Perguntas da Avaliação da Proteção dos Dados

As perguntas a seguir fazem parte da versão atualizada da Avaliação da Proteção dos Dados de 2024. Você notará que a numeração das perguntas é feita com base no número da versão correspondente. Por exemplo, para a versão 3.1, as perguntas serão numeradas como 3.1-1, 3.1-2 e assim por diante. Atualizamos continuamente nosso questionário para atender aos padrões do setor e para que os desenvolvedores possam receber perguntas diferentes dependendo de quando receberam a avaliação.

Instruções de uso:

1. Recomendamos que os administradores de apps analisem as perguntas com as respectivas equipes internas para confirmar que os apps cumprem os requisitos dos nossos Termos da Plataforma. Todos os administradores serão notificados sobre a exigência da Avaliação da Proteção dos Dados para cada app.

2. Aceitaremos apenas respostas em inglês. Se for necessário, você pode usar uma ferramenta de tradução da sua escolha para enviar a avaliação no idioma exigido.

3. Exibimos as perguntas nesta página apenas para sua conveniência. As informações necessárias variam entre os apps de acordo com os dados a que eles têm acesso. Se um app tiver acesso a determinados tipos de dados, talvez você também precise fornecer evidências que sustentem suas respostas.

4. Caso você já tenha iniciado a Avaliação da Proteção dos Dados ou esteja respondendo a perguntas dos nossos analistas, continue o que está fazendo e lembre-se de que as perguntas do seu processo atual podem ser diferentes das questões atualizadas mostradas aqui.

Uso de dados

3.1-1. O app usa Dados da Plataforma para desfavorecer determinadas pessoas (ou seja, algumas pessoas obtêm algo e outras não) com base em aspectos como raça, etnia, cor, nacionalidade, religião, idade, sexo, orientação sexual, identidade de gênero, status familiar, deficiência, condição médica ou genética?

• [ ] Sim
• [ ] Não

Se a resposta for "Sim", você precisará responder às seguintes perguntas adicionais:

3.1-1.a.A. Quais Dados da Plataforma o app usa para desfavorecer determinadas pessoas com base em aspectos como raça, etnia, cor, nacionalidade, religião, idade, sexo, orientação sexual, identidade de gênero, status familiar, deficiência, condição médica ou genética?

3.1-1.a.B. Como o app usa os Dados da Plataforma para desfavorecer determinadas pessoas com base em aspectos como raça, etnia, cor, nacionalidade, religião, idade, sexo, orientação sexual, identidade de gênero, status familiar, deficiência, condição médica ou genética?

3.1-1.a.C. Quando o app começou a usar os Dados da Plataforma dessa maneira?

3.1-2. O app usa Dados da Plataforma para tomar decisões sobre moradia, emprego, seguros, oportunidades educacionais, crédito, benefícios governamentais ou status imigratório?

Se a resposta for "Sim", você precisará responder às seguintes perguntas adicionais:

3.1-2.a.A. Quais Dados da Plataforma o app usa para tomar decisões sobre moradia, emprego, seguros, oportunidades educacionais, crédito, benefícios governamentais ou status imigratório?

3.1-2.a.B. Como o app usa os Dados da Plataforma para tomar decisões sobre moradia, emprego, seguros, oportunidades educacionais, crédito, benefícios governamentais ou status imigratório?

3.1-2.a.C. Quando o app começou a usar os Dados da Plataforma dessa maneira?

3.1-3. O app usa Dados da Plataforma para atividades relacionadas à vigilância? Vigilância inclui o tratamento de Dados da Plataforma sobre pessoas, grupos ou eventos para fins de segurança nacional ou de aplicação da lei.

Se você responder "Sim", faremos as seguintes perguntas adicionais:

3.1-3.a.A. Quais Dados da Plataforma o app usa para atividades relacionadas à vigilância?

3.1-3.a.B. Como o app usa os Dados da Plataforma para atividades relacionadas à vigilância?

3.1-3.a.C. Quando o app começou a usar os Dados da Plataforma para essa finalidade?

Compartilhamento de dados

3.1-4. Algumas das perguntas a seguir são sobre provedores e subprovedores de serviços. Um provedor de serviços é uma pessoa ou empresa que fornece serviços para ajudar você a usar a Plataforma ou os Dados da Plataforma. Um subprovedor de serviços é um provedor de serviços usado por outro para fornecer serviços relacionados aos Dados da Plataforma.

O Google Cloud e a Amazon Web Services (AWS) são exemplos de provedores de serviços grandes e conhecidos. No entanto, você também pode trabalhar com empresas menores para tratar ou usar Dados da Plataforma, como uma empresa local de desenvolvimento da web no seu país ou na sua região.

Você realiza alguma das ações a seguir?

Selecione todas as opções aplicáveis.

• a. Não compartilho Dados da Plataforma recebidos por meio deste app.
• b. Vender ou licenciar Dados da Plataforma a outra pessoa ou empresa, ou facilitar ou assistir terceiros a fazê-lo.
• c. Comprar Dados da Plataforma de outra pessoa ou empresa, ou facilitar ou assistir terceiros a fazê-lo.
• d. Compartilhar Dados da Plataforma para permitir que uma pessoa ou empresa forneça um serviço a você (um provedor de serviços).
• e. Compartilhar Dados da Plataforma para permitir que outra pessoa ou empresa (que não seja sua empresa) acesse e use a Plataforma ou os Dados da Plataforma.
• f. Compartilhar Dados da Plataforma sob orientação expressa de um usuário deste app.
• g. Compartilhar Dados da Plataforma para outros fins não especificados. Inclua uma explicação.

Se você selecionar a opção "b" na pergunta 3.1-4, mostraremos o seguinte:

3.1-4.a.A. Que tipos de Dados de Plataforma você vende ou licencia?

3.1-4.a.B. Quais permissões, recursos, funcionalidades ou outros canais o app usa para acessar e coletar os Dados da Plataforma?

3.1-4.a.C. Liste todos os nomes de entidades, empresas e terceiros para quem você está vendendo ou licenciando Dados da Plataforma a partir deste app e explique a finalidade do compartilhamento em cada caso.

3.1-4.a.D. Quando você começou a vender ou licenciar os Dados da Plataforma?

Se você selecionar a opção "d" na pergunta 3.1-4, mostraremos o seguinte:

3.1-4.b. Você afirmou acima que compartilha Dados da Plataforma com provedores de serviços. Marque as caixas abaixo para informar com quais provedores de serviços você compartilha os Dados da Plataforma. Nas perguntas subsequentes, será preciso descrever com quem você compartilha os Dados da Plataforma e explicar como e por que faz isso.

Observação: não liste os serviços ou produtos da Meta como provedores de serviços.

Selecione todas as opções aplicáveis. Caso você compartilhe Dados da Plataforma com mais de um provedor de serviços desta lista e outros não listados, selecione aqueles que se aplicam, bem como a opção "Outros". Por exemplo, você pode marcar "Apple", "Google" e "Outros" para representar todos seus provedores de serviços.

• a. Google (por exemplo: Play Store, Firebase, Cloud, AdMob, Analytics)
• b. Amazon (por exemplo: Amazon Web Services)
• c. Salesforce (por exemplo: Heroku, Marketing Cloud)
• d. Apple (por exemplo: App Store)
• e. Microsoft (por exemplo: App Center, Azure, Playfab)
• f. GitHub
• g. AppLovin (por exemplo: Adjust)
• h. Appsflyer
• i. Stripe
• j. Twilio (por exemplo: Segment, SendGrid)
• k. Outro (será preciso carregar uma lista)

Se você selecionar a opção "k" na pergunta 3.1-4.b, mostraremos o seguinte:

3.1-4.b.i. Carregue um arquivo CSV ou Excel incluindo todos os provedores de serviços com os quais você compartilha Dados da Plataforma, além daqueles indicados na lista acima. Verifique se os arquivos não estão protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar a opção "d" na pergunta 3.1-4 e a opção "k" na pergunta 3.1-4.b, mostraremos o seguinte:

3.1-4.c. Você tem um acordo por escrito com cada um dos provedores de serviços com os quais compartilha Dados da Plataforma exigindo que eles, e cada um dos subprovedores (se houver), usem os Dados da Plataforma somente sob sua orientação e apenas para fornecer o serviço solicitado – não para fins próprios nem para beneficiar os próprios clientes?

Um acordo por escrito pode incluir Termos de Serviço, um acordo padrão não negociado ou um contrato assinado. Por exemplo, ao usar o Google Cloud como provedor de serviços, o acordo por escrito são os Termos de Serviço com os quais você concorda.

