랫폼 데이터를 백엔드 환경에 저장하나요? 해당하는 항목을 모두 선택하세요.

  • '백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

  • '저장'이란 전원이 꺼진 후에 데이터를 유지하는 환경(예: 로그 파일, 객체 또는 관계형 데이터베이스, 디스크)에 플랫폼 데이터를 작성하는 행위입니다.

a. Meta 사용자 ID 또는 해시된 사용자 ID

b. 이메일 주소

c. 프로필 사진

d. Meta API 사용자 액세스 토큰

e. 앱 시크릿 코드

f. 위에서 언급하지 않은 다른 플랫폼 데이터

3.1-8.b. 다음 중 백엔드 환경에서 플랫폼 데이터를 처리하는 데 사용하는 호스팅 솔루션은 무엇인가요?

  • '백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

해당하는 항목을 모두 선택하세요.

a. Amazon Web Services(AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform(GCP)

e. Alibaba/Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. 내 조직이 소유한 서버가 있는 다른 조직에서 소유한 데이터 센터

k. 내 조직이 소유한 데이터 센터 및 서버

l. 기타

질문 3.1-8.b에서 옵션 l을 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-8.b.i. 위의 질문에서 '기타'를 선택하여 목록에 나와 있지 않은 호스팅 옵션을 사용한다고 답하셨습니다. 백엔드 환경 호스팅 방식을 설명해 주세요.

질문 3.1-8.a에서 옵션 b, c, d, e 또는 f를 선택하고 질문 3.1-8.b에서 옵션 c, h, i, j, k 또는 l을 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-9.a. 백엔드 환경에 저장하는 모든 플랫폼 데이터에 대해 유휴 상태 암호화를 적용하시나요?

유휴 상태 암호화는 암호 해독 키 없이는 데이터를 해독할 수 없도록 만들어 플랫폼 데이터를 보호합니다. 따라서 데이터를 무단 읽기 액세스로부터 추가로 보호합니다. 백엔드 환경에 플랫폼 데이터를 저장하는 경우 유휴 상태 암호화 또는 허용 가능한 대체 보호 방법으로 데이터를 보호해야 합니다.

일부 호스팅 제공업체는 기본적으로 유휴 상태 암호화가 활성화되어 있거나 이를 활성화하기 위한 구성 옵션이 있습니다. 이 질문에 답하기 전에 플랫폼 데이터를 저장하는 데 사용하는 서비스에 유휴 상태 암호화가 적용되는지 확인해 주세요. 유휴 상태 암호화가 적용된 경우 이 질문에 '예'라고 답하시면 됩니다.

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요. 하지만 호스팅 제공업체가 물리적 보안 및 안전한 미디어 폐기 관리 조치에 대한 타사의 평가를 받았음을 확인하는 SOC 2 또는 ISO 27001 인증을 취득했습니다.

[ ] 아니요

질문 3.1-8.a에서 옵션 b, c, d, e 또는 f를 선택하고 질문 3.1-8.b에서 옵션 c, h, i, j, k 또는 l을 선택하지 않는 경우 다음과 같은 질문이 표시됩니다.

3.1-9.b. 백엔드 환경에 저장하는 모든 플랫폼 데이터에 대해 유휴 상태 암호화를 적용하시나요?

일부 호스팅 제공업체는 기본적으로 유휴 상태 암호화가 활성화되어 있거나 이를 활성화하기 위한 구성 옵션이 있습니다. 이 질문에 답하기 전에 플랫폼 데이터를 저장하는 데 사용하는 서비스에 유휴 상태 암호화가 적용되는지 확인해 주세요. 유휴 상태 암호화가 적용된 경우 이 질문에 '예'라고 답하시면 됩니다.

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요

질문 3.1-9.a에서 '예'를 선택하거나 질문 3.1-9.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

3.1-9.b.i. 위의 질문에서 백엔드 환경에 저장하는 모든 플랫폼 데이터에 유휴 상태 암호화를 적용한다고 답하셨습니다. 백엔드 환경에 저장된 모든 플랫폼 데이터를 유휴 상태 암호화로 보호해야 한다고 작성된 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

데이터 민감도 수준에 따라 데이터를 다르게 분류하고 보호하는 경우, Meta로부터 수신한 플랫폼 데이터에 어떤 민감도 수준을 할당하는지 설명에 명시하고 관련 정책을 업로드해야 합니다.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

3.1-9.b.ii. 백엔드 환경에 저장한 모든 플랫폼 데이터를 유휴 상태 암호화로 보호하는 조치를 실제로 구현하는 방법을 보여주는 증거(예: 데이터베이스 인스턴스의 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-9.a에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-9.c.i. 호스팅 공급업체의 물리적 보안 및 안전한 미디어 폐기 관리 조치에 대한 평가를 받았음을 나타내는 증거의 유형은 무엇인가요?

귀하가 Meta의 플랫폼 약관을 준수하고 있음을 보이려면, 호스팅 제공업체의 ISO 27001 또는 SOC 2 감사에 범위 내의 물리적 보안 및 안전한 미디어 폐기 관리 조치가 있는지 확인해야 합니다. ISO/IEC 27001:2013 또는 2017 표준에서 해당 관리 조치는 A.8.3, A.11.1 및 A.11.2입니다. SOC 2 표준에서 해당 관리 조치는 CC6.4 및 CC6.5입니다.

a. 내 호스팅 제공업체의 ISO 27001 감사 결과, 관련 SOA(적용성 보고서)에 물리적 보안 및 안전한 미디어 폐기 관리 조치를 평가받은 것으로 명시되어 있습니다.

b. SOC 2 감사 보고서에 물리적 보안 및 안전한 미디어 폐기 관리 조치를 테스트하였고 해당 관리 조치와 관련하여 부정적인 결과가 없었던 것으로 나와 있습니다.

c. 해당 사항 없음

질문 3.1-9.c.i에서 옵션 a 또는 b를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-9.c.ii. 호스팅 제공업체의 ISO 27001 또는 SOC 2 인증서가 발급된 날짜가 언제인가요?

3.1-10. 귀하의 조직 내에서 누군가가 조직의 엔드포인트나 개인 기기(예: 노트북, 스마트폰)에 플랫폼 데이터를 저장하나요?

