คำถามเพื่อการประเมินการคุ้มครองข้อมูล

คุณสามารถดูคำถามเพื่อการประเมินการคุ้มครองข้อมูลทั้งหมดได้ในหน้านี้ หากการประเมินของคุณขึ้นต้นด้วย 3.1 แสดงว่าคุณได้รับในวันที่ 15 กุมภาพันธ์ 2024 หรือหลังจากนั้น คุณสามารถดูคำถามดังกล่าวได้ในรายการด้านล่าง

แต่หากการประเมินของคุณไม่มีหมายเลขกำกับ แสดงว่าคุณได้รับก่อนวันที่ 15 กุมภาพันธ์ 2024 คุณสามารถดูคำถามดังกล่าวในเวอร์ชั่นก่อนหน้านี้ได้ที่นี่

คำถามต่อไปนี้เป็นคำถามที่ใช้ประกอบการประเมินการคุ้มครองข้อมูลที่ได้รับการปรับปรุงใหม่ประจำปี 2024 คุณจะเห็นว่าหมายเลขคำถามขึ้นต้นด้วยหมายเลขเวอร์ชั่นที่เกี่ยวข้อง โดยในเวอร์ชั่น 3.1 หมายเลขคำถามจะเป็น 3.1-1, 3.1-2 ฯลฯ เราอัพเดตคำถามอย่างต่อเนื่องเพื่อให้สอดคล้องกับมาตรฐานอุตสาหกรรม และผู้พัฒนาอาจได้รับคำถามที่แตกต่างกันไป โดยขึ้นอยู่กับช่วงเวลาที่ผู้พัฒนาได้รับการประเมิน

คำแนะนำในการใช้งานมีดังนี้

เราขอแนะนำให้ผู้ดูแลแอพตรวจสอบคำถามเหล่านี้ร่วมกับทีมภายใน เพื่อให้มั่นใจว่าแอพเป็นไปตามข้อกำหนดของแพลตฟอร์มของเรา ผู้ดูแลแอพทุกคนจะได้รับการแจ้งเตือนหากแต่ละแอพจำเป็นต้องได้รับการประเมินการคุ้มครองข้อมูล
โปรดทราบว่าเราจะรับข้อมูลที่ส่งเป็นภาษาอังกฤษเท่านั้น คุณสามารถใช้เครื่องมือการแปลที่จำเป็นเพื่อส่งการประเมินของคุณเป็นภาษาอังกฤษได้ตามสะดวก
เราแสดงคำถามต่างๆ ในหน้านี้เพียงเพื่ออำนวยความสะดวกให้กับคุณเท่านั้น คำถามที่จำเป็นสำหรับแอพหนึ่งๆ จะแตกต่างกันไปตามข้อมูลที่แต่ละแอพมีสิทธิ์เข้าถึง หากแอพมีสิทธิ์เข้าถึงข้อมูลบางประเภท คุณอาจต้องแสดงหลักฐานประกอบคำตอบของคุณด้วย
หากคุณกำลังอยู่ระหว่างขั้นตอนการประเมินการคุ้มครองข้อมูล หรือกำลังตอบคำถามติดตามผลจากผู้ตรวจสอบของเรา โปรดดำเนินการในขั้นตอนดังกล่าวต่อไป และโปรดทราบว่าคำถามที่คุณกำลังตอบอยู่ในขณะนี้อาจแตกต่างจากคำถามที่ได้รับการปรับปรุงใหม่ในที่นี้

การใช้ข้อมูล

3.1-1. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มที่ส่งผลให้ผู้คนบางกลุ่มเสียประโยชน์ (ซึ่งหมายความว่าผู้คนบางกลุ่มได้รับบางสิ่งที่กลุ่มอื่นๆ ไม่ได้รับ) อันเนื่องมาจากเชื้อชาติ ชาติพันธุ์ สีผิว ชาติกำเนิด ศาสนา อายุ เพศ รสนิยมทางเพศ อัตลักษณ์ทางเพศ สถานะครอบครัว ความทุพพลภาพ สภาวะทางการแพทย์หรือทางพันธุกรรมหรือไม่

คำถามข้อนี้ไม่มีผลกับการใช้ข้อมูลเพศและอายุในแอพพลิเคชั่นหาคู่ การใช้ข้อมูลเพศในการพิจารณาด้านภาษาศาสตร์ การใช้ข้อมูลอายุเพื่อจำกัดเนื้อหาสำหรับผู้ใหญ่ หรือในสถานการณ์อื่นๆ ที่มีการใช้ข้อมูลแพลตฟอร์มในลักษณะที่เกี่ยวข้องกับการปรับปรุงประสบการณ์ของผู้ใช้ในแอพ หากแอพพลิเคชั่นของคุณเกี่ยวข้องกับการใช้งานอย่างใดอย่างหนึ่งนี้ คำตอบของคุณคือ "ไม่" เนื่องจากถือว่าคุณไม่ได้ใช้ข้อมูลเพื่อทำให้เกิดการเสียประโยชน์

[ ] ใช่
[ ] ไม่

หากคุณตอบว่า “ใช่” คุณจะต้องตอบคำถามต่อไปนี้เพิ่มเติม

3.1-1.a.A. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มใดบ้างที่ส่งผลให้ผู้คนบางกลุ่มเสียประโยชน์อันเนื่องมาจากเชื้อชาติ ชาติพันธุ์ สีผิว ชาติกำเนิด ศาสนา อายุ เพศ รสนิยมทางเพศ อัตลักษณ์ทางเพศ สถานะครอบครัว ความทุพพลภาพ สภาวะทางการแพทย์หรือทางพันธุกรรม