[ ] Sim [ ] Não

Se você responder "Sim", mostraremos o seguinte:

3.1-4.c.i. Marque as caixas abaixo para indicar o tipo de texto presente nos seus acordos de dados por escrito firmados com provedores de serviços. Selecione todas as opções aplicáveis.

a. Texto exigindo que os provedores de serviços usem apenas os Dados da Plataforma para fornecer o serviço solicitado por você.

b. Texto exigindo que os provedores de serviços usem apenas os Dados da Plataforma conforme instruído por você.

c. Texto proibindo os provedores de serviços de compartilhar Dados da Plataforma com terceiros, a menos que isso tenha sido instruído por você.

d. Texto proibindo os provedores de serviços de processar Dados da Plataforma para fins próprios ou para terceiros.

e. Texto exigindo que os provedores de serviços excluam os Dados da Plataforma recebidos de você quando o uso do serviço for encerrado.

3.1-4.c.iv. Você está ciente de alguma situação em que seus provedores ou subprovedores de serviços (se houver) tenham agido de maneira inconsistente com os Termos da Plataforma da Meta, como vender Dados da Plataforma ou não excluir Dados da Plataforma depois de você ter encerrado o uso dos serviços fornecidos por eles?

[ ] Sim [ ] Não

3.1-4.c.v. Se você parar de usar um provedor ou subprovedor de serviços, os acordos firmados com ele (como os Termos de Serviço) especificam como e quando é preciso excluir os dados fornecidos por você?

[ ] Sim [ ] Não

Se você selecionar "Não" na pergunta 3.1-4.c.v, mostraremos o seguinte:

3.1-4.c.vi. Se você parar de usar um provedor ou subprovedor de serviços, que medidas serão tomadas para garantir que ele exclua os Dados da Plataforma fornecidos por você?

Se você selecionar a opção "e" na pergunta 3.1-4, mostraremos o seguinte:

3.1-4.d. As próximas perguntas são sobre Provedores de Tecnologia, que são desenvolvedores de apps cujo objetivo principal é gerenciar integrações da Plataforma em nome de clientes para que eles possam acessar e gerenciar os próprios dados em produtos da Meta. Exemplos de Provedores de Tecnologia incluem provedores e agências de SaaS (software como serviço).

• Definição de Provedor de Tecnologia: um indivíduo ou uma empresa que recebeu acesso às APIs da Meta com a finalidade de criar, manter e remover integrações em nome de outros indivíduos ou empresas. Isso inclui indivíduos ou empresas que criam uma integração em nome de um cliente único ou de vários clientes.

Você afirmou acima que este app permite que pessoas ou empresas (clientes) acessem e usem os Dados da Plataforma. Isso significa que você é um Provedor de Tecnologia.

Você trata os Dados da Plataforma que recebe por meio deste app apenas em nome e sob a instrução dos seus clientes? [ ] Sim [ ] Não

Se você selecionar "Não" na pergunta 3.1-4.d, mostraremos o seguinte:

3.1-4.d.i.A. Além de tratar os Dados da Plataforma sob a instrução e em nome do seu cliente, para quem mais você faz isso?

3.1-4.d.i.B. Quais Dados da Plataforma você está tratando para essa pessoa ou empresa?

3.1-4.d.i.C. Por que você está tratando Dados da Plataforma para essa pessoa ou empresa?

3.1-4.d.i.D. Quando você começou a tratar esses Dados da Plataforma?

3.1-4.d.i.E. Como você trata esses Dados da Plataforma?

3.1-4.e. Você mantém os Dados da Plataforma de cada um dos seus clientes separados dos dados de outros clientes e dos dados que você mantém para seus próprios fins (seja de forma física ou lógica, como em tabelas específicas)?

[ ] Sim [ ] Não

Se você selecionar "Não" na pergunta 3.1-4.e, mostraremos o seguinte:

3.1-4.f. Você afirmou que compartilha Dados da Plataforma em circunstâncias diferentes das especificadas nas perguntas anteriores. Descreva os dados que você compartilha nessas circunstâncias.

• Onde os dados são armazenados?
• Como você armazena e protege os dados?
• Quem tem acesso?
• Como você controla o acesso?

Caso você selecione a opção "Outro (insira uma explicação), mostraremos o seguinte:

• Você afirmou que compartilha Dados da Plataforma em circunstâncias diferentes das especificadas nas perguntas anteriores. Descreva os dados que você compartilha nessas circunstâncias.

Inclua respostas para estas perguntas:

• Além dos usuários individuais deste app ou site, com quem mais você compartilha esses dados?
• Como os dados são compartilhados?
• Quando você começou a compartilhar dados com a(s) entidade(s) que mencionou?
• Os dados ainda estão sendo compartilhados?

3.1-4.f.i. Para Dados da Plataforma compartilhados nas circunstâncias adicionais mencionadas, você tem um acordo por escrito com os destinatários que os proíbe de usar os Dados da Plataforma de uma forma que viole os Termos da Plataforma da Meta e as Políticas do Desenvolvedor (ou quaisquer outros termos que se apliquem ao seu uso dos Dados da Plataforma)?

Exemplos de um acordo escrito incluem Termos de Serviço, um acordo padrão não negociado ou um contrato assinado.

[ ] Sim [ ] Não

3.1-4.g. Até onde você sabe, algum desses destinatários dos Dados da Plataforma violou os Termos da Plataforma da Meta? Por exemplo, ao vender, licenciar ou comprar Dados da Plataforma.

[ ] Sim [ ] Não

Se você selecionar "Sim" na pergunta 3.1-4.g, mostraremos o seguinte:

3.1-4.g.i. Você afirmou acima que os destinatários dos Dados da Plataforma violaram os Termos da Plataforma da Meta. Forneça mais informações.

Se você selecionar a opção "f" na pergunta 3.1-4, mostraremos o seguinte:

3.1-4.i.A. Você afirmou acima que disponibiliza os Dados da Plataforma que recebe por meio deste app para outras pessoas ou empresas quando os usuários fornecem a orientação de compartilhamento.

Descreva como os usuários orientam você a compartilhar Dados da Plataforma com outra pessoa ou empresa.

3.1-4.i.B. Carregue capturas de tela que mostram o fluxo de consentimento para tal compartilhamento. Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Exclusão de dados

3.1-5. Você excluiria os Dados da Plataforma em TODAS as circunstâncias mencionadas a seguir, exceto quando a retenção for permitida com base nos nossos Termos?

a. Quando os Dados da Plataforma já não são mais necessários para uma finalidade comercial legítima.

b. Quando for solicitado por um usuário.

c. Quando um usuário não tiver mais uma conta no seu app (aplicável apenas se você oferecer contas de usuário).

d. Quando for solicitado pela Meta.

e. Quando for exigido por lei ou regulamento.

Com relação a essa pergunta, "Dados da Plataforma" não inclui os dados listados em "Exceções" no item 3.e dos Termos da Plataforma. Consulte o item 3.d dos Termos da Plataforma sobre retenção, exclusão e acessibilidade dos Dados da Plataforma para entender os nossos requisitos de exclusão. Em determinadas circunstâncias, a exclusão não será necessária se os Dados da Plataforma tiverem sido agregados, obscurecidos ou desidentificados para que não possam ser associados a um usuário, navegador ou dispositivo específico. É permitido manter dados agregados e anônimos para fins comerciais que estejam alinhados com uma experiência do usuário como cobrança, por exemplo.

• [ ] Sim
• [ ] Não

Se você selecionar "Não" na pergunta 3.1-5, mostraremos o seguinte:

3.1-5.a. Em qual das circunstâncias mencionadas acima você NÃO excluiria os Dados da Plataforma? Por quê?

3.1-6. Nas circunstâncias mencionadas acima, você toma medidas para excluir os Dados da Plataforma assim que seja razoavelmente possível?

A noção de "razoavelmente possível" pode depender dos sistemas e dados. No entanto, em geral, não deve exceder 120 dias. Essa pergunta se aplica apenas aos Dados da Plataforma, e não aos dados que são coletados ou armazenados por este app de forma independente.

Isso não se aplica aos Dados da Plataforma que você deve manter com base em uma lei ou um regulamento aplicável.

• [ ] Sim
• [ ] Não

Sob quais condições você reteria os Dados da Plataforma por mais de 120 dias? Observação: isso não se aplica aos Dados da Plataforma que você deve manter com base em uma lei ou um regulamento aplicável.

Se você selecionar "Não" na pergunta 3.1-6, mostraremos o seguinte:

3.1-6.a. Sob quais condições você reteria os Dados da Plataforma por mais de 120 dias?

Observação: isso não se aplica aos Dados da Plataforma que você deve manter com base em uma lei ou um regulamento aplicável.

Se você selecionar "Sim" na pergunta 3.1-5, mostraremos o seguinte:

3.1-5.b. Você afirmou acima que exclui Dados da Plataforma quando eles não são mais necessários para uma finalidade comercial legítima. Descreva como você define que os Dados da Plataforma não são mais necessários para tal finalidade.