'저장'이란 전원이 꺼진 후에 데이터를 유지하는 환경(예: 노트북, USB 드라이브, 이동식 하드 드라이브, Dropbox나 Google Drive와 같은 클라우드 스토리지 서비스)에 플랫폼 데이터를 작성하는 것을 가리킵니다.

참고:귀하의 서비스를 이용하는 개인 사용자가 웹 또는 모바일 클라이언트에 저장하는 플랫폼 데이터는 이 질문의 범위에 해당하지 않습니다.

  • [ ] 예. 내 조직에서 한 명 이상이 플랫폼 데이터를 조직 또는 개인 기기에 저장합니다.
  • [ ] 아니요. 어떤 상황에서도 내 조직에서는 플랫폼 데이터를 조직 또는 개인 기기에 저장하지 않습니다.

질문 3.1-10에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.a. 귀하의 조직에 속한 구성원이 조직 엔드포인트 또는 개인 기기에 플랫폼 데이터를 저장할 때 데이터 손실 위험을 완화하기 위해 다음 중 어떤 보호를 구현하나요?

Meta에서는 유휴 상태로 저장된 플랫폼 데이터에 액세스할 위험을 낮추기 위한 보호를 구현할 것을 요구합니다.

해당하는 항목을 모두 선택하세요.

a. 조직 기기에 전체 디스크 암호화를 적용하는 소프트웨어 또는 서비스(예: Bitlocker, FileVault)를 이용합니다.

b. 저장된 플랫폼 데이터와 관련된 작업을 모니터링하고 로깅하기 위해 모든 관리형 기기에 엔드포인트 데이터 손실 방지(DLP) 소프트웨어를 설치합니다.

c. 내 조직의 구성원들은 명확하고 실천 가능한 비즈니스 목적이 있을 경우에만 플랫폼 데이터를 처리하도록 허용하고 비즈니스 목적이 더 이상 존재하지 않을 경우에 해당 데이터를 삭제하도록 명시하는 사용 제한 정책을 준수해야 할 의무가 있습니다.

d. 해당 사항 없음

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-10.a에서 옵션 a 또는 b를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.a.i. 앞의 질문에서 조직 또는 개인 기기에 전체 디스크 암호화를 구현하거나 엔드포인트 데이터 손실 방지(DLP) 소프트웨어를 사용하여 조직 또는 개인 기기에 저장한 플랫폼 데이터를 보호한다고 답하셨습니다. 이 기술적 보호를 구현하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

데이터 민감도 수준에 따라 데이터를 다르게 분류하고 보호하는 경우, Meta로부터 수신한 플랫폼 데이터에 어떤 민감도 수준을 할당하는지 설명에 명시하고 관련 정책을 업로드해야 합니다.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-10.a에서 옵션 a 또는 b를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.a.ii. 조직 또는 개인 기기에 저장된 플랫폼 데이터에 기술적 보호를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱의 화면 캡처)를 하나 이상 업로드하세요. [기본 질문]

예를 들면 다음과 같습니다.

  • 관리형 기기에 BitLocker를 활성화하도록 요구하는 그룹 정책의 화면 캡처

  • 모든 엔드포인트에 PII 데이터 모니터링이 활성화되어 있음을 보여주는 DLP 관리 도구의 화면 캡처

  • IT 관리자가 모든 조직 기기에 기술적 보호를 적용하는 데 사용하는 다른 도구나 제품의 화면 캡처

  • 파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-10.a에서 옵션 c를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.a.iii. 이전 질문에서 귀하의 조직 내 구성원들이 조직 또는 개인 기기에 플랫폼 데이터를 저장할 때 사용 제한 정책을 준수할 의무가 있다고 답하셨습니다. 사용 제한 정책이 포함된 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

이 정책에서는 다음과 같은 내용을 명시해야 합니다.

  • 조직 또는 개인 기기에서 플랫폼 데이터를 처리하는 데 허용되는 비즈니스 목적

  • 이 목적이 더 이상 존재하지 않을 경우 데이터를 삭제하도록 하는 요구 사항

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-10.a에서 옵션 c를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.a.iv. 나는 조직 또는 개인 기기에서 플랫폼 데이터를 처리할 수 있는 내 조직 내의 모든 구성원에게 이 데이터에 대해 사용 제한 정책을 알리고, 이 정책에 대해 이해한다는 동의를 받았으며, 신입 직원으로 온보딩하는 과정에서 이 정책에 대해 안내했다는 사실을 확인할 수 있습니다.

[ ] 예, 확인할 수 있습니다.

[ ] 아니요, 확인할 수 없습니다.

질문 3.1-8에서 '예'를 선택하고 질문 3.1-10에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.b. 이전 질문에서 어떤 경우에도 귀하의 조직에 속한 구성원이 조직 또는 개인 기기에 플랫폼 데이터를 저장하지 않는다고 답하셨습니다.

귀하의 조직에 속한 구성원에게 어떤 경우에도 조직 또는 개인 기기에 플랫폼 데이터를 저장하는 것이 허용되지 않고 이 의무를 숙지해야 한다는 것을 알리셨나요?

'저장'이란 전원이 꺼진 후에 데이터를 유지하는 환경(예: 노트북, USB 드라이브, 이동식 하드 드라이브, Dropbox나 Google Drive와 같은 클라우드 스토리지 서비스)에 플랫폼 데이터를 작성하는 것을 가리킵니다.

Meta 정책에서는 조직이 관리자와 같이 권한이 높은 사용자를 포함하여 조직에 소속된 모든 구성원에게 플랫폼 데이터를 저장하는 행위가 금지된다는 것을 알리도록 요구합니다.

[ ] 예

[ ] 아니요

질문 3.1-8에서 '아니요'를 선택하고 질문 3.1-10에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.c. 이전 질문에서 어떤 경우에도 귀하의 조직에 속한 구성원이 조직 또는 개인 기기에 플랫폼 데이터를 저장하지 않는다고 답하셨습니다.

귀하의 조직에 속한 구성원에게 어떤 경우에도 조직 또는 개인 기기에 플랫폼 데이터를 저장하는 것이 허용되지 않고 이 의무를 숙지해야 한다는 것을 알리셨나요?