3.1-1.a.B. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มอย่างไรที่ส่งผลให้ผู้คนบางกลุ่มเสียประโยชน์อันเนื่องมาจากเชื้อชาติ ชาติพันธุ์ สีผิว ชาติกำเนิด ศาสนา อายุ เพศ รสนิยมทางเพศ อัตลักษณ์ทางเพศ สถานะครอบครัว ความทุพพลภาพ สภาวะทางการแพทย์หรือทางพันธุกรรม

3.1-1.a.C. แอพพลิเคชั่นเริ่มใช้ข้อมูลแพลตฟอร์มในลักษณะนี้เมื่อใด

3.1-2. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มเพื่อตัดสินใจเกี่ยวกับการจัดหาที่อยู่อาศัย การจ้างงาน การประกัน การให้โอกาสทางการศึกษา การให้สินเชื่อ การให้สวัสดิการรัฐ หรือการพิจารณาสถานะผู้ลี้ภัยหรือไม่

หากคุณตอบว่า “ใช่” คุณจะต้องตอบคำถามต่อไปนี้เพิ่มเติม

3.1-2.a.A. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มใดบ้างเพื่อตัดสินใจเกี่ยวกับการจัดหาที่อยู่อาศัย การจ้างงาน การประกัน การให้โอกาสทางการศึกษา การให้สินเชื่อ การให้สวัสดิการรัฐ หรือการพิจารณาสถานะผู้ลี้ภัย

3.1-2.a.B. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มอย่างไรเพื่อตัดสินใจเกี่ยวกับการจัดหาที่อยู่อาศัย การจ้างงาน การประกัน การให้โอกาสทางการศึกษา การให้สินเชื่อ การให้สวัสดิการรัฐ หรือการพิจารณาสถานะผู้ลี้ภัย

3.1-2.a.C. แอพพลิเคชั่นเริ่มใช้ข้อมูลแพลตฟอร์มในลักษณะนี้เมื่อใด

3.1-3. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มเพื่อดำเนินกิจกรรมที่เกี่ยวข้องกับการเฝ้าระวังหรือไม่ ซึ่งการเฝ้าระวังนี้หมายรวมถึงการประมวลผลข้อมูลแพลตฟอร์มที่เกี่ยวกับผู้คน กลุ่ม หรืองานกิจกรรม โดยมีวัตถุประสงค์เพื่อการบังคับใช้กฎหมายหรือเพื่อความมั่นคงของประเทศ

หากคุณตอบว่า “ใช่” คุณจะต้องตอบคำถามต่อไปนี้เพิ่มเติม

3.1-3.a.A. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มใดบ้างเพื่อดำเนินกิจกรรมที่เกี่ยวข้องกับการเฝ้าระวัง

3.1-3.a.B. แอพพลิเคชั่นใช้ข้อมูลแพลตฟอร์มเพื่อดำเนินกิจกรรมที่เกี่ยวข้องกับการเฝ้าระวังอย่างไร

3.1-3.a.C. แอพพลิเคชั่นเริ่มใช้ข้อมูลแพลตฟอร์มเพื่อวัตถุประสงค์นี้เมื่อใด

การแชร์ข้อมูล

3.1-4. คำถามบางข้อต่อไปนี้เป็นคำถามเกี่ยวกับผู้ให้บริการและผู้ให้บริการช่วง ผู้ให้บริการเป็นบุคคลหรือธุรกิจที่ให้บริการแก่คุณเพื่อช่วยให้คุณใช้แพลตฟอร์มหรือข้อมูลแพลตฟอร์ม ผู้ให้บริการช่วงคือผู้ให้บริการที่ผู้ให้บริการอีกรายหนึ่งใช้เพื่อให้บริการเกี่ยวกับข้อมูลแพลตฟอร์ม

Google Cloud และ Amazon Web Services (AWS) คือตัวอย่างของผู้ให้บริการรายใหญ่ที่มักจะมีการใช้บริการโดยทั่วไป แต่คุณก็อาจทำงานร่วมกับบริษัทขนาดเล็กกว่านั้นเพื่อประมวลผลหรือใช้ข้อมูลแพลตฟอร์ม เช่น ธุรกิจพัฒนาเว็บไซต์ระดับท้องถิ่นซึ่งอยู่ในประเทศหรือภูมิภาคของคุณ