Com relação a essa pergunta, "Dados da Plataforma" não inclui os dados listados no item 3.e dos Termos da Plataforma.

3.1-5.c. Você afirmou acima que exclui os Dados da Plataforma quando um usuário solicita essa ação. Descreva como os usuários podem solicitar que os dados deles sejam excluídos. Se aplicável, inclua capturas de tela.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Com relação a essa pergunta, "Dados da Plataforma" não inclui os dados listados no item 3.e dos Termos da Plataforma.

Segurança de dados

3.1-A. De acordo com o item 6.a.i dos Termos da Plataforma, a Meta exige que você mantenha proteções administrativas, físicas e técnicas projetadas para impedir qualquer acesso não autorizado, destruição, perda, alteração, divulgação, distribuição ou comprometimento dos Dados da Plataforma.

Leia o artigo Developer Data Security Best Practices e as perguntas frequentes para saber mais.

Importante: consulte as pessoas certas antes de responder ao próximo conjunto de perguntas. Isso deve incluir seu Diretor de Segurança da Informação, uma pessoa com função equivalente na sua organização ou uma empresa de segurança cibernética qualificada (por exemplo, uma empresa que tenha pelo menos 5 anos de experiência na condução de auditorias ISO 27001) para garantir a precisão das respostas fornecidas.

Marque "Estou ciente" para continuar a avaliação.

[ ] Estou ciente.

3.1-B. Lembre-se de que esta é a definição de "Dados da Plataforma" no nosso glossário dos Termos da Plataforma: "quaisquer informações, dados ou outro conteúdo que você recebe de nós, por meio da Plataforma ou do seu App, direta ou indiretamente, e antes, depois ou na data em que você aceita estes Termos, incluindo dados anonimizados, agregados ou derivados desses dados. Dados da Plataforma incluem tokens de apps, de páginas, de acesso e de usuários e chaves secretas de apps".

Para evitar dúvidas, isso inclui dados como número de identificação do usuário, endereço de email e todos os dados que você recebe de chamadas da API para graph.facebook.com.

Para responder às perguntas a seguir, é preciso ter uma compreensão abrangente de como os Dados da Plataforma da Meta relacionados a este app são transmitidos, armazenados e tratados no software e nos sistemas usados por você.

A pergunta se aplica a todas as permissões, recursos e funcionalidades deste app. Para ver permissões, recursos e funcionalidades, visite o painel do app. Você pode acessar o painel selecionando o app na página "Meus apps".

Selecione "Estou ciente" para continuar.

[ ] Estou ciente.

3.1-7. Caso você tenha uma certificação de segurança da informação que atenda a todos os critérios a seguir, envie-a como prova de que proteções administrativas, físicas e técnicas suficientes foram implementadas para proteger os Dados da Plataforma:

• O tipo de certificação deve ser SOC 2, ISO 27001, ISO 27018 ou um equivalente.
• A emissão da certificação por um auditor independente precisa ser feita para sua organização, e não para um terceiro.
• A certificação deve estar válida – um certificado SOC 2 emitido no último ano ou ISO emitido nos últimos três anos.
• O escopo da auditoria deve cobrir todos os sistemas usados para tratar os Dados da Plataforma da Meta.

Você tem uma certificação de segurança que atende a esses critérios?

[ ] Sim [ ] Não

Se você selecionar "Sim" na pergunta 3.1-7, mostraremos o seguinte:

3.1-7.a. Quais certificações de segurança de dados você possui? Selecione todas as opções aplicáveis. *[ ] Relatório SOC2 Tipo 2 *[ ] Certificado ISO 27001 *[ ] Certificado ISO 27018 *[ ] Outra certificação equivalente *Se você selecionar a opção "Outra certificação equivalente", mostraremos o seguinte: *Qual é o nome dessa certificação de segurança?

3.1-7.a.i.B. Carregue uma cópia do seu certificado. Verifique se os arquivos não estão protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar a opção "d" na pergunta 3.1-7.a, mostraremos o seguinte:

3.1-7.a.i.A. Qual é o nome dessa certificação de segurança?

3.1-8. Você armazena Dados da Plataforma no seu ambiente de back-end (por exemplo, bancos de dados, buckets de armazenamento de objetos ou armazenamento em bloco na nuvem ou outro tipo de ambiente hospedado)?

Selecione "Sim" caso você grave Dados da Plataforma em qualquer armazenamento persistente em um ambiente de back-end, seja nuvem ou servidor, que retenha dados após o dispositivo ser desligado, como em disco, arquivos de registro ou bancos de dados acessíveis por meio de um site ou de uma API.

Selecione "Não" caso você execute uma das seguintes ações:

• Processar exclusivamente Dados da Plataforma em clientes pertencentes a usuários finais do seu app e nunca transmitir esses dados para qualquer ambiente de back-end.

• Processar Dados da Plataforma em um ambiente de back-end, mas nunca gravar esses dados em um armazenamento persistente.

• [ ] Sim

• [ ] Não

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-8.a. Na pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Quais destes tipos de Dados da Plataforma você armazena no seu ambiente de back-end? Selecione todas as opções aplicáveis.

• "Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

• "Armazenar" refere-se à gravação de Dados da Plataforma em qualquer ambiente que retenha dados após o desligamento da energia (por exemplo, arquivos de registro, bancos de dados de objetos ou relacionais ou discos).

a. Número de identificação do usuário da Meta ou número de identificação do usuário convertido em hash

b. Endereço de email

c. Foto do perfil

d. Token de acesso do usuário da API da Meta

e. Chave secreta do app

f. Outros Dados da Plataforma não listados acima

3.1-8.b. Quais destas soluções de hospedagem você usa para processar Dados da Plataforma no seu ambiente de back-end?

• "Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

Selecione todas as opções aplicáveis.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba/Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Um data center de outra organização com servidores pertencentes a minha organização

k. Data center e servidores pertencentes a minha organização

l. Outros

Se você selecionar a opção "l" na pergunta 3.1-8.b, mostraremos o seguinte:

3.1-8.b.i. Na pergunta anterior você selecionou "Outro" para indicar que usa uma opção de hospedagem não listada. Descreva sua abordagem de hospedagem do ambiente de back-end.

Se você selecionar a opção "b", "c", "d", "e", ou "f" na pergunta 3.1-8.a e a opção "c","h", "i", "j", "k" ou "l" na pergunta 3.1-8.b, mostraremos o seguinte:

3.1-9.a. Você usa criptografia em repouso para todos os Dados da Plataforma armazenados no seu back-end?

A criptografia em repouso protege os Dados da Plataforma, tornando-os indecifráveis sem usar uma chave de descriptografia. Isso proporciona uma camada adicional de proteção contra acesso de leitura não autorizado. Caso você armazene Dados da Plataforma em um ambiente de back-end, exigiremos que eles sejam protegidos com criptografia em repouso ou com uma proteção alternativa aceitável.

Alguns provedores de hospedagem habilitam a criptografia em repouso por padrão ou têm opções de configuração para habilitá-la. Antes de responder a esta pergunta, verifique se a criptografia em repouso é aplicada aos serviços que você usa para armazenar os Dados da Plataforma. Se for o caso, responda "Sim".

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não, mas nossos provedores de hospedagem possuem uma certificação SOC 2 ou ISO 27001, indicando que a segurança física e os controles seguros de descarte de mídia utilizados foram avaliados por terceiros.

[ ] Não

Se você selecionar a opção "b", "c", "d", "e" ou "f" na pergunta 3.1-8.a e não selecionar a opção "c", "h", "i", "j", "k" nem "l" na pergunta 3.1-8.b, mostraremos o seguinte:

3.1-9.b. Você aplica criptografia em repouso para todos os Dados da Plataforma armazenados no seu ambiente de back-end?

Alguns provedores de hospedagem habilitam a criptografia em repouso por padrão ou têm opções de configuração para habilitá-la. Antes de responder a esta pergunta, verifique se a criptografia em repouso é aplicada aos serviços que você usa para armazenar os Dados da Plataforma. Se for o caso, responda "Sim".

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-9.a ou "Sim" na pergunta 3.1-9.b, mostraremos o seguinte:

3.1-9.b.i. Você afirmou na pergunta anterior que aplica a criptografia em repouso para todos os Dados da Plataforma armazenados no seu ambiente de back-end. Inclua uma explicação por escrito (por exemplo, um documento de política ou procedimento) afirmando que todos os Dados da Plataforma armazenados no seu ambiente de back-end devem ser protegidos com criptografia em repouso.

Caso os dados sejam categorizados e protegidos de uma maneira diferente de acordo com um conjunto de níveis de sensibilidade, sua explicação deverá indicar claramente qual nível de sensibilidade é atribuído aos Dados da Plataforma recebidos da Meta, e você precisará carregar as políticas relevantes.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-9.b.ii. Carregue pelo menos uma evidência (por exemplo, uma captura de tela de uma instância do banco de dados) que mostre como você implementa esta proteção na prática: todos os Dados da Plataforma armazenados no seu ambiente de back-end são protegidos com criptografia em repouso.