'저장'이란 전원이 꺼진 후에 데이터를 유지하는 환경(예: 노트북, USB 드라이브, 이동식 하드 드라이브, Dropbox나 Google Drive와 같은 클라우드 스토리지 서비스)에 플랫폼 데이터를 작성하는 것을 가리킵니다.

Meta 정책에서는 조직이 관리자와 같이 권한이 높은 사용자를 포함하여 조직에 소속된 모든 구성원에게 플랫폼 데이터를 저장하는 행위가 금지된다는 것을 알리도록 요구합니다.

[ ] 예

[ ] 내 조직의 구성원이 플랫폼 데이터에 절대로 액세스할 수 없기 때문에 이는 불필요합니다.

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-10.b 또는 질문 3.1-10.c에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.c.i. 이전 질문에서 어떤 경우에도 귀하의 조직에 속한 구성원이 조직 또는 개인 기기에 플랫폼 데이터를 저장하지 않는다고 답하셨습니다. 귀하의 조직에 속한 구성원이 이러한 기기에 플랫폼 데이터를 저장해서는 안 된다고 명시한 서면 문서(예: 정책 또는 절차 문서)를 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-10.b 또는 질문 3.1-10.c에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.c.ii. 내 조직에 속한 모든 구성원이 다음에 해당함을 확인할 수 있습니다.

플랫폼 데이터를 조직 또는 개인 기기에 저장하는 것을 금지하는 정책에 대해 안내받았습니다.

이 정책에 대해 이해했음을 확인했습니다.

신입 직원으로 온보딩할 때 이 정책에 대해 안내받았습니다.

[ ] 예, 확인할 수 있습니다.

[ ] 아니요, 확인할 수 없습니다.

질문 3.1-8에서 '아니요'를 선택하고 질문 3.1-10에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-10.d. 데이터 플로 다이어그램과 앱에서 플랫폼 데이터를 사용하는 방법에 대한 설명을 업로드하세요.

다음과 같은 상세 정보를 포함해야 합니다.

앱이 Meta API를 호출하는 방법(예: graph.facebook.com)을 보여주고, 네트워크 전반에서 플랫폼 데이터를 저장, 캐시, 처리 또는 전송하는 등의 구성 요소를 포함하여 플랫폼 데이터를 사용하는 모든 구성 요소를 식별합니다.

지원하는 기본 사용 사례(즉, 앱 사용자에게 중요한 결과를 제공하는 플로)를 설명합니다.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-11.a. 플랫폼 데이터가 전송되는 공개 네트워크를 통과하거나, 연결하거나, 지나가는 모든 네트워크 연결에서 데이터를 암호화하기 위해 보안 프로토콜 TLS 1.2 이상을 사용하나요?

전송 중 암호화는 플랫폼 데이터가 신뢰할 수 없는 네트워크(예: 인터넷)를 통해 전송될 때 송신 및 수신 기기를 제외하고는 해독할 수 없도록 만들어 플랫폼 데이터를 보호합니다. 전송 중간에 있는 당사자는 네트워크 트래픽을 볼 수는 있어도 플랫폼 데이터를 읽을 수는 없습니다(중간자 공격의 경우처럼). TLS는 브라우저에서 은행과 같은 웹사이트의 통신을 보호하기 위해 사용하는 기술로, 가장 일반적인 전송 중 암호화 형태입니다.

Meta는 플랫폼 데이터를 수신하거나 반환하는 모든 웹 리스너(예: 인터넷에 노출된 로드 밸런서)에서 TLS 1.2 이상을 지원할 것을 요구합니다. TLS 1.0 및 TLS 1.1은 TLS 1.2 이상을 지원하지 않는 클라이언트 기기와의 호환성을 위해서만 사용할 수 있습니다. 귀하가 제어하는 신뢰할 수 있는 사설 네트워크(예: VPC(Virtual Private Cloud)) 내에서만 플랫폼 데이터를 전송할 경우 전송 중 암호화가 권장되지만 필수는 아닙니다. 이 요구 사항과 필요한 증거를 업로드하는 방법에 대한 자세한 내용은 데이터 보안 요구 사항을 참조하세요.

[ ] 예

[ ] 아니요

질문 3.1-8에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-11.b. 플랫폼 데이터가 전송되는 공개 네트워크를 통과하거나, 연결하거나, 지나가는 모든 네트워크 연결에서 데이터를 암호화하기 위해 보안 프로토콜 TLS 1.2 이상을 사용하나요?

전송 중 암호화는 플랫폼 데이터가 신뢰할 수 없는 네트워크(예: 인터넷)를 통해 전송될 때 송신 및 수신 기기를 제외하고는 해독할 수 없도록 만들어 플랫폼 데이터를 보호합니다. 전송 중간에 있는 당사자는 네트워크 트래픽을 볼 수는 있어도 플랫폼 데이터를 읽을 수는 없습니다(중간자 공격의 경우처럼). TLS는 브라우저에서 은행과 같은 웹사이트의 통신을 보호하기 위해 사용하는 기술로, 가장 일반적인 전송 중 암호화 형태입니다.

Meta는 플랫폼 데이터를 수신하거나 반환하는 모든 웹 리스너(예: 인터넷에 노출된 로드 밸런서)에서 TLS 1.2 이상을 지원할 것을 요구합니다. TLS 1.0 및 TLS 1.1은 TLS 1.2 이상을 지원하지 않는 클라이언트 기기와의 호환성을 위해서만 사용할 수 있습니다. 귀하가 제어하는 신뢰할 수 있는 사설 네트워크(예: VPC(Virtual Private Cloud)) 내에서만 플랫폼 데이터를 전송할 경우 전송 중 암호화가 권장되지만 필수는 아닙니다. 이 요구 사항과 필요한 증거를 업로드하는 방법에 대한 자세한 내용은 데이터 보안 요구 사항을 참조하세요.

[ ] 예

[ ] 필요하지 않습니다. Meta로 직접 요청되는 경우를 제외한 다른 어떤 이유로도 플랫폼 데이터를 절대 인터넷을 통해 전송하지 않습니다.

[ ] 아니요

질문 3.1-11.a 또는 질문 3.1-11.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-11.c. 이전 질문에서 전송 중 데이터를 암호화하는 데 보안 프로토콜 TLS 1.2 이상을 사용한다고 답하셨습니다. 공개 네트워크를 통해 플랫폼 데이터를 암호화되지 않은 형태(예: HTTP 또는 FTP를 사용하고 SSL 2.0과 SSL 3.0을 절대로 사용하지 않음)로 절대로 전송하지 않나요?