คุณทำสิ่งใดสิ่งหนึ่งต่อไปนี้หรือไม่

เลือกทุกข้อที่ใช่

a. ฉันไม่ได้แชร์ข้อมูลแพลตฟอร์มที่ได้รับผ่านแอพนี้
b. ขายหรือให้สิทธิ์ใช้งานข้อมูลแพลตฟอร์มแก่บุคคลหรือธุรกิจอื่น หรืออำนวยความสะดวกหรือสนับสนุนผู้อื่นในการดำเนินการดังกล่าว
c. ซื้อข้อมูลแพลตฟอร์มจากบุคคลหรือธุรกิจอื่น หรืออำนวยความสะดวกหรือสนับสนุนผู้อื่นในการดำเนินการดังกล่าว
d. แชร์ข้อมูลแพลตฟอร์มเพื่อให้บุคคลหรือธุรกิจสามารถให้บริการแก่คุณได้ (ผู้ให้บริการ)
e. แชร์ข้อมูลแพลตฟอร์มเพื่อให้บุคคลหรือธุรกิจอื่น (ที่อยู่นอกธุรกิจของคุณ) สามารถเข้าถึงและใช้แพลตฟอร์มหรือข้อมูลแพลตฟอร์มได้
f. แชร์ข้อมูลแพลตฟอร์มตามที่ผู้ใช้แอพนี้แจ้งให้ดำเนินการอย่างชัดแจ้ง
g. แชร์ข้อมูลแพลตฟอร์มเพื่อวัตถุประสงค์อื่นๆ นอกเหนือจากข้อที่กล่าวมาข้างต้น โปรดอธิบาย

หากคำถามที่ 3.1-4 คุณเลือกข้อ "b" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.a.A. คุณขายหรือให้สิทธิ์ใช้งานข้อมูลแพลตฟอร์มประเภทใด

3.1-4.a.B. แอพพลิเคชั่นนี้ใช้สิทธิ์การอนุญาต ฟีเจอร์ ความสามารถ หรือช่องทางอื่นใดบ้างในการเข้าถึงและรวบรวมข้อมูลแพลตฟอร์มดังกล่าว

3.1-4.a.C. โปรดระบุรายชื่อนิติบุคคล ธุรกิจ และบุคคลที่สามทั้งหมดที่คุณขายหรือให้สิทธิ์ใช้งานข้อมูลแพลตฟอร์มจากแอพพลิเคชั่นนี้ พร้อมอธิบายวัตถุประสงค์ของการแชร์ข้อมูลในแต่ละกรณี

3.1-4.a.D. คุณเริ่มขายหรือให้สิทธิ์ใช้งานข้อมูลแพลตฟอร์มเมื่อใด

หากคำถามที่ 3.1-4 คุณเลือกข้อ "d" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.b. คุณระบุไว้ข้างต้นว่าคุณแชร์ข้อมูลแพลตฟอร์มกับผู้ให้บริการ โปรดทำเครื่องหมายที่ช่องด้านล่างเพื่อระบุว่าคุณแชร์ข้อมูลแพลตฟอร์มกับผู้ให้บริการรายใดบ้าง คำถามต่อมาจะขอให้คุณอธิบายว่าคุณแชร์ข้อมูลแพลตฟอร์มกับใครบ้าง รวมทั้งอธิบายวิธีและเหตุผลของการแชร์ดังกล่าว

หมายเหตุ: โปรดอย่าระบุบริการหรือผลิตภัณฑ์ในเครือ Meta เป็นผู้ให้บริการ

เลือกทุกข้อที่ใช่ หากคุณแชร์ข้อมูลแพลตฟอร์มกับผู้ให้บริการมากกว่า 1 รายที่ระบุไว้ที่นี่ และผู้ให้บริการเพิ่มเติมที่ไม่ได้ระบุไว้ในรายชื่อ โปรดเลือกผู้ให้บริการที่คุณแชร์ข้อมูลให้และเลือก "อื่นๆ" ตัวอย่างเช่น คุณอาจเลือก Apple, Google และ "อื่นๆ" เพื่อแสดงถึงผู้ให้บริการทั้งหมดของคุณ

a. Google (เช่น Play Store, Firebase, Cloud, AdMob, Analytics)
b. Amazon (เช่น Amazon Web Services)
c. Salesforce (เช่น Heroku, Marketing Cloud)
d. Apple (เช่น App Store)
e. Microsoft (เช่น App Center, Azure, Playfab)
f. GitHub
g. AppLovin (เช่น Adjust)
h. Appsflyer
i. Stripe
j. Twilio (เช่น Segment, SendGrid)
k. อื่นๆ (ระบบจะขอให้คุณอัพโหลดรายชื่อ)

หากคำถามที่ 3.1-4.b คุณเลือกข้อ "k" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.b.i. โปรดอัพโหลดไฟล์ CSV หรือ Excel ที่แสดงรายชื่อผู้ให้บริการทุกรายที่คุณแชร์ข้อมูลแพลตฟอร์มให้ นอกเหนือจากที่คุณระบุไว้ในรายชื่อข้างต้น โปรดตรวจสอบให้แน่ใจว่าไฟล์ไม่มีการป้องกันด้วยรหัสผ่าน คุณสามารถอัพโหลดได้หลายไฟล์ ซึ่งแต่ละไฟล์ต้องมีขนาดไม่เกิน 2 GB โดยเรายอมรับไฟล์ .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip และ .zipx

หากคำถามที่ 3.1-4 คุณเลือกข้อ "d" และคำถามที่ 3.1-4.b คุณเลือกข้อ "k" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.c. คุณมีข้อตกลงเป็นลายลักษณ์อักษรที่ทำกับผู้ให้บริการแต่ละรายที่คุณแชร์ข้อมูลแพลตฟอร์มให้ โดยข้อตกลงดังกล่าวกำหนดให้ผู้ให้บริการรวมถึงผู้ให้บริการช่วงแต่ละราย (หากมี) ต้องใช้ข้อมูลแพลตฟอร์มตามที่คุณแจ้งให้ดำเนินการและให้บริการตามที่คุณร้องขอเท่านั้น ไม่ใช่เพื่อวัตถุประสงค์ของตนหรือเพื่อเอื้อประโยชน์ต่อลูกค้าของตนเองหรือไม่