Verifique se os arquivos não estão protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Não" na pergunta 3.1-9.a, mostraremos o seguinte:

3.1-9.c.i. Que tipo de evidência você possui que demonstra que os controles de segurança física e descarte seguro de mídia do seu provedor de hospedagem foram avaliados?

Para mostrar que está seguindo os Termos da Plataforma da Meta, você deve confirmar que a auditoria ISO 27001 ou SOC 2 do seu provedor de hospedagem incluía controles de segurança física e descarte seguro de mídia. Nos padrões ISO/IEC 27001:2013 ou 2017, são os controles A.8.3, A.11.1 e A.11.2. No padrão SOC 2, são os controles CC6.4 e CC6.5.

a. Uma auditoria ISO 27001 do meu provedor de hospedagem, em que a Declaração de Aplicabilidade (SOA, pelas iniciais em inglês) associada afirma que os controles de segurança física e descarte seguro de mídia foram avaliados.

b. Um relatório de auditoria SOC 2 que afirma que os controles de segurança física e descarte seguro de mídia foram testados e não houve resultados adversos relacionados a eles.

c. Nenhuma das opções anteriores.

Se você selecionar a opção "a" ou "b" na pergunta 3.1-9.c.i, mostraremos o seguinte:

3.1-9.c.ii. Em que data foi emitido o certificado ISO 27001 ou SOC 2 do seu provedor de hospedagem?

3.1-10. Alguma pessoa na sua organização armazena Dados da Plataforma em pontos de extremidade organizacionais ou dispositivos pessoais (por exemplo, em notebooks ou smartphones)?

"Armazenar" refere-se à gravação de Dados da Plataforma em qualquer ambiente que retenha dados após o desligamento da energia, como notebooks, unidades USB, discos rígidos removíveis e serviços de armazenamento na nuvem, como Dropbox ou Google Drive.

Observação: os Dados da Plataforma que persistem em clientes web ou móveis para usuários individuais do seu serviço não estão no escopo desta pergunta.

• [ ] Sim Uma ou mais pessoas na minha organização armazenam Dados da Plataforma nos respectivos dispositivos organizacionais ou pessoais.
• [ ] Não. Sob nenhuma circunstância alguém na minha organização armazena Dados da Plataforma em dispositivos organizacionais ou pessoais.

Se você selecionar "Sim" na pergunta 3.1-10, mostraremos o seguinte:

3.1-10.a. Quando as pessoas na sua organização armazenam Dados da Plataforma em pontos de extremidade organizacionais ou dispositivos pessoais, qual destas proteções você implementa para reduzir o risco de perda de dados?

Exigimos que você implemente proteções para reduzir o risco de acesso aos Dados da Plataforma quando eles forem armazenados em repouso.

Selecione todas as opções aplicáveis.

a. Software ou serviço que impõe criptografia completa de disco em dispositivos organizacionais (por exemplo, Bitlocker ou FileVault).

b. Software de prevenção contra perda de dados (DLP, pelas iniciais em inglês) para pontos de extremidade em todos os dispositivos gerenciados a fim de monitorar e registrar ações relacionadas aos Dados da Plataforma armazenados.

c. As pessoas na minha organização são obrigadas a seguir uma política de uso aceitável que só permitirá o processamento de Dados da Plataforma se houver uma finalidade comercial clara e prática e que declara que os dados devem ser excluídos quando a finalidade comercial deixar de existir.

d. Nenhuma das opções anteriores.

Se você selecionar a opção "a" ou "b" na pergunta 3.1-10.a, mostraremos o seguinte:

3.1-10.a.i. Na pergunta anterior, você afirmou que protege os Dados da Plataforma armazenados em dispositivos organizacionais ou pessoais implementando criptografia completa de disco nesses dispositivos ou com software de prevenção contra perda de dados (DLP) para pontos de extremidade. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você implementa essa proteção técnica.

Caso os dados sejam categorizados e protegidos de uma maneira diferente de acordo com um conjunto de níveis de sensibilidade, sua explicação deverá indicar claramente qual nível de sensibilidade é atribuído aos Dados da Plataforma recebidos da Meta, e você precisará carregar as políticas relevantes.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar a opção "a" ou "b" na pergunta 3.1-10.a, mostraremos o seguinte:

3.1-10.a.ii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou captura de tela do seu app) que mostre como você implementa esta proteção na prática: proteções técnicas para Dados da Plataforma armazenados em dispositivos organizacionais ou pessoais. [Pergunta principal]

Por exemplo:

• Uma captura de tela de uma Política de Grupo que exige que o BitLocker esteja habilitado para dispositivos gerenciados.

• Uma captura de tela de uma ferramenta de gerenciamento para DLP que mostra que o monitoramento de dados PII está habilitado para todos os pontos de extremidade.

• Uma captura de tela de outra ferramenta ou produto que seus administradores de TI usam para impor o uso de proteções técnicas em todos os dispositivos organizacionais.

• Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar apenas a opção "c" na pergunta 3.1-10.a, mostraremos o seguinte:

3.1-10.a.iii. Em uma pergunta anterior, você afirmou que as pessoas na sua organização são obrigadas a seguir uma política de uso aceitável quando armazenam Dados da Plataforma em dispositivos organizacionais ou pessoais. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) contendo sua política de uso aceitável.

A política precisa descrever claramente o seguinte:

• As finalidades comerciais permitidas para o processamento de Dados da Plataforma em dispositivos organizacionais ou pessoais.

• Um requisito para excluir os dados quando essa finalidade não existir mais.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar apenas a opção "c" na pergunta 3.1-10.a, mostraremos o seguinte:

3.1-10.a.iv. Confirmo que todas as pessoas na minha organização que podem processar Dados da Plataforma em dispositivos organizacionais ou pessoais: foram informadas sobre a política de uso aceitável para estes dados; confirmaram que compreendem a política em questão; foram informadas sobre a política como parte da integração como novos funcionários.

[ ] Confirmo.

[ ] Não confirmo.

Se você selecionar "Sim" na pergunta 3.1-8 e "Não" na pergunta 3.1-10, mostraremos o seguinte:

3.1-10.b. Na pergunta anterior, você afirmou que sob nenhuma circunstância alguém na sua organização armazena Dados da Plataforma em dispositivos organizacionais ou pessoais.

Você informou às pessoas da sua organização que o armazenamento de Dados da Plataforma em dispositivos organizacionais ou pessoais não é permitido sob nenhuma circunstância e exigiu que elas confirmassem estar cientes dessa obrigação?

"Armazenar" refere-se à gravação de Dados da Plataforma em qualquer ambiente que retenha dados após o desligamento da energia, como notebooks, unidades USB, discos rígidos removíveis e serviços de armazenamento na nuvem, como Dropbox ou Google Drive.

Nossas políticas exigem que você informe todas as pessoas na organização, incluindo usuários com altos privilégios, como administradores, de que o armazenamento de Dados da Plataforma não é permitido.

[ ] Sim

[ ] Não

Se você selecionar "Não" na pergunta 3.1-8 e "Não" na pergunta 3.1-10, mostraremos o seguinte:

3.1-10.c. Na pergunta anterior, você afirmou que sob nenhuma circunstância alguém na sua organização armazena Dados da Plataforma em dispositivos organizacionais ou pessoais.

Você informou às pessoas da sua organização que o armazenamento de Dados da Plataforma em dispositivos organizacionais ou pessoais não é permitido sob nenhuma circunstância e exigiu que elas confirmassem estar cientes dessa obrigação?

"Armazenar" refere-se à gravação de Dados da Plataforma em qualquer ambiente que retenha dados após o desligamento da energia, como notebooks, unidades USB, discos rígidos removíveis e serviços de armazenamento na nuvem, como Dropbox ou Google Drive.

Nossas políticas exigem que você informe todas as pessoas na organização, incluindo usuários com altos privilégios, como administradores, de que o armazenamento de Dados da Plataforma não é permitido.

[ ] Sim

[ ] Isso não é necessário porque os Dados da Plataforma nunca estão acessíveis às pessoas da minha organização.

[ ] Não

Se você selecionar "Sim" nas perguntas 3.1-10.b ou 3.1-10.c, mostraremos o seguinte:

3.1-10.c.i. Em uma pergunta anterior, você afirmou que sob nenhuma circunstância as pessoas da sua organização armazenam Dados da Plataforma em dispositivos organizacionais ou pessoais. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva que as pessoas na sua organização não devem armazenar Dados da Plataforma nesses dispositivos.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" nas perguntas 3.1-10.b ou 3.1-10.c, mostraremos o seguinte:

3.1-10.c.ii. Confirmo que todas as pessoas na minha organização:

Foram informadas da política que as proíbe de armazenar Dados da Plataforma em dispositivos organizacionais ou pessoais

Confirmaram a compreensão da política

Foram informadas sobre a política como parte da integração como novos funcionários

[ ] Confirmo.