Meta에서는 플랫폼 데이터를 신뢰할 수 없는 네트워크를 통해 암호화되지 않은 형태로 절대 전송하지 않을 것을 요구하며 귀하는 절대로 SSL 2.0 또는 SSL 3.0을 사용해서는 안 됩니다. 이 요구 사항과 필요한 증거를 업로드하는 방법에 대한 자세한 내용은 데이터 보안 요구 사항을 참조하세요.

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-11.a 또는 질문 3.1-11.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-11.a.i. 전송 중인 데이터에 보안 프로토콜 TLS 1.2 이상을 지원하는 방법을 명시한 서면 문서(예: 정책 또는 절차 문서)를 업로드하세요.

문서에는 다음과 같은 문구가 포함되어야 합니다. 1. 플랫폼 데이터는 절대로 전송 중 암호화 없이 전달되지 않습니다. 2. SSL 버전 2 및 SSL 버전 3을 절대로 사용하지 않습니다.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-11.a 또는 질문 3.1-11.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-11.a.ii. 전송 중인 데이터에 대해 보안 프로토콜 TLS 1.2 이상을 지원하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: Qualys SSL 보고서를 웹 도메인 중 하나에 실행한 결과에 대한 전체 화면 캡처)를 하나 이상 업로드하세요. [기본 질문]

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8에서 '아니요'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.a. 다음 중 최근 12개월 이내에 플랫폼 데이터를 처리하는 데 사용하는 소프트웨어에서 취약성과 보안 문제를 테스트하는 데 사용한 방법은 무엇인가요?

이 질문은 다른 기업에서 개발하거나 유지관리하는 소프트웨어(예: Android 또는 iOS 운영 체제)가 아니라 플랫폼 데이터를 처리하기 위해 귀하가 직접 개발하거나 패키징한 소프트웨어(예: 코드 라이브러리)만 지칭합니다.

해당하는 항목을 모두 선택하세요.

a. 정적 앱 보안 테스트(SAST)

b. 동적 앱 보안 테스트(DAST)

c. 내부 팀의 침투 테스트

d. 외부 보안 팀의 침투 테스트

e. 취약성 공개 프로그램(VDP) 또는 버그 신고 보상 프로그램을 통해 얻은 외부 연구원의 취약성 보고서

f. 취약성을 식별하기 위한 또 다른 접근법

g. 해당 사항 없음

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-12.a에서 옵션 a - g 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.a.i. 플랫폼 데이터를 처리하는 데 사용하는 소프트웨어에서 취약성과 보안 문제를 테스트하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

다음 테스트 절차가 서면 설명에 모두 포함되어야 합니다.

  1. 12개월마다 1회 이상 보안 취약성 테스트

  2. 심각성에 따라 결과를 분류하는 프로세스 보유

  3. 플랫폼 데이터에 대한 무단 액세스로 이어질 수 있는, 심각성이 높은 취약성을 시기적절하게 해결하도록 보장

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-12.a에서 옵션 a - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.a.ii. 플랫폼 데이터를 처리하는 데 사용하는 소프트웨어에서 취약성 및 보안 문제를 테스트하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 최근 침투 테스트 결과 요약)를 하나 이상 업로드하세요.

다음 상세 정보를 증거에 포함해야 합니다. 1. 범위 및 테스트 방법론에 대한 설명 2. 테스트 활동을 했던 날짜(Meta에서 이 평가에 대해 귀하에게 고지한 날짜로부터 12개월 이상 지나지 않은 날짜만 허용 가능함) 3. 해결되지 않은 치명적이고 심각성이 높은 취약성에 대한 요약(해당할 경우)

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.b. 다음 중 최근 12개월 이내에 플랫폼 데이터를 처리하는 백엔드 환경에서 취약성 및 보안 문제를 테스트하는 데 사용한 방법은 무엇인가요?

이 질문은 다른 기업에서 개발하거나 관리하는 소프트웨어(예: 서비스 제공업체로서 귀하가 의존하는 분석 서비스)가 아니라 플랫폼 데이터를 처리하기 위해 귀하가 직접 개발하거나 패키징한 소프트웨어(예: 코드 라이브러리)만 지칭합니다.

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

해당하는 항목을 모두 선택하세요.

a. 정적 앱 보안 테스트(SAST)

b. 동적 앱 보안 테스트(DAST)

c. 웹 스캔

d. 내부 팀의 침투 테스트

e. 외부 보안 팀의 침투 테스트

f. 취약성 공개 프로그램(VDP) 또는 버그 신고 보상 프로그램을 통해 얻은 외부 연구원의 취약성 보고서

g. 취약성을 식별하기 위한 또 다른 접근법

h. 내 조직에서는 코드 없는 백엔드 솔루션을 사용하므로 불필요함

i. 해당 사항 없음

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-12.b에서 옵션 a - g 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.b.i. 플랫폼 데이터를 처리하는 백엔드 환경에서 취약성과 보안 문제를 테스트하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

다음 테스트 절차가 서면 설명에 모두 포함되어야 합니다.

  1. 12개월마다 1회 이상 보안 취약성 테스트

  2. 심각성에 따라 결과를 분류하는 프로세스 보유

  3. 플랫폼 데이터에 대한 무단 액세스로 이어질 수 있는, 심각성이 높은 취약성을 시기적절하게 해결하도록 보장

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-12.b에서 옵션 a - g 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.b.ii. 플랫폼 데이터를 처리하는 백엔드 환경에서 취약성 및 보안 문제를 테스트하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 최근 침투 테스트 결과 요약)를 하나 이상 업로드하세요.

다음 상세 정보를 증거에 포함해야 합니다.

  1. 범위 및 테스트 방법론에 대한 설명

  2. 테스트 활동을 했던 날짜(Meta에서 이 평가에 대해 귀하에게 고지한 날짜로부터 12개월 이상 지나지 않은 날짜만 허용 가능함)

  3. 해결되지 않은 치명적이고 심각성이 높은 취약성에 대한 요약(해당할 경우)

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8.b에서 옵션 a-b 또는 d-i 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.c. 적어도 12개월에 한 번 이상 플랫폼 데이터를 처리하는 데 사용하는 클라우드 환경에서 보안 구성 오류를 테스트하나요? (예: NCC Scout Suite와 같은 도구를 사용하여 구성 오류 식별)

Meta에서는 플랫폼 데이터에 대한 무단 액세스를 방지하기 위해 적어도 12개월에 한 번 이상 소프트웨어에서 취약성 및 보안 문제를 테스트하기 위한 조치를 취할 것을 요구합니다.