ข้อตกลงที่เป็นลายลักษณ์อักษรอาจรวมถึงข้อกำหนดในการใช้บริการ ข้อตกลงมาตรฐานที่ไม่มีการต่อรอง หรือสัญญาที่ลงนามแล้ว ตัวอย่างเช่น หากคุณใช้ Google Cloud เป็นผู้ให้บริการ ข้อตกลงที่เป็นลายลักษณ์อักษรก็คือข้อกำหนดในการใช้บริการที่คุณให้การยินยอม

[ ] ใช่ [ ] ไม่

หากคุณเลือก "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.c.i. โปรดทำเครื่องหมายในช่องด้านล่างเพื่อระบุประเภทของภาษาที่มีอยู่ในข้อตกลงเกี่ยวกับข้อมูลที่เป็นลายลักษณ์อักษรระหว่างคุณกับผู้ให้บริการ เลือกทุกข้อที่ใช่

a. ภาษาที่กำหนดให้ผู้ให้บริการต้องใช้ข้อมูลแพลตฟอร์มเพื่อให้บริการตามที่คุณร้องขอเท่านั้น

b. ภาษาที่กำหนดให้ผู้ให้บริการต้องใช้ข้อมูลแพลตฟอร์มตามที่คุณสั่งเท่านั้น

c. ภาษาที่ห้ามไม่ให้ผู้ให้บริการแชร์ข้อมูลแพลตฟอร์มกับบุคคลที่สาม เว้นแต่จะได้รับคำสั่งจากคุณ

d. ภาษาที่ห้ามไม่ให้ผู้ให้บริการประมวลผลข้อมูลแพลตฟอร์มเพื่อวัตถุประสงค์ของตนเองหรือเพื่อบุคคลที่สาม

e. ภาษาที่กำหนดให้ผู้ให้บริการต้องลบข้อมูลแพลตฟอร์มที่ได้รับจากคุณเมื่อคุณหยุดใช้บริการจากผู้ให้บริการดังกล่าว

3.1-4.c.iv. คุณทราบว่ามีกรณีที่ผู้ให้บริการของคุณและ/หรือผู้ให้บริการช่วงรายใด (หากมี) ได้กระทำการในลักษณะที่ขัดกับข้อกำหนดของแพลตฟอร์มของ Meta เช่น ขายข้อมูลแพลตฟอร์ม หรือไม่ลบข้อมูลแพลตฟอร์มหลังจากที่คุณหยุดใช้บริการจากผู้ให้บริการดังกล่าวแล้วหรือไม่

[ ] ใช่ [ ] ไม่

3.1-4.c.v. หากคุณหยุดใช้บริการจากผู้ให้บริการหรือผู้ให้บริการช่วง ข้อตกลงระหว่างคุณกับผู้ให้บริการดังกล่าว (เช่น ข้อกำหนดในการใช้บริการ) ได้ระบุวิธีและเวลาที่ผู้ให้บริการจะต้องลบข้อมูลที่ได้รับจากคุณหรือไม่

[ ] ใช่ [ ] ไม่

หากคำถามที่ 3.1-4.c.v คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.c.vi. หากคุณหยุดใช้บริการจากผู้ให้บริการหรือผู้ให้บริการช่วง คุณมั่นใจได้อย่างไรว่าผู้ให้บริการดังกล่าวจะลบข้อมูลแพลตฟอร์มที่ได้รับจากคุณ

หากคำถามที่ 3.1-4 คุณเลือกข้อ "e" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.d. คำถามถัดไปเป็นคำถามเกี่ยวกับผู้ให้บริการเทคโนโลยี ซึ่งหมายถึงผู้พัฒนาแอพที่มีวัตถุประสงค์หลักคือการจัดการการผสานการทำงานของแพลตฟอร์มในนามของลูกค้า เพื่อให้ลูกค้าสามารถเข้าถึงและจัดการข้อมูลของตนในผลิตภัณฑ์ในเครือ Meta ได้ ตัวอย่างของผู้ให้บริการเทคโนโลยี ได้แก่ ผู้ให้บริการและตัวแทน SaaS (การให้บริการในด้านซอฟต์แวร์)

คำจำกัดความของผู้ให้บริการเทคโนโลยี: บุคคลหรือธุรกิจที่ได้รับสิทธิ์การเข้าถึง API ของ Meta เพื่อวัตถุประสงค์ในการสร้าง บำรุงรักษา และลบการผสานการทำงานในนามของบุคคลหรือธุรกิจอื่น ซึ่งรวมถึงบุคคลหรือธุรกิจที่สร้างการผสานการทำงานเพียงครั้งเดียวในนามของลูกค้ารายบุคคลหรือลูกค้าหลายราย

คุณระบุไว้ข้างต้นว่าแอพนี้อนุญาตให้บุคคลหรือธุรกิจ (ลูกค้า) เข้าถึงและใช้ข้อมูลแพลตฟอร์มได้ ซึ่งหมายความว่าคุณเป็นผู้ให้บริการเทคโนโลยี