[ ] Não confirmo.

Se você selecionar "Não" na pergunta 3.1-8 e "Não" na pergunta 3.1-10, mostraremos o seguinte:

3.1-10.d. Carregue um diagrama de fluxo de dados e uma descrição de como seu app usa os Dados da Plataforma.

Inclua os seguintes detalhes:

Mostre como seu app faz chamadas às APIs da Meta, como graph.facebook.com, e identifique todos os componentes que usam Dados da Plataforma, incluindo aqueles que armazenam, armazenam em cache, processam ou transferem Dados da Plataforma entre redes.

Descreva os principais casos de uso (ou seja, fluxos que fornecem resultados valiosos aos usuários do seu app) aceitos por você.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-11.a. Você habilita o protocolo de segurança TLS 1.2 ou uma versão posterior para criptografar dados para todas as conexões de rede que se conectam, cruzam ou passam por redes públicas em que são transmitidos Dados da Plataforma?

A criptografia em trânsito protege os Dados da Plataforma quando são transmitidos por redes não confiáveis (por exemplo, a internet), tornando-os indecifráveis, exceto para os dispositivos de origem e de destino. As partes no meio da transmissão não devem ser capazes de ler os Dados da Plataforma mesmo que possam ver o tráfego da rede (como em um ataque man-in-the-middle). O TLS é a forma mais usada de criptografia em trânsito porque é a tecnologia que os navegadores usam para proteger as comunicações com sites de bancos, por exemplo.

Exigimos que todos os listeners da web (por exemplo, balanceadores de carga voltados para a internet) que recebem ou retornam Dados da Plataforma habilitem o TLS 1.2 ou uma versão posterior. O TLS 1.0 e o TLS 1.1 podem ser usados somente para compatibilidade com dispositivos clientes que não aceitam o TLS 1.2 ou uma versão posterior. Recomendamos, mas não exigimos, que a criptografia em trânsito seja aplicada às transmissões de Dados da Plataforma que estejam completamente dentro de redes privadas confiáveis controladas por você, como dentro de uma Virtual Private Cloud (VPC). Para obter mais informações sobre esse requisito e saber como carregar as evidências necessárias, consulte o documento Requisitos de segurança de dados.

[ ] Sim

[ ] Não

Se você selecionar "Não" na pergunta 3.1-8, mostraremos o seguinte:

3.1-11.b. Você habilita o protocolo de segurança TLS 1.2 ou uma versão posterior para criptografar dados em todas as conexões de rede que se conectam, cruzam ou passam por redes públicas em que os Dados da Plataforma são transmitidos?

A criptografia em trânsito protege os Dados da Plataforma quando são transmitidos por redes não confiáveis (por exemplo, a internet), tornando-os indecifráveis, exceto para os dispositivos de origem e de destino. As partes no meio da transmissão não devem ser capazes de ler os Dados da Plataforma mesmo que possam ver o tráfego da rede (como em um ataque man-in-the-middle). O TLS é a forma mais usada de criptografia em trânsito porque é a tecnologia que os navegadores usam para proteger as comunicações com sites de bancos, por exemplo.

Exigimos que todos os listeners da web (por exemplo, balanceadores de carga voltados para a internet) que recebem ou retornam Dados da Plataforma habilitem o TLS 1.2 ou uma versão posterior. O TLS 1.0 e o TLS 1.1 podem ser usados somente para compatibilidade com dispositivos clientes que não aceitam o TLS 1.2 ou uma versão posterior. Recomendamos, mas não exigimos, que a criptografia em trânsito seja aplicada às transmissões de Dados da Plataforma que estejam completamente dentro de redes privadas confiáveis controladas por você, como dentro de uma Virtual Private Cloud (VPC). Para obter mais informações sobre esse requisito e saber como carregar as evidências necessárias, consulte o documento Requisitos de segurança de dados.

[ ] Sim

[ ] Isso não é necessário. Nunca transmitimos Dados da Plataforma pela internet por qualquer motivo que não seja solicitações diretas à Meta.

[ ] Não

Se você selecionar "Sim" nas perguntas 3.1-11.a ou 3.1-11.b, mostraremos o seguinte:

3.1-11.c. Na pergunta anterior, você afirmou que habilita o protocolo de segurança TLS 1.2 ou uma versão posterior para criptografar dados em trânsito. Você garante que os Dados da Plataforma nunca sejam transmitidos por redes públicas de forma não criptografada (por exemplo, via HTTP ou FTP) e que os protocolos de segurança SSL 2.0 e SSL 3.0 nunca sejam usados?

Exigimos que os Dados da Plataforma nunca sejam transmitidos através de redes não confiáveis de forma não criptografada. Também não é permitido usar os protocolos SSL 2.0 ou SSL 3.0. Para obter mais informações sobre esse requisito e saber como carregar as evidências necessárias, consulte nossos requisitos de segurança de dados.

[ ] Sim

[ ] Não

Se você selecionar "Sim" nas perguntas 3.1-11.a ou 3.1-11.b, mostraremos o seguinte:

3.1-11.a.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você habilita o protocolo de segurança TLS 1.2 ou uma versão posterior para dados em trânsito.

O documento deve incluir as seguintes afirmações: 1. Os Dados da Plataforma nunca são transmitidos sem criptografia em trânsito; 2. O protocolo SSL nas versões 2 e 3 nunca é usado.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" nas perguntas 3.1-11.a ou 3.1-11.b, mostraremos o seguinte:

3.1-11.a.ii. Carregue pelo menos uma evidência (por exemplo, uma captura de tela cheia dos resultados de um relatório Qualys SSL sobre um dos seus domínios da web) que mostre como você implementa esta proteção na prática: habilitar o protocolo de segurança TLS 1.2 ou uma versão posterior para dados em transito. [Pergunta principal]

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Não" na pergunta 3.1-8, mostraremos o seguinte:

3.1-12.a. Nos últimos 12 meses, quais das seguintes abordagens você usou para testar o software usado para processar Dados da Plataforma em busca de vulnerabilidades e problemas de segurança?

Esta pergunta refere-se apenas ao software ou pacote (por exemplo, bibliotecas de códigos) criado por você para processar Dados da Plataforma, e não ao software desenvolvido ou mantido por outras empresas (por exemplo, sistemas operacionais Android ou iOS).

Selecione todas as opções aplicáveis.

a. Teste estático de segurança de apps (SAST, pelas iniciais em inglês).

b. Teste dinâmico de segurança de apps (DAST, pelas iniciais em inglês).

c. Teste de intrusão realizado por uma equipe interna.

d. Teste de intrusão realizado por uma empresa de segurança externa.

e. Relatórios de vulnerabilidade disponibilizados por pesquisadores externos que foram obtidos por meio de um programa de divulgação de vulnerabilidades (VDP, pelas iniciais em inglês) ou do programa Bug Bounty.

f. Outra abordagem para identificar vulnerabilidades.

g. Nenhuma das opções anteriores.

Se você selecionar qualquer uma das opções "a" - "g" na pergunta 3.1-12.a, mostraremos o seguinte:

3.1-12.a.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você testa o software usado para processar Dados da Plataforma em busca de vulnerabilidades e problemas de segurança.

Os seguintes procedimentos de teste devem ser incluídos na sua explicação por escrito:

1. Fazer testes em busca de vulnerabilidades de segurança pelo menos uma vez a cada 12 meses.

2. Ter um processo para fazer a triagem das descobertas com base na gravidade.

3. Garantir que vulnerabilidades de alta gravidade, que podem levar ao acesso não autorizado a Dados da Plataforma, sejam corrigidas em tempo hábil.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "a" - "f" na pergunta 3.1-12.a, mostraremos o seguinte:

3.1-12.a.ii. Carregue pelo menos uma evidência (por exemplo, um resumo do resultado de um teste de intrusão recente) que mostre como você implementa esta proteção na prática: testar o software que você usa para processar Dados da Plataforma em busca de vulnerabilidades e problemas de segurança.

Os seguintes detalhes devem ser incluídos nas suas evidências: 1. Uma explicação do âmbito e da metodologia do teste; 2. A data em que a atividade de teste ocorreu (para ser considerada aceitável, não pode representar mais de 12 meses antes da data em que notificamos você sobre esta avaliação); 3. Se aplicável, um resumo das vulnerabilidades críticas não corrigidas e de gravidade alta.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-12.b. Nos últimos 12 meses, qual das seguintes abordagens você usou para testar vulnerabilidades e problemas de segurança no ambiente de back-end usado para processar Dados da Plataforma?