[ ] 예

[ ] 내 조직에서는 민감한 보안 구성 옵션을 노출하지 않는 백엔드 서비스만 사용하므로 해당 없음

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-12.c에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.c.i. 플랫폼 데이터를 처리하는 데 사용하는 클라우드 환경에서 보안 구성 오류를 테스트하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

다음 테스트 절차가 서면 설명에 모두 포함되어야 합니다.

  1. 최소 12개월에 1회 이상 보안 취약성 테스트

  2. 심각성에 따라 결과를 분류하는 프로세스

  3. 플랫폼 데이터에 대한 무단 액세스로 이어질 수 있는, 심각성이 높은 취약성을 시기적절하게 해결하도록 보장

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

Meta에서는 플랫폼 데이터에 대한 무단 액세스를 방지하기 위해 적어도 12개월에 한 번 이상 소프트웨어에서 취약성 및 보안 문제를 테스트하기 위한 조치를 취할 것을 요구합니다.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-12.c에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-12.c.ii. 플랫폼 데이터를 처리하는 데 사용하는 클라우드 환경에서 보안 구성 오류를 테스트하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: NCC Scout Suite 테스트 요약)를 하나 이상 업로드하세요.

다음 상세 정보를 증거에 포함해야 합니다.

  1. 범위 및 테스트 방법론에 대한 설명

  2. 테스트 활동을 했던 날짜(Meta에서 이 평가에 대해 귀하에게 고지한 날짜로부터 12개월 이상 지나지 않은 날짜만 허용 가능함)

  3. 해결되지 않은 치명적이고 심각성이 높은 취약성에 대한 요약(해당할 경우)

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-13.a. 앱 또는 소프트웨어가 다른 앱이나 사용자가 읽을 수 있는 고객 또는 클라이언트 기기에 액세스 토큰을 저장하나요?

'고객 또는 클라이언트 기기'란 Android 또는 iPhone 휴대폰과 같이 앱 또는 서비스의 최종 사용자에게 속한 하드웨어를 나타냅니다.

고객 또는 클라이언트 기기(예: 휴대폰)에서 실행되는 앱이나 소프트웨어가 없는 경우 '아니요'를 선택하세요.

[ ] 예

[ ] 아니요

이 앱이 데스크톱/네이티브로 구성되지 않은 경우 다음과 같은 질문이 표시됩니다.

3.1-13.b. Facebook 앱 시크릿 코드가 고객 또는 클라이언트 기기에 노출된 적이 있나요(예: 컴파일된 코드 내부)?

[ ] 예

[ ] 예, 그러나 내 앱이 데스크톱 또는 네이티브 앱으로 구성됨

[ ] 아니요

질문 3.1-8.a에서 옵션 d를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-13.c. 귀하께 이 질문을 드리는 이유는 이전 질문에서 백엔드 환경에 Meta API 사용자 액세스 토큰을 저장한다고 답하셨기 때문입니다. 이 토큰을 무단 사용으로부터 어떻게 보호하나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

액세스 토큰은 Meta API 보안에 필수적입니다. Meta에서는 개발자가 액세스 토큰을 무단 액세스로부터 보호할 것을 요구합니다. 액세스 토큰에 대해 알아보세요.

해당하는 항목을 모두 선택하세요.

a. 이 데이터를 별도의 키 관리 서비스(KMS)가 있는 데이터 볼트(예: Vault by Hashicorp)에 저장

b. 앱 암호화 사용(예: 사용자 액세스 토큰을 암호화되지 않은 채로 데이터베이스나 다른 영구 스토리지에 절대로 기록하지 않음)

c. 앱에서 Meta로 API 호출을 보낼 때 appsecret_proof 매개변수를 요구하도록 구성

d. 사용자 액세스 토큰을 보호하는 데 다른 접근법 사용

e. 해당 사항 없음

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-13.c에서 a, b, c 또는 d를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-13.c.i. 이전 질문에서 백엔드 환경에 저장된 사용자 액세스 토큰을 무단 사용으로부터 보호하는 방법을 물었습니다. 이러한 액세스 토큰을 보호하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

서면 설명에는 다음을 포함해야 합니다.

  1. 사용자 액세스 토큰을 무단 읽기 액세스로부터 보호하는 방법에 대한 설명

  2. 사용자 액세스 토큰을 절대로 일반 텍스트(암호화되지 않은) 형식으로 로그 파일에 작성하지 않도록 하는 요구 사항

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

액세스 토큰은 Meta API 보안에 필수적입니다. Meta에서는 개발자가 액세스 토큰을 무단 액세스로부터 보호할 것을 요구합니다. 액세스 토큰에 대해 알아보세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

3.1-13.c.ii 백엔드 환경에 저장된 액세스 토큰을 무단 사용으로부터 보호하기 위한 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 값을 제외한 액세스 토큰 키의 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8.a에서 옵션 e를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-13.d. 귀하에게 이 질문을 드리는 이유는 이전 질문에서 백엔드 환경에 앱 시크릿 코드를 저장한다고 답하셨기 때문입니다. 액 시크릿 코드를 무단 사용으로부터 어떻게 보호하나요?

앱 시크릿 코드는 Meta 테크놀로지와 관련된 매개변수로, 특정 API 호출에서 액세스 토큰으로 사용하여 앱 구성을 변경할 수 있습니다(예: Webhooks 콜백 구성). 앱의 앱 시크릿 코드는 설정 > 기본 아래의 앱 대시보드에서 확인할 수 있습니다. 앱 시크릿 코드에 대한 자세한 내용은 로그인 보안에 대한 개발자 문서를 참조하세요. 제공할 의무가 있을 수 있는 증거를 포함하여 앱 시크릿 코드와 사용자 액세스 토큰을 보호해야 하는 요구 사항에 대한 자세한 내용은 Meta 앱 시크릿 코드 및 액세스 토큰 보호를 참조하세요.