คุณประมวลผลข้อมูลแพลตฟอร์มที่คุณได้รับผ่านแอพนี้เฉพาะในนามของลูกค้าและตามที่ลูกค้าของคุณแจ้งให้ดำเนินการหรือไม่ [ ] ใช่ [ ] ไม่

หากคำถามที่ 3.1-4.d คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.d.i.A. นอกเหนือจากการประมวลผลในนามลูกค้าและตามที่ลูกค้าแจ้งให้ดำเนินการแล้ว คุณประมวลผลข้อมูลแพลตฟอร์มให้แก่ผู้ใดอีกบ้าง

3.1-4.d.i.B. คุณประมวลผลข้อมูลแพลตฟอร์มใดบ้างให้แก่บุคคลหรือธุรกิจนี้

3.1-4.d.i.C. เหตุใดคุณจึงประมวลผลข้อมูลแพลตฟอร์มให้แก่บุคคลหรือธุรกิจนี้

3.1-4.d.i.D. คุณเริ่มประมวลผลข้อมูลแพลตฟอร์มดังกล่าวเมื่อใด

3.1-4.d.i.E. คุณประมวลผลข้อมูลแพลตฟอร์มนี้อย่างไร

3.1-4.e. คุณเก็บรักษาข้อมูลแพลตฟอร์มของลูกค้าแต่ละรายแยกจากกัน (ทั้งในเชิงตรรกะ เช่น ในตารางแยกต่างหาก หรือในเชิงกายภาพ) โดยแยกออกจากข้อมูลของลูกค้ารายอื่นๆ และข้อมูลที่คุณเก็บรักษาเพื่อวัตถุประสงค์ของคุณเองหรือไม่

[ ] ใช่ [ ] ไม่

หากคำถามที่ 3.1-4.e คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.f. คุณระบุว่าคุณแชร์ข้อมูลแพลตฟอร์มในสถานการณ์อื่นๆ นอกเหนือจากที่ระบุไว้ในคำถามก่อนหน้านี้ โปรดอธิบายข้อมูลที่คุณแชร์ในสถานการณ์ดังกล่าว

คุณจัดเก็บข้อมูลไว้ที่ใดบ้าง
คุณจัดเก็บและรักษาความปลอดภัยของข้อมูลอย่างไร
ใครบ้างที่มีสิทธิ์การเข้าถึง
คุณควบคุมสิทธิ์การเข้าถึงอย่างไร

หากคุณเลือก "อื่นๆ โปรดอธิบาย" ระบบจะถามคำถามต่อไปนี้กับคุณ

คุณระบุว่าคุณแชร์ข้อมูลแพลตฟอร์มในสถานการณ์อื่นๆ นอกเหนือจากที่ระบุไว้ในคำถามก่อนหน้านี้ โปรดอธิบายข้อมูลที่คุณแชร์ในสถานการณ์ดังกล่าว

อย่าลืมระบุคำตอบสำหรับคำถามต่อไปนี้

คุณแชร์ข้อมูลนี้กับใครบ้าง นอกเหนือจากผู้ใช้รายบุคคลของแอพหรือเว็บไซต์นี้
คุณแชร์ข้อมูลนี้อย่างไร
คุณเริ่มแชร์ข้อมูลกับนิติบุคคลที่คุณกล่าวถึงเมื่อใด
ในปัจจุบันนี้ยังคงมีการแชร์ข้อมูลดังกล่าวอยู่หรือไม่

3.1-4.f.i. สำหรับข้อมูลแพลตฟอร์มที่แชร์ในสถานการณ์อื่นๆ ดังกล่าว คุณมีข้อตกลงเป็นลายลักษณ์อักษรที่ทำกับผู้รับข้อมูลแพลตฟอร์มแต่ละราย โดยข้อตกลงดังกล่าวห้ามมิให้ใช้ข้อมูลแพลตฟอร์มในลักษณะที่จะละเมิดข้อกำหนดของแพลตฟอร์มและนโยบายผู้พัฒนาของ Meta (หรือข้อกำหนดอื่นใดที่มีผลบังคับใช้กับการใช้ข้อมูลแพลตฟอร์มของคุณ) หรือไม่

ตัวอย่างข้อตกลงที่เป็นลายลักษณ์อักษร ได้แก่ ข้อกำหนดในการใช้บริการ ข้อตกลงมาตรฐานที่ไม่มีการต่อรอง หรือสัญญาที่ลงนามแล้ว

[ ] ใช่ [ ] ไม่

3.1-4.g. คุณทราบว่ามีผู้รับข้อมูลแพลตฟอร์มรายใดเหล่านี้ละเมิดข้อกำหนดของแพลตฟอร์มของ Meta หรือไม่ ตัวอย่างการละเมิด เช่น การขาย การให้สิทธิ์ใช้งาน หรือการซื้อข้อมูลแพลตฟอร์ม

[ ] ใช่ [ ] ไม่

หากคำถามที่ 3.1-4.g คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.g.i. คุณระบุไว้ข้างต้นว่าผู้รับข้อมูลแพลตฟอร์มได้ละเมิดข้อกำหนดของแพลตฟอร์มของ Meta โปรดให้รายละเอียด

หากคำถามที่ 3.1-4 คุณเลือกข้อ "f" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-4.i.A. คุณระบุไว้ข้างต้นว่าคุณดำเนินการให้บุคคลอื่นหรือธุรกิจอื่นสามารถเข้าถึงข้อมูลแพลตฟอร์มที่คุณได้รับผ่านแอพนี้ได้ เมื่อผู้ใช้แจ้งให้คุณแชร์ข้อมูลแพลตฟอร์ม