Esta pergunta refere-se apenas ao software ou pacote (por exemplo, bibliotecas de códigos) criado por você para processar Dados da Plataforma, e não ao software desenvolvido ou mantido por outras empresas (por exemplo, um serviço de análise de um Provedor de Serviços).

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

Selecione todas as opções aplicáveis.

a. Teste estático de segurança de apps (SAST, pelas iniciais em inglês).

b. Teste dinâmico de segurança de apps (DAST, pelas iniciais em inglês).

c. Verificação da web.

d. Teste de intrusão realizado por uma equipe interna.

e. Teste de intrusão realizado por uma empresa de segurança externa.

f. Relatórios de vulnerabilidade disponibilizados por pesquisadores externos que foram obtidos por meio de um programa de divulgação de vulnerabilidades (VDP, pelas iniciais em inglês) ou do programa Bug Bounty.

g. Outra abordagem para identificar vulnerabilidades.

h. Isso não é necessário porque minha organização usa uma solução de back-end sem código.

i. Nenhuma das opções anteriores.

Se você selecionar qualquer uma das opções "a" - "g" na pergunta 3.1-12.b, mostraremos o seguinte:

3.1-12.b.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você testa vulnerabilidades e problemas de segurança no ambiente de back-end usado para processar Dados da Plataforma.

Os seguintes procedimentos de teste devem ser incluídos na sua explicação por escrito:

1. Fazer testes em busca de vulnerabilidades de segurança pelo menos uma vez a cada 12 meses.

2. Ter um processo para fazer a triagem das descobertas com base na gravidade.

3. Garantir que vulnerabilidades de alta gravidade, que podem levar ao acesso não autorizado a Dados da Plataforma, sejam corrigidas em tempo hábil.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "a" - "g" na pergunta 3.1-12.b, mostraremos o seguinte:

3.1-12.b.ii. Carregue pelo menos uma evidência (por exemplo, um resumo do resultado de um teste de intrusão recente) que mostre como você implementa esta proteção na prática: testar vulnerabilidades e problemas de segurança no ambiente de back-end usado para processar Dados da Plataforma.

Os seguintes detalhes devem ser incluídos nas suas evidências:

1. Uma explicação do âmbito e da metodologia do teste.

2. A data em que a atividade de teste ocorreu (para ser considerada aceitável, não pode representar mais de 12 meses antes da data em que notificamos você sobre esta avaliação);

3. Se aplicável, um resumo das vulnerabilidades críticas não corrigidas e de gravidade alta.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "a" - "b" ou "d" - "i" na pergunta 3.1-8.b, mostraremos o seguinte:

3.1-12.c. Você testa o ambiente de nuvem usado para processar Dados da Plataforma em busca de configurações incorretas de segurança (utilizando uma ferramenta como o NCC Scout Suite, por exemplo) pelo menos a cada 12 meses?

A Meta exige que você tome medidas para testar seu software em busca de vulnerabilidades e problemas de segurança pelo menos uma vez a cada 12 meses, a fim de impedir o acesso não autorizado a Dados da Plataforma.

[ ] Sim

[ ] Não aplicável porque minha organização usa apenas um serviço de back-end que não expõe nenhuma opção de configuração de segurança sensível.

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-12.c, mostraremos o seguinte:

3.1-12.c.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você testa o ambiente de nuvem usado para processar Dados da Plataforma em busca de configurações incorretas de segurança.

Os seguintes procedimentos de teste devem ser incluídos na sua explicação por escrito:

1. Testar as vulnerabilidades de segurança pelo menos uma vez a cada 12 meses.

2. Ter um processo para fazer a triagem das descobertas com base na gravidade.

3. Garantir que as vulnerabilidades de alta gravidade, que podem levar ao acesso não autorizado a Dados da Plataforma, sejam corrigidas em tempo hábil.

Destaque ou circule a descrição dessas condições na sua política.

A Meta exige que você tome medidas para testar seu software em busca de vulnerabilidades e problemas de segurança pelo menos uma vez a cada 12 meses, a fim de impedir o acesso não autorizado a Dados da Plataforma.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-12.c, mostraremos o seguinte:

3.1-12.c.ii. Carregue pelo menos uma evidência (por exemplo, um resumo de um teste do NCC Scout Suite) que mostre como você implementa esta proteção na prática: testar o ambiente de nuvem que você usa para processar Dados da Plataforma em busca de configurações incorretas de segurança.

Os seguintes detalhes devem ser incluídos nas suas evidências:

1. Uma explicação do âmbito e da metodologia do teste.

2. A data em que a atividade de teste ocorreu (para ser considerada aceitável, não pode representar mais de 12 meses antes da data em que notificamos você sobre esta avaliação);

3. Se aplicável, um resumo das vulnerabilidades críticas não corrigidas e de gravidade alta.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-13.a. Seu app ou software armazena tokens de acesso em dispositivos clientes que podem ser lidos por um app ou usuário diferente?

"Dispositivo cliente" refere-se a uma peça de hardware, como um celular Android ou iPhone, que pertence aos usuários finais do seu app ou serviço.

Selecione "Não" caso você não tenha um app ou software que seja executado em dispositivos clientes, como celulares.

[ ] Sim

[ ] Não

Se o app não estiver configurado como "para desktop" ou "nativo", mostraremos o seguinte:

3.1-13.b. A chave secreta do app do Facebook já foi exposta a dispositivos clientes (por exemplo, dentro do código compilado)?

[ ] Sim

[ ] Sim, mas meu app está configurado como "para desktop" ou "nativo".

[ ] Não

Se você selecionar a opção "d" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-13.c. Estamos exibindo esta pergunta porque, em uma seção anterior, você afirmou que armazena tokens de acesso de usuário da API da Meta no seu ambiente de back-end. Como você protege esses tokens contra uso não autorizado?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

Os tokens de acesso são fundamentais para a segurança das APIs da Meta. Exigimos que os desenvolvedores protejam esses tokens contra acesso não autorizado. Saiba mais sobre os tokens de acesso.

Selecione todas as opções aplicáveis.

a. Armazenamos os dados em um cofre, como o Vault by Hashicorp, com serviço de gerenciamento de chaves (KMS, pelas iniciais em inglês) separado.

b. Usamos criptografia de apps (por exemplo, os tokens de acesso do usuário nunca são gravados e descriptografados em bancos de dados nem em qualquer outro armazenamento persistente).

c. Configuramos o app para exigir o parâmetro appsecret_proof em chamadas de API da Meta.

d. Usamos uma abordagem diferente para proteger tokens de acesso do usuário.

e. Nenhuma das opções anteriores.

Se você selecionar a opção "a", "b", "c" ou "d" na pergunta 3.1-13.c, mostraremos o seguinte:

3.1-13.c.i. Na pergunta anterior, questionamos como você protege os tokens de acesso do usuário armazenados no seu ambiente de back-end contra uso não autorizado. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você protege esses tokens de acesso.

A explicação por escrito deve incluir o seguinte:

1. Descrição de como os tokens de acesso do usuário são protegidos contra acesso de leitura não autorizado.

2. Um requisito de que os tokens de acesso do usuário nunca devem ser gravados em arquivos de registro em formato de texto não criptografado.

Destaque ou circule a descrição dessas condições na sua política.

Os tokens de acesso são fundamentais para a segurança das APIs da Meta. Exigimos que os desenvolvedores protejam esses tokens contra acesso não autorizado. Saiba mais sobre os tokens de acesso.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-13.c.ii Carregue pelo menos uma evidência (por exemplo, uma captura de tela de uma chave de token de acesso, mas não o respectivo valor) que mostre como você implementa esta proteção na prática: proteger os tokens de acesso armazenados no seu ambiente de back-end contra uso não autorizado. [Pergunta principal]

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar a opção "e" na pergunta 3.1-8. a, mostraremos o seguinte:

3.1-13.d. Estamos exibindo esta pergunta porque, em uma seção anterior, você afirmou que armazena a chave secreta do app no seu ambiente de back-end. Como você protege a chave secreta do app contra uso não autorizado?

A chave secreta é um parâmetro associado às Tecnologias da Meta que pode ser usado como um token de acesso em determinadas chamadas de API para alterar a configuração de um app, configurando retornos de chamada de webhook, por exemplo. Para encontrar a chave secreta de um app, acesse o Painel de Apps e clique em Configurações > Básico. Se quiser obter mais informações sobre a chave secreta do app, consulte a documentação para desenvolvedores Segurança no login. Para saber mais sobre nossos requisitos de proteção de chaves secretas de apps e tokens de acesso do usuário, incluindo qualquer evidências que você precise fornecer, consulte o artigo Requisitos de segurança de dados.

Exigimos que você proteja a chave secreta do app de duas maneiras:

1. Nunca expondo a chave fora de um ambiente de servidor seguro. Isso significa que ela nunca é retornada por uma chamada de rede a um navegador ou app para celular nem incorporada ao código distribuído a clientes nativos, para celular ou para desktop.