Meta에서는 앱 시크릿 코드를 다음 두 가지 중 한 가지 방법으로 보호할 것을 요구합니다.

  1. 보호된 서버 환경 외부로 절대 노출하지 않습니다. 즉, 브라우저 또는 모바일 앱으로 보내는 네트워크 호출을 통해 절대로 앱 시크릿 코드를 반환하지 않으며, 앱 시크릿 코드를 모바일 또는 네이티브/데스크톱 클라이언트에 배포되는 코드에 포함하지 않습니다.

  2. 또는 Meta API에서 더 이상 앱 시크릿 코드가 포함된 API 호출을 신뢰하지 않도록 네이티브/데스크톱 유형으로 앱 인증을 구성합니다.

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

해당하는 항목을 모두 선택하세요.

a. 이 데이터를 별도의 키 관리 서비스(KMS)가 있는 데이터 볼트(예: Vault by Hashicorp)에 저장

b. 앱 암호화 사용(예: 앱 시크릿 코드를 암호화되지 않은 채로 데이터베이스나 다른 영구 스토리지에 절대로 기록하지 않음)

c. 앱 시크릿 코드를 보호하는 데 다른 접근법 사용

d. 해당 사항 없음

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-13.d에서 옵션 a, b 또는 c를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-13.d.i. 이전 질문에서 백엔드 환경에 저장된 앱 시크릿 코드를 무단 사용으로부터 보호한다고 답하셨습니다. 이 보호 조치를 구현하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

서면 설명에는 다음을 포함해야 합니다.

  1. 앱 시크릿 코드를 무단 읽기 액세스로부터 보호하는 방법에 대한 설명

  2. 앱 시크릿 코드를 절대로 일반 텍스트(암호화되지 않은) 형식으로 로그 파일에 작성하지 않도록 하는 요구 사항

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

앱 시크릿 코드는 Meta API 보안에 필수적입니다. Meta에서는 개발자가 앱 시크릿 코드를 무단 액세스로부터 보호할 것을 요구합니다. 앱 시크릿 코드에 대해 알아보세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-13.d에서 옵션 a, b 또는 c를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-13.d.ii. 백엔드 환경에 저장된 앱 시크릿 코드를 무단 사용으로부터 보호하기 위한 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 값을 제거한 앱 시크릿 코드가 포함된 앱 시크릿 코드 관리자의 화면 캡처)를 하나 이상 업로드합니다.

허용 가능한 증거의 예시를 보려면 이 질문에 대한 증거 가이드를 참조하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-15.a. 협업 및 커뮤니케이션 도구에 대한 모든 액세스에 다단계 인증(MFA)을 요구하나요?

Meta는 협업 및 커뮤니케이션 도구(예: 이메일, Slack)의 모든 사용자에 대해 MFA 또는 허용 가능한 대체 보호 조치를 요구합니다. 특정한 MFA 구현 방법을 요구하지는 않습니다.

[ ] 예

[ ] 아니요, 그러나 비밀번호 복잡성 정책을 시행하고 있으며 로그인 시도 실패 시 인증 백오프 지연 및 자동 계정 잠김 기능이 있습니다.

[ ] 아니요

3.1-15.b. 코드 리포지토리 도구(예: GitHub) 또는 앱과 모든 시스템 코드 및 구성의 변경 사항을 추적하는 데 사용하는 다른 도구에 대한 모든 액세스에 다단계 인증(MFA)을 요구하나요?

Meta에서는 코드 리포지토리의 모든 사용자에 대해 MFA 또는 허용 가능한 대체 보호 조치를 요구합니다. 특정한 MFA 구현 방법을 요구하지는 않습니다.

[ ] 예

[ ] 아니요, 그러나 비밀번호 복잡성 정책을 시행하고 있으며 로그인 시도 실패 시 인증 백오프 지연 및 자동 계정 잠김 기능이 있습니다.

[ ] 아니요

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-15.c. 소프트웨어 배포 도구(예: Jenkins) 또는 다른 지속 통합, 지속 배포(CI/CD) 도구에 대한 모든 액세스에 다단계 인증(MFA)을 요구하나요?

Meta에서는 소프트웨어 배포 도구의 모든 사용자에 대해 MFA 또는 허용 가능한 대체 보호 조치를 요구합니다. 특정한 MFA 구현 방법을 요구하지는 않습니다.

[ ] 예

[ ] 아니요, 그러나 비밀번호 복잡성 정책을 시행하고 있으며 로그인 시도 실패 시 인증 백오프 지연 및 자동 계정 잠김 기능이 있습니다.

[ ] 아니요

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-15.d. 백엔드 관리 도구(예: 클라우드 관리 포털)에 대한 모든 액세스에 다단계 인증(MFA)을 요구하나요?

Meta에서는 클라우드 또는 서버 관리 도구의 모든 사용자에 대해 MFA 또는 허용 가능한 대체 보호 조치를 요구합니다. 특정한 MFA 구현 방법을 요구하지는 않습니다.

[ ] 예

[ ] 아니요, 그러나 비밀번호 복잡성 정책을 시행하고 있으며 로그인 시도 실패 시 인증 백오프 지연 및 자동 계정 잠김 기능이 있습니다.

[ ] 아니요

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-15.e. 서버에 대한 모든 원격 액세스(예: SSH를 사용한 원격 액세스)에 다단계 인증(MFA)을 요구하나요?

Meta에서는 모든 서버 원격 액세스에 대해 MFA 또는 허용 가능한 대체 보호 조치를 요구합니다. 특정한 MFA 구현 방법을 요구하지는 않습니다.

[ ] 예

[ ] 아니요, 그러나 비밀번호 복잡성 정책을 시행하고 있으며 로그인 시도 실패 시 인증 백오프 지연 및 자동 계정 잠김 기능이 있습니다.

[ ] 해당 사항 없음. 서버에 원격으로 액세스하지 않습니다.

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-15.a ~ 3.1-15.e에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-15.e.i. 다단계 인증(MFA) 또는 계정 탈취를 방지하기 위한 기타 조치(예: 비밀번호 복잡성과 로그인 시도 실패 시 인증 백오프 및 자동 계정 잠김의 결합)에 대한 요구 사항을 명시한 서면 증거(예: 정책 또는 절차 문서)를 업로드하세요.