โปรดอธิบายว่าผู้ใช้แจ้งให้คุณแชร์ข้อมูลแพลตฟอร์มกับบุคคลหรือธุรกิจอื่นอย่างไร

3.1-4.i.B. โปรดอัพโหลดภาพหน้าจอที่แสดงขั้นตอนการขอความยินยอมเพื่อแชร์ข้อมูลดังกล่าว โปรดตรวจสอบให้แน่ใจว่าไฟล์ไม่มีการป้องกันด้วยรหัสผ่าน คุณสามารถอัพโหลดได้หลายไฟล์ ซึ่งแต่ละไฟล์ต้องมีขนาดไม่เกิน 2 GB โดยเรายอมรับไฟล์ .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip และ .zipx

การลบข้อมูล

3.1-5. คุณจะลบข้อมูลแพลตฟอร์มใน "ทุก" สถานการณ์ต่อไปนี้ ยกเว้นในกรณีที่ได้รับอนุญาตให้มีการเก็บรักษาข้อมูลภายใต้ข้อกำหนดของเราหรือไม่

a. เมื่อไม่จำเป็นต้องเก็บรักษาข้อมูลแพลตฟอร์มเพื่อวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมายอีกต่อไป

b. เมื่อผู้ใช้ร้องขอ

c. เมื่อผู้ใช้ไม่มีบัญชีในแอพพลิเคชั่นของคุณอีกต่อไป (เลือกข้อนี้ในกรณีที่คุณมีบัญชีผู้ใช้ให้บริการเท่านั้น)

d. เมื่อ Meta ร้องขอ และ

e. เมื่อกฎหมายหรือข้อบังคับกำหนดว่าต้องลบ

สำหรับคำถามนี้ "ข้อมูลแพลตฟอร์ม" จะไม่รวมข้อมูลที่ระบุไว้ในข้อกำหนดแพลตฟอร์ม 3.e "ข้อยกเว้น" โปรดตรวจสอบข้อกำหนดแพลตฟอร์ม 3d "การเก็บรักษา การลบ และการเข้าถึงข้อมูลแพลตฟอร์ม" เพื่อทำความเข้าใจข้อกำหนดในการลบของเรา โปรดทราบว่าในบางสถานการณ์ คุณไม่จำเป็นต้องลบข้อมูลแพลตฟอร์มหากข้อมูลนั้นถูกรวมเข้าด้วยกัน ถูกทำให้คลุมเครือ หรือถูกลบข้อมูลระบุตัวตนออก เพื่อไม่ให้สามารถเชื่อมโยงกับผู้ใช้ เบราว์เซอร์ หรืออุปกรณ์ที่เฉพาะเจาะจงได้ การเก็บรักษาข้อมูลที่รวมเข้าด้วยกันและไม่ระบุตัวตนเพื่อวัตถุประสงค์ทางธุรกิจที่สอดคล้องกับประสบการณ์ของผู้ใช้ เช่น การเรียกเก็บเงิน เป็นสิ่งที่อนุญาตให้ทำได้

[ ] ใช่
[ ] ไม่

หากคำถามที่ 3.1-5 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-5.a. คุณจะ "ไม่" ลบข้อมูลแพลตฟอร์มภายใต้สถานการณ์ใดบ้างที่ระบุข้างต้น เพราะเหตุใด

3.1-6. หากคุณลบข้อมูลแพลตฟอร์มในสถานการณ์ที่อ้างถึงข้างต้น คุณดำเนินขั้นตอนเพื่อลบข้อมูลแพลตฟอร์มโดยเร็วที่สุดเท่าที่สามารถทำได้ตามความสมควรหรือไม่

"เท่าที่สามารถทำได้ตามความสมควร" อาจขึ้นอยู่กับระบบและข้อมูล แต่โดยทั่วไปแล้วไม่ควรเกิน 120 วัน คำถามนี้มีผลใช้กับข้อมูลแพลตฟอร์มเท่านั้น ไม่ใช่กับข้อมูลที่แอพนี้รวบรวมหรือจัดเก็บโดยอิสระ

คำถามนี้ไม่มีผลใช้กับข้อมูลแพลตฟอร์มที่คุณจำเป็นต้องเก็บไว้ในลักษณะอื่นใดภายใต้กฎหมายหรือข้อบังคับที่บังคับใช้

[ ] ใช่
[ ] ไม่

คุณจะเก็บรักษาข้อมูลแพลตฟอร์มไว้นานเกิน 120 วันภายใต้เงื่อนไขใดบ้าง หมายเหตุ: คำถามนี้ไม่มีผลใช้กับข้อมูลแพลตฟอร์มที่คุณจำเป็นต้องเก็บไว้ในลักษณะอื่นใดภายใต้กฎหมายหรือข้อบังคับที่บังคับใช้

หากคำถามที่ 3.1-6 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-6.a. คุณจะเก็บรักษาข้อมูลแพลตฟอร์มไว้นานเกิน 120 วันภายใต้เงื่อนไขใดบ้าง

หมายเหตุ: คำถามนี้ไม่มีผลใช้กับข้อมูลแพลตฟอร์มที่คุณจำเป็นต้องเก็บไว้ในลักษณะอื่นใดภายใต้กฎหมายหรือข้อบังคับที่บังคับใช้