2. Ao configurar a autenticação do app com o tipo "nativo" ou "para desktop" a fim de que as APIs da Meta não confiem mais em chamadas de API que incluam a chave secreta do app.

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

Selecione todas as opções aplicáveis.

a. Armazenamos os dados em um cofre, como o Vault by Hashicorp, com serviço de gerenciamento de chaves (KMS, pelas iniciais em inglês) separado.

b. Usamos a criptografia do app (por exemplo, a chave secreta nunca é gravada e descriptografada em bancos de dados ou em qualquer outro armazenamento persistente).

c. Usamos uma abordagem diferente para proteger a chave secreta do app.

d. Nenhuma das opções anteriores.

Se você selecionar a opção "a", "b" ou "c" na pergunta 3.1-13.d, mostraremos o seguinte:

3.1-13.d.i. Na pergunta anterior, você afirmou que protege a chave secreta do app armazenada no seu ambiente de back-end contra uso não autorizado. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você implementa essa proteção.

A explicação por escrito deve incluir o seguinte:

1. A descrição de como a chave secreta do app é protegida contra acesso de leitura não autorizado.

2. Um requisito de que a chave secreta do app nunca deve ser gravada em arquivos de registro em formato de texto não criptografado.

Destaque ou circule a descrição dessas condições na sua política.

A chave secreta do app é fundamental para a segurança das APIs da Meta. Exigimos que os desenvolvedores protejam essa chave contra acesso não autorizado. Saiba mais sobre a chave secreta do app.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar a opção "a", "b" ou "c" na pergunta 3.1-13.d, mostraremos o seguinte:

3.1-13.d.ii. Carregue pelo menos uma evidência (por exemplo, uma captura de tela do seu gerenciador de chaves contendo a chave secreta do app com o valor redigido) que mostre como você implementa esta proteção na prática: proteger a chave secreta do app armazenada no seu ambiente de back-end contra uso não autorizado.

Se quiser ver uma evidência aceitável para esta pergunta, acesse nosso guia de provas.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-15.a. Você exige a autenticação multifator (MFA, pelas iniciais em inglês) para permitir o acesso às suas ferramentas de colaboração e comunicação?

Exigimos a MFA ou uma proteção alternativa aceitável para todos os usuários de ferramentas de colaboração e comunicação (por exemplo, email, Slack). Não exigimos nenhum método específico de implementação para MFA.

[ ] Sim

[ ] Não, mas aplicamos uma política de complexidade de senha, bem como tempos de espera na autenticação e bloqueios automáticos de contas em caso de tentativas de login malsucedidas.

[ ] Não

3.1-15.b. Você exige a autenticação multifator (MFA) para permitir o acesso à sua ferramenta de repositório de códigos (por exemplo, GitHub) ou outro recurso usado para rastrear alterações no app e em qualquer código e configuração do sistema?

Exigimos a MFA ou uma proteção alternativa aceitável para todos os usuários do repositório de códigos. Não exigimos nenhum método específico de implementação para MFA.

[ ] Sim

[ ] Não, mas aplicamos uma política de complexidade de senha, bem como tempos de espera na autenticação e bloqueios automáticos de contas em caso de tentativas de login malsucedidas.

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-15.c. Você exige a autenticação multifator (MFA) para permitir o acesso às suas ferramentas de implantação de software, como Jenkins ou outra ferramenta de integração e implantação contínuas (CI/CD)?

Exigimos a MFA ou uma proteção alternativa aceitável para todos os usuários das ferramentas de implantação de software. Não exigimos nenhum método específico de implementação para MFA.

[ ] Sim

[ ] Não, mas aplicamos uma política de complexidade de senha, bem como tempos de espera na autenticação e bloqueios automáticos de contas em caso de tentativas de login malsucedidas.

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-15.d. Você exige a autenticação multifator (MFA) para permitir o acesso às suas ferramentas administrativas de back-end, como um portal administrativo na nuvem?

Exigimos a MFA ou uma proteção alternativa aceitável para todos os usuários de ferramentas administrativas na nuvem ou no servidor. Não exigimos nenhum método específico de implementação para MFA.

[ ] Sim

[ ] Não, mas aplicamos uma política de complexidade de senha, bem como tempos de espera na autenticação e bloqueios automáticos de contas em caso de tentativas de login malsucedidas.

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-15.e. Você exige a autenticação multifator (MFA) para permitir o acesso remoto a servidores, por exemplo, via SSH?

Exigimos a MFA ou uma proteção alternativa aceitável para todos os acessos remotos aos servidores. Não exigimos nenhum método específico de implementação para MFA.

[ ] Sim

[ ] Não, mas aplicamos uma política de complexidade de senha, bem como tempos de espera na autenticação e bloqueios automáticos de contas em caso de tentativas de login malsucedidas.

[ ] Não aplicável. Não temos acesso remoto aos servidores.

[ ] Não

Se você selecionar "Sim" em qualquer uma das perguntas de 3.1-15.a a 3.1-15.e, mostraremos o seguinte:

3.1-15.e.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva seus requisitos para autenticação multifator (MFA) ou outras medidas a fim de evitar a invasão de contas (por exemplo, complexidade de senha combinada com espera na autenticação e bloqueios automáticos da conta quando houver falha na tentativa de login).

A explicação deve incluir seus requisitos de autenticação para proteger o acesso a ferramentas de colaboração e comunicação, repositórios de códigos, ferramentas de implantação de software, ferramentas administrativas de back-end, bem como o acesso remoto a servidores por meio de uma ferramenta como SSH.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" em qualquer uma das perguntas de 3.1-15.a a 3.1-15.e, mostraremos o seguinte:

3.1-15.e.ii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou uma captura de tela do seu app) que mostre como você implementa esta proteção na prática: exigir a autenticação multifator ou outras medidas para evitar a invasão de contas.

As evidências devem mostrar como você usa a autenticação para proteger o acesso a ferramentas de colaboração e comunicação, repositórios de códigos, ferramentas de implantação de software, ferramentas administrativas de back-end, bem como o acesso remoto a servidores por meio de uma ferramenta como SSH.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-16. Você tem um sistema de manutenção de contas que gerencia a concessão, a revogação e a análise de acesso para pessoas na sua organização?

Exigimos que você tenha um sistema de manutenção de contas e que analise as concessões de acesso regularmente, pelo menos uma vez a cada 12 meses. Você deve ter um processo para revogar imediatamente o acesso nos casos a seguir:

• O acesso não é mais necessário.

• O acesso não está mais sendo usado.

• Uma pessoa saiu da organização.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-16, mostraremos o seguinte:

3.1-16.a. Qual dos processos abaixo você implementa como parte do seu sistema de manutenção de contas?

Selecione todas as opções aplicáveis.

a. Analisamos todas as concessões de acesso pelo menos uma vez a cada 12 meses e revogamos o acesso que não é mais necessário.

b. Analisamos todas as concessões de acesso pelo menos uma vez a cada 12 meses e revogamos o acesso que não está mais sendo usado.

c. Revogamos imediatamente todas as concessões de acesso quando uma pessoa sai da organização.

d. Nenhuma das opções.

Se você selecionar qualquer uma das opções "a" - "c" na pergunta 3.1-16.a, mostraremos o seguinte:

3.1-16.a.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva o seguinte: requisitos relacionados ao seu sistema de manutenção de contas.

A explicação por escrito deve incluir estes requisitos:

1. Revogar o acesso que não é mais necessário.

2. Revogar o acesso que não está mais sendo usado.

3. Revogar imediatamente o acesso quando uma pessoa sai da organização.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "a" - "c" na pergunta 3.1-16.a, mostraremos o seguinte:

3.1-16.a.ii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou uma captura de tela) que mostre como você implementa esta proteção na prática: implementar um sistema para manutenção de contas.

As evidências devem mostrar o seguinte:

1. Como você revoga o acesso que não é mais necessário.

2. Como você revoga o acesso que não está mais sendo usado.

3. Como você revoga imediatamente o acesso quando uma pessoa sai da organização.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-8, mostraremos o seguinte:

3.1-17.a. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Em relação ao software usado para processar Dados da Plataforma no seu ambiente de back-end, você toma todas as seguintes medidas: tem uma maneira definida e repetível de identificar patches em software de terceiros que resolvem vulnerabilidades de segurança; prioriza patches disponíveis com base no risco (por exemplo, com base na gravidade do CVSS); aplica patches como uma atividade contínua?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Isso não é necessário porque minha organização usa uma solução de back-end sem código.