설명에는 협업 및 커뮤니케이션 도구, 코드 리포지토리, 소프트웨어 배포 도구, 백엔드 관리 도구에 대한 모든 액세스 및 SSH 등의 도구를 사용한 서버 원격 액세스에 대한 인증 요구 사항을 포함해야 합니다.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-15.a ~ 3.1-15.e에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-15.e.ii. 다단계 인증 또는 계정 탈취를 방지하기 위한 다른 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드합니다.

증거를 통해 협업 및 커뮤니케이션 도구, 코드 리포지토리, 소프트웨어 배포 도구, 백엔드 관리 도구에 대한 모든 액세스 및 SSH 등의 도구를 사용한 서버 원격 액세스를 보호하기 위해 인증을 어떻게 사용하는지 제시해야 합니다.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-16. 귀하의 조직에 속한 구성원에게 액세스 권한을 부여하고 이를 철회하고 검토하는 것을 관리하는 계정 유지관리 시스템이 있나요?

Meta에서는 계정 유지관리 시스템을 두고 최소 12개월에 한 번 이상 액세스 권한 부여를 정기적으로 검토할 것을 요구합니다. 다음과 같은 경우에 즉시 액세스 권한을 철회하는 절차가 마련되어 있어야 합니다.

  • 더 이상 액세스 권한이 필요 없는 경우

  • 더 이상 액세스 권한을 사용하지 않는 경우

  • 직원이 퇴사하는 경우

[ ] 예

[ ] 아니요

질문 3.1-16에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-16.a. 다음 중 계정 유지관리 시스템의 일환으로 구현하는 프로세스는 무엇인가요?

해당하는 항목을 모두 선택하세요.

a. 최소 12개월에 1번 이상 모든 액세스 권한 부여를 검토하고 더 이상 필요하지 않은 액세스 권한을 철회합니다.

b. 최소 12개월에 1번 이상 모든 액세스 권한 부여를 검토하고 더 이상 사용하지 않는 액세스 권한을 철회합니다.

c. 직원이 퇴사하면 모든 액세스 권한 부여를 즉시 철회합니다.

d. 해당 사항 없음

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-16.a에서 옵션 a-c 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-16.a.i. 계정 유지관리 시스템과 관련된 요구 사항을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

서면 설명에는 다음에 대한 요구 사항을 포함해야 합니다.

  1. 더 이상 필요하지 않은 액세스 권한 철회

  2. 더 이상 사용하지 않는 액세스 권한 철회

  3. 직원이 퇴사할 때 즉시 액세스 권한 철회

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-16.a에서 옵션 a-c 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-16.a.ii. 계정 유지관리 시스템을 구현하여 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 화면 캡처)를 하나 이상 업로드하세요.

증거에는 다음에 대한 방법을 포함해야 합니다.

  1. 더 이상 필요하지 않은 액세스 권한 철회

  2. 더 이상 사용하지 않는 액세스 권한 철회

  3. 직원이 퇴사할 때 즉시 액세스 권한 철회

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.a. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 백엔드 환경에서 플랫폼 데이터를 처리하는 데 사용하는 소프트웨어와 관련하여 보안 취약성을 해결하는 타사 소프트웨어의 패치를 찾는 명확하고 반복적인 방법을 마련하고, 위험(예: CVSS 심각성 기준)에 따라 사용 가능한 패치의 우선순위를 결정하고, 지속적 활동으로서 패치를 적용하는 조치를 모두 수행하나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 내 조직에서는 코드 없는 백엔드 솔루션을 사용하므로 불필요함

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-17.a에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.a.i. 이전 질문에서 코드 및 백엔드 환경을 최신으로 유지하는 프로세스가 있다고 답하셨습니다. 코드 및 백엔드 환경을 최신으로 유지하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-17.a에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.a.ii. 코드 및 백엔드 환경을 최신으로 유지하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-17.b. Android 또는 iPhone 앱과 같은 모바일 앱에서 플랫폼 데이터를 처리하는 데 사용하는 소프트웨어와 관련하여 보안 취약성을 해결하는 타사 소프트웨어의 패치를 찾는 명확하고 반복적인 방법을 마련하고, 위험(예: CVSS 심각성 기준)에 따라 사용 가능한 패치의 우선순위를 결정하고, 지속적 활동으로서 패치를 적용하는 조치를 모두 수행하나요?

[ ] 예

[ ] 내 조직에서는 모바일 앱에서 플랫폼 데이터를 처리하지 않으므로 불필요함

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-17.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.b.i. 이전 질문에서 모바일 앱에서 타사 소프트웨어를 최신으로 유지한다고 답하셨습니다. 모바일 앱에서 타사 코드를 최신으로 유지하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-17.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.b.ii. 모바일 앱에서 타사 코드를 최신으로 유지하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-17.c. 운영 체제, 바이러스 백신 소프트웨어, 노트북에서 실행되는 브라우저, 조직 내 구성원이 앱을 빌드하고 운영하기 위해 사용하는 기타 시스템 및 앱과 관련하여, 보안 취약성을 해결하는 타사 소프트웨어의 패치를 찾는 명확하고 반복적인 방법을 마련하고, 위험(예: CVSS 심각성 기준)에 따라 사용 가능한 패치의 우선순위를 결정하고, 지속적인 활동으로서 패치를 적용 및 확인하는 조치를 모두 수행하나요?

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-17.c에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.c.i. 이전 질문에서 앱을 빌드하고 운영하는 데 사용하는 시스템 및 앱의 타사 소프트웨어를 최신으로 유지한다고 답하셨습니다. 이 타사 소프트웨어와 바이러스 백신을 최신으로 유지하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-17.c에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-17.c.ii. 타사 소프트웨어와 바이러스 백신 소프트웨어를 최신으로 유지하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드하세요. [기본 질문]

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-21. 사용자가 이 앱 내의 보안 취약성을 귀하에게 신고할 수 있는 공개적인 수단이 마련되어 있나요?

[ ] 예

[ ] 아니요

질문 3.1-21에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-21.a. 사용자가 귀하에게 연락하는 데 사용할 수 있는 공개 이메일 주소, 전화번호 또는 연락처 양식이 있으며, 이를 정기적으로 모니터링하나요?