หากคำถามที่ 3.1-5 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-5.b. คุณระบุไว้ข้างต้นว่าคุณลบข้อมูลแพลตฟอร์มเมื่อข้อมูลดังกล่าวไม่จำเป็นต่อวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมายอีกต่อไป โปรดอธิบายว่าคุณมีวิธีพิจารณาอย่างไรว่าข้อมูลแพลตฟอร์มดังกล่าวไม่จำเป็นต่อวัตถุประสงค์ทางธุรกิจที่ชอบด้วยกฎหมายอีกต่อไป

สำหรับคำถามข้อนี้ "ข้อมูลแพลตฟอร์ม" จะไม่รวมถึงข้อมูลที่ระบุไว้ในข้อกำหนดของแพลตฟอร์ม 3(e)

3.1-5.c. คุณระบุไว้ข้างต้นว่าคุณลบข้อมูลแพลตฟอร์มเมื่อผู้ใช้ร้องขอ โปรดอธิบายวิธีที่ผู้ใช้สามารถส่งคำขอให้ลบข้อมูลของตนเองได้ โปรดแนบภาพหน้าจอ (ถ้ามี)

โปรดตรวจสอบให้แน่ใจว่าไฟล์ไม่มีการป้องกันด้วยรหัสผ่าน คุณสามารถอัพโหลดได้หลายไฟล์ ซึ่งแต่ละไฟล์ต้องมีขนาดไม่เกิน 2 GB โดยเรายอมรับไฟล์ .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip และ .zipx

การรักษาความปลอดภัยของข้อมูล

3.1-A. ภายใต้ข้อกำหนดของแพลตฟอร์ม 6.a.i Meta กำหนดให้คุณต้องรักษามาตรการป้องกันทางการบริหารจัดการ ทางกายภาพ และทางเทคนิคที่ออกแบบมาเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การทำลาย การสูญหาย การปรับเปลี่ยน การเปิดเผย การแจกจ่าย หรือการละเมิดความปลอดภัยของข้อมูลแพลตฟอร์ม

โปรดดูข้อมูลเพิ่มเติมที่หลักปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยของข้อมูลสำหรับผู้พัฒนา ภาพรวมของการประเมินการคุ้มครองข้อมูล และคำถามที่พบบ่อย

โปรดปรึกษาบุคคลที่เหมาะสมก่อนที่คุณจะตอบคำถามชุดต่อไป ซึ่งบุคคลเหล่านี้ควรประกอบด้วยหัวหน้าฝ่ายความปลอดภัยสารสนเทศ ผู้ที่มีบทบาทเทียบเท่าในองค์กรของคุณ หรือบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ที่มีคุณสมบัติเหมาะสม (เช่น บริษัทที่มีประสบการณ์อย่างน้อย 5 ปีในการดำเนินการตรวจสอบมาตรฐาน ISO 27001) เพื่อให้มั่นใจว่าคุณจะตอบคำถามได้อย่างถูกต้อง

ทำเครื่องหมายที่ "ฉันเข้าใจแล้ว" เพื่อดำเนินการประเมินต่อ

[ ] ฉันเข้าใจแล้ว

3.1-B. ขอแจ้งให้ทราบอีกครั้งว่า "ข้อมูลแพลตฟอร์ม" ได้รับการนิยามไว้ในอภิธานศัพท์เกี่ยวกับข้อกำหนดแพลตฟอร์มว่าเป็น "สารสนเทศ ข้อมูล หรือเนื้อหาอื่นๆ ที่คุณได้รับจากเราผ่านแพลตฟอร์มหรือผ่านแอพของคุณ ไม่ว่าโดยทางตรงหรือทางอ้อม และไม่ว่าจะได้รับก่อน ในวันที่ หรือหลังวันที่คุณยินยอมตามข้อกำหนดเหล่านี้ รวมถึงข้อมูลไม่ระบุตัวตน ข้อมูลที่รวมเข้าด้วยกัน หรือข้อมูลที่ได้มาจากข้อมูลดังกล่าว ข้อมูลแพลตฟอร์มรวมไปถึงโทเค็นของแอพ โทเค็นของเพจ โทเค็นการเข้าถึง ข้อมูลลับของแอพ และโทเค็นของผู้ใช้”

เพื่อหลีกเลี่ยงข้อสงสัย ข้อมูลนี้จะรวมถึงข้อมูลต่างๆ เช่น ID ผู้ใช้, อีเมล และข้อมูลทั้งหมดที่คุณได้รับจากการเรียกใช้ API ไปยัง graph.facebook.com

ในการตอบคำถามต่อไปนี้ คุณจะต้องเข้าใจอย่างถี่ถ้วนว่าข้อมูลแพลตฟอร์มของ Meta ที่เกี่ยวข้องกับแอพนี้ได้รับการส่ง จัดเก็บ และประมวลผลในซอฟต์แวร์และระบบของคุณอย่างไร

คำถามนี้มีผลใช้กับสิทธิ์การอนุญาต ฟีเจอร์ และความสามารถทั้งหมดในแอพนี้ โปรดไปที่แดชบอร์ดของแอพเพื่อดูสิทธิ์การอนุญาต ฟีเจอร์ และความสามารถในแอพนี้ คุณสามารถไปที่แดชบอร์ดได้ด้วยการเลือกแอพในหน้า "แอพของฉัน"