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-17.a, mostraremos o seguinte:

3.1-17.a.i. Na pergunta anterior, você afirmou que tem processos definidos para manter seu código e ambiente de back-end atualizados. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você mantém seu código e ambiente de back-end atualizados.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-17.a, mostraremos o seguinte:

3.1-17.a.ii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou captura de tela do seu app) que mostre como você implementa esta proteção na prática: manter seu código e ambiente de back-end atualizados.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-17.b. Em relação ao software de terceiros usado para processar Dados da Plataforma em um app para celular, como um app para Android ou iPhone, você toma todas as seguintes medidas: tem uma maneira definida e repetível de identificar patches em software de terceiros que resolvem problemas de segurança vulnerabilidades; prioriza patches disponíveis com base no risco (por exemplo, com base na gravidade do CVSS); aplica patches como uma atividade contínua?

[ ] Sim

[ ] Isso não é necessário porque minha organização não processa Dados da Plataforma em um app para celular.

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-17.b, mostraremos o seguinte:

3.1-17.b.i. Na pergunta anterior, você afirmou que mantém o software de terceiros atualizado no seu app para celular. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você mantém o código de terceiros atualizado no seu app para celular.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-17.b, mostraremos o seguinte:

3.1-17.b.ii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou captura de tela do seu app) que mostre como você implementa esta proteção na prática: manter o código de terceiros atualizado no seu app para celular.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-17.c. Em relação aos sistemas operacionais, softwares antivírus, navegadores executados em notebooks e outros sistemas e apps usados por pessoas na organização para criar e operar seu app, você toma todas as seguintes medidas: tem uma maneira definida e repetível de identificar patches em software de terceiros que resolve vulnerabilidades de segurança; prioriza patches disponíveis com base no risco (por exemplo, com base na gravidade do CVSS); aplica e verifica patches como uma atividade contínua?

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-17.c, mostraremos o seguinte:

3.1-17.c.i. Na pergunta anterior, você afirmou que mantém atualizados softwares de terceiros nos sistemas e apps usados para criar e operar seu app. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você mantém os softwares antivírus e de terceiros atualizados.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Esta pergunta só se aplica a alguns desenvolvedores. Consulte seu formulário de avaliação específico para determinar se os requisitos mencionados se aplicam a você.

Se você selecionar "Sim" na pergunta 3.1-17.c, mostraremos o seguinte:

3.1-17.c.ii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou uma captura de tela do seu app) que mostre como você implementa esta proteção na prática: manter os softwares antivírus e de terceiros atualizados. [Pergunta principal]

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-21. Você oferece uma maneira publicamente disponível para as pessoas relatarem vulnerabilidades de segurança neste app?

[ ] Sim

[ ] Não

Se você selecionar "Não" na pergunta 3.1-21, mostraremos o seguinte:

3.1-21.a. Existe um canal monitorado com regularidade, como um endereço de email, número de telefone ou formulário de contato publicamente disponível que as pessoas possam usar para entrar em contato com você?

[ ] Sim

[ ] Não

Se você selecionar qualquer uma das opções "b" - "f" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-22. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Você coleta registros de auditoria do administrador para esse ambiente de back-end?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22, mostraremos o seguinte:

3.1-22.a. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você coleta registros de auditoria do administrador no ambiente de back-end em que os Dados da Plataforma estão armazenados.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-22, mostraremos o seguinte:

3.1-22.a.i. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou uma captura de tela do seu app) que mostre como você implementa esta proteção na prática: coletar registros de auditoria do administrador no ambiente de back-end em que os Dados da Plataforma estão armazenados.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "b" - "f" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-22.b. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Você coleta registros de auditoria de eventos do app nesse ambiente de back-end? Os eventos do app podem incluir:

• Falhas de validação de entrada e saída.

• Falhas no controle de autenticação e acesso.

• Erros do app e eventos do sistema.

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.b, mostraremos o seguinte:

3.1-22.b.i. Esses registros de auditoria de eventos do app no ambiente de back-end em que os Dados da Plataforma estão armazenados incluem todos os campos a seguir?

• Número de identificação do usuário da Meta (quando compartilhado com você)

• Tipo do evento

• Data e hora

• Indicador de sucesso ou falha

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.b, mostraremos o seguinte:

3.1-22.b.ii. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva sua abordagem para coletar registros de auditoria de eventos do app no ambiente de back-end em que os Dados da Plataforma estão armazenados.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-22.b, mostraremos o seguinte:

3.1-22.b.iii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou uma captura de tela do seu app) que mostre como você implementa esta proteção na prática: coletar registros de auditoria de eventos do app no ambiente de back-end em que os Dados da Plataforma estão armazenados.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "b" - "f" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-22.c. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Você tem políticas ou procedimentos em vigor para evitar o acesso não autorizado e a adulteração de registros de auditoria nesse ambiente de back-end?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não

3.1-22.d. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Para esse ambiente, você retém registros de auditoria por pelo menos 30 dias?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim [ ] Não

Se você selecionar qualquer uma das opções "b" - "f" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-22.e. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Você usa uma solução automatizada para analisar registros de auditoria de eventos do app para esse ambiente de back-end, a fim de encontrar indicadores de eventos ou incidentes de segurança diários que resultem em risco ou danos (por exemplo, tentativas de burlar controles de acesso ou explorar vulnerabilidades de software)?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.e, mostraremos o seguinte: 3.1-22.e.i. Você analisa esses registros de auditoria de eventos do app no ambiente de back-end em que os Dados da Plataforma estão armazenados pelo menos a cada 7 dias?

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.e, mostraremos o seguinte:

3.1-22.e.ii. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você analisa os registros de auditoria de eventos do app no ambiente de back-end em que os Dados da Plataforma estão armazenados pelo menos a cada 7 dias.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar "Sim" na pergunta 3.1-22.e, mostraremos o seguinte:

3.1-22.e.iii. Carregue pelo menos uma evidência (por exemplo, uma configuração de ferramenta ou uma captura de tela do seu app) que mostre como você implementa esta proteção na prática: analisar os registros de auditoria de eventos do app no ambiente de back-end em que os Dados da Plataforma estão armazenados pelo menos a cada 7 dias.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "b" - "f" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-22.f. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Você analisa os registros de auditoria do administrador desse ambiente para encontrar indicadores de eventos ou incidentes de segurança diários que resultam em riscos ou danos (por exemplo, tentativas de burlar controles de acesso ou explorar vulnerabilidades de software)?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.f, mostraremos o seguinte:

3.1-22.f.i. Você analisa esses registros de auditoria do administrador no ambiente de back-end em que os Dados da Plataforma estão armazenados pelo menos a cada 7 dias?

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.f, mostraremos o seguinte:

3.1-22.f.ii Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva sua abordagem para analisar os registros de auditoria do administrador no ambiente de back-end em que os Dados da Plataforma estão armazenados a fim de encontrar indicadores de eventos ou incidentes de segurança diários pelo menos a cada 7 dias.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

Se você selecionar qualquer uma das opções "b" - "f" na pergunta 3.1-8.a, mostraremos o seguinte:

3.1-22.g. Em uma pergunta anterior, você afirmou que armazena Dados da Plataforma no seu ambiente de back-end. Supondo que um evento ou incidente de segurança diário que resulte em risco ou dano aos seus registros de auditoria seja identificado nesse ambiente de back-end, você teria um processo para fazer uma investigação mais detalhada?

"Ambiente de back-end" refere-se a um ambiente de nuvem ou servidor que seus clientes podem acessar remotamente, como um site ou uma API da web.

Lembrete: com base nas nossas políticas, se ocorrer um evento ou incidente de segurança, você precisará nos informar sobre isso imediatamente.

[ ] Sim

[ ] Não

Se você selecionar "Sim" na pergunta 3.1-22.g, mostraremos o seguinte:

3.1-22.g.i. Carregue uma explicação por escrito (por exemplo, um documento de política ou procedimento) que descreva como você investiga eventos ou incidentes de segurança diários no ambiente de back-end em que os Dados da Plataforma estão armazenados, o que resulta em risco ou danos aos seus registros de auditoria.

Destaque ou circule a descrição dessas condições na sua política.

Os arquivos não podem estar protegidos por senha. Você pode carregar vários arquivos, com no máximo 2 GB cada. Aceitamos .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip e .zipx.

3.1-23. Você tem processos de segurança em vigor para pessoas que têm acesso aos Dados da Plataforma?

Tais processos podem incluir um ou mais dos seguintes elementos:

• Verificações de antecedentes concluídas antes de obter acesso aos Dados da Plataforma

• Acordos de confidencialidade assinados antes de obter acesso ao treinamento de Dados da Plataforma para novos funcionários sobre políticas e procedimentos de segurança da informação

• Treinamento regular e contínuo de conscientização sobre segurança (ou seja, anualmente)

• Treinamento relacionado a funções específicas que acessam Dados da Plataforma

• Devolução de ativos (por exemplo, um notebook ou celular) após o desligamento da organização

[ ] Sim

[ ] Não