[ ] 예

[ ] 아니요

질문 3.1-8.a에서 옵션 b - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 이 백엔드 환경에 대해 관리자 감사 로그를 수집하나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.a. 플랫폼 데이터를 저장하는 백엔드 환경에 대해 관리자 감사 로그를 수집하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.a.i. 플랫폼 데이터가 저장되는 백엔드 환경에 대해 관리자 감사 로그를 수집하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8.a에서 옵션 b - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.b. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 이 백엔드 환경에 대해 앱 이벤트 감사 로그를 수집하나요? 앱 이벤트는 다음을 포함할 수 있습니다.

  • 입력 및 출력 검증 실패

  • 인증 및 액세스 관리 실패

  • 앱 오류 및 시스템 이벤트

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요

질문 3.1-22.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.b.i. 플랫폼 데이터를 저장하는 백엔드 환경에 대한 이러한 앱 이벤트 감사 로그에 다음과 같은 필드가 모두 포함되나요?

  • Meta 사용자 ID(나와 공유된 경우)

  • 이벤트 유형

  • 날짜 및 시간

  • 성공 또는 실패 지표

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.b.ii. 플랫폼 데이터를 저장하는 백엔드 환경에 대해 앱 이벤트 감사 로그를 수집하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22.b에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.b.iii. 플랫폼 데이터가 저장되는 백엔드 환경에 대해 앱 이벤트 감사 로그를 수집하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8.a에서 옵션 b - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.c. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 이 백엔드 환경에서 무단 액세스와 감사 로그에 대한 조작을 방지하는 정책이나 절차가 마련되어 있나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요

3.1-22.d. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 이 환경에 대해 감사 로그를 30일 이상 보관하나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예 [ ] 아니요

질문 3.1-8.a에서 옵션 b - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.e. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 위험이나 손상으로 이어질 수 있는 일상적 보안 이벤트 또는 인시던트(예: 액세스 관리를 우회하기 위한 시도, 소프트웨어 취약성 익스플로잇)의 지표를 찾기 위해 이 백엔드 환경에 대한 앱 이벤트 감사 로그를 검토하는 자동 솔루션을 사용하나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요

질문 3.1-22.e에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다. 3.1-22.e.i. 플랫폼 데이터를 저장하는 백엔드 환경에 대해 이러한 앱 이벤트 감사 로그를 최소 7일에 1회 이상 검토하나요?

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22.e에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.e.ii. 플랫폼 데이터를 저장하는 백엔드 환경에 대해 앱 이벤트 감사 로그를 최소 7일에 1번 이상 검토하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22.e에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.e.iii. 플랫폼 데이터가 저장되는 백엔드 환경에 대해 앱 이벤트 감사 로그를 최소 7일에 1번 이상 검토하는 보호 조치를 실제로 구현하는 방법을 보여주는 증거(예: 도구 구성 또는 앱 화면 캡처)를 하나 이상 업로드하세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8.a에서 옵션 b - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.f. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 위험이나 손상으로 이어질 수 있는 일상적 보안 이벤트 또는 인시던트(예: 액세스 관리를 우회하기 위한 시도, 소프트웨어 취약성 익스플로잇)의 지표를 찾기 위해 이 환경에 대한 관리자 감사 로그를 검토하나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

[ ] 예

[ ] 아니요

질문 3.1-22.f에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.f.i. 플랫폼 데이터를 저장하는 백엔드 환경에 대한 이러한 관리자 감사 로그를 최소 7일에 1회 이상 검토하나요?

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22.f에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.f.ii 일상적인 보안 또는 인시던트의 지표를 찾기 위해 플랫폼 데이터를 저장하는 백엔드 환경에 대한 관리자 감사 로그를 최소 7일에 1번 이상 검토하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

질문 3.1-8.a에서 옵션 b - f 중 어느 것이든 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.g. 이전 질문에서 백엔드 환경에 플랫폼 데이터를 저장한다고 답하셨습니다. 이 백엔드 환경의 감사 로그에 대한 위험이나 손상으로 이어질 수 있는 일상적 보안 이벤트나 인시던트를 찾은 경우, 추가적으로 조사하는 절차가 마련되어 있나요?

'백엔드 환경'은 고객 또는 클라이언트가 원격으로 액세스할 수 있는 웹사이트나 웹 API와 같은 클라우드 또는 서버 환경을 말합니다.

알림: 보안 이벤트 또는 인시던트가 발생하는 경우 Meta 정책에서는 그 사실을 Meta에 즉시 신고할 것을 요구합니다.

[ ] 예

[ ] 아니요

고지 사항: 이 질문은 일부 개발자에게만 적용됩니다. 이러한 요구 사항이 자신에게 적용되는지 확인하려면 구체적인 평가 양식을 참조해 주세요.

질문 3.1-22.g에서 '예'를 선택하는 경우 다음과 같은 질문이 표시됩니다.

3.1-22.g.i. 감사 로그에 대한 위험이나 손상으로 이어질 수 있는 일상적 보안 이벤트 또는 인시던트를 플랫폼 데이터를 저장하는 백엔드 환경에서 조사하는 방법을 명시한 서면 설명(예: 정책 또는 절차 문서)을 업로드하세요.

정책에서 이러한 조건이 설명되어 있는 부분을 강조하거나 동그라미로 표시해 주세요.

파일에 비밀번호를 설정하지 마세요. 여러 파일을 업로드할 수 있으며 각 파일의 용량 제한은 2GB입니다. .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip 및 .zipx 형식이 지원됩니다.

3.1-23. 플랫폼 데이터에 액세스할 권한이 있는 사람에 대한 보안 절차가 마련되어 있나요?

이러한 절차는 다음 중 하나 이상을 포함해야 합니다.

  • 플랫폼 데이터에 대한 액세스 권한을 얻기 전에 배경 조사 완료

  • 플랫폼 데이터에 대한 액세스 권한을 얻기 전에 기밀 유지 동의서에 서명하고, 신입 직원에게 정보 보안 정책과 절차에 대해 교육

  • 정기적이고 지속적인 보안 의식 개선 교육(즉, 매년)

  • 플랫폼 데이터에 액세스하는 특정 직무와 관련된 교육

  • 조직에서 퇴사하는 즉시 자산 반환(예: 노트북 또는 휴대폰)

[ ] 예

[ ] 아니요