เลือก "ฉันเข้าใจแล้ว" เพื่อดำเนินการต่อ

[ ] ฉันเข้าใจแล้ว

3.1-7. หากคุณมีใบรับรองการรักษาความปลอดภัยของข้อมูลที่ตรงตามเกณฑ์ต่อไปนี้ครบทุกข้อ คุณสามารถส่งใบรับรองเพื่อเป็นหลักฐานว่าคุณได้ใช้มาตรการป้องกันทางการบริหารจัดการ ทางกายภาพ และทางเทคนิคอย่างเพียงพอแล้ว โดยมีจุดมุ่งหมายเพื่อคุ้มครองข้อมูลแพลตฟอร์ม

ประเภทใบรับรองต้องเป็น SOC 2, ISO 27001, ISO 27018 หรือเทียบเท่า
ผู้ตรวจสอบอิสระต้องออกใบรับรองให้แก่องค์กรของคุณ (ไม่ใช่การออกให้แก่บุคคลที่สาม)
ใบรับรองต้องยังไม่หมดอายุ โดยในกรณีที่เป็นใบรับรอง SOC 2 จะต้องออกให้ไม่เกิน 1 ปีที่ผ่านมา หรือถ้าเป็นใบรับรอง ISO จะต้องออกให้ไม่เกิน 3 ปีที่ผ่านมา
ขอบเขตของการตรวจสอบจะต้องครอบคลุมระบบต่างๆ ที่คุณใช้เพื่อประมวลผลข้อมูลแพลตฟอร์มของ Meta อย่างครบถ้วน

คุณมีการรับรองการรักษาความปลอดภัยที่ตรงตามเกณฑ์เหล่านี้หรือไม่

[ ] ใช่ [ ] ไม่

หากคำถามที่ 3.1-7 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-7.a. คุณมีใบรับรองการรักษาความปลอดภัยของข้อมูลใดบ้าง เลือกทุกข้อที่ใช่ * [ ] รายงาน SOC2 ประเภท 2 * [ ] ใบรับรอง ISO 27001 * [ ] ใบรับรอง ISO 27018 * [ ] ใบรับรองอื่นที่เทียบเท่า * หากคุณเลือก "ใบรับรองอื่นที่เทียบเท่า" ระบบจะถามคำถามต่อไปนี้กับคุณ: * ใบรับรองการรักษาความปลอดภัยนี้ชื่อว่าอะไร

3.1-7.a.i.B. โปรดอัพโหลดสำเนาใบรับรองการรักษาความปลอดภัยของคุณ โปรดตรวจสอบให้แน่ใจว่าไฟล์ไม่มีการป้องกันด้วยรหัสผ่าน คุณสามารถอัพโหลดได้หลายไฟล์ ซึ่งแต่ละไฟล์ต้องมีขนาดไม่เกิน 2 GB โดยเรายอมรับไฟล์ .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip และ .zipx

หากคำถามที่ 3.1-7.a คุณเลือกข้อ "d" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-7.a.i.A. ใบรับรองการรักษาความปลอดภัยนี้ชื่อว่าอะไร

3.1-8. คุณจัดเก็บข้อมูลแพลตฟอร์มในสภาพแวดล้อมแบ็คเอนด์ (เช่น ฐานข้อมูล บักเก็ตเก็บข้อมูลอ็อบเจ็กต์ หรือพื้นที่เก็บข้อมูลแบบบล็อกภายในระบบคลาวด์หรือสภาพแวดล้อมที่มีการโฮสต์ประเภทอื่นๆ) หรือไม่

โปรดเลือกคำตอบว่า "ใช่" หากคุณเขียนข้อมูลแพลตฟอร์มลงในพื้นที่เก็บข้อมูลถาวรในสภาพแวดล้อมระบบคลาวด์หรือเซิร์ฟเวอร์แบ็คเอนด์ที่ยังคงเก็บรักษาข้อมูลไว้หลังจากปิดอุปกรณ์นั้นๆ แล้ว เช่น ในดิสก์ ไฟล์บันทึก หรือฐานข้อมูลที่สามารถเข้าถึงผ่านเว็บไซต์หรือ API

โปรดเลือกคำตอบว่า "ไม่" หากคุณดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้

ประมวลผลข้อมูลแพลตฟอร์มบนไคลเอ็นต์ที่ผู้ใช้ปลายทางแอพของคุณเป็นเจ้าของเท่านั้น และไม่ส่งข้อมูลแพลตฟอร์มไปยังสภาพแวดล้อมแบ็คเอนด์
ประมวลผลข้อมูลแพลตฟอร์มในสภาพแวดล้อมแบ็คเอนด์ แต่ไม่ได้เขียนข้อมูลดังกล่าวลงในพื้นที่เก็บข้อมูลถาวรแต่อย่างใด
[ ] ใช่
[ ] ไม่

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-8.a. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณจัดเก็บข้อมูลแพลตฟอร์มประเภทใดต่อไปนี้ไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ เลือกทุกข้อที่ใช่

"สภาพแวดล้อมแบ็คเอนด์" หมายถึงสภาพแวดล้อมระบบคลาวด์หรือเซิร์ฟเวอร์ที่ลูกค้าของคุณสามารถเข้าถึงได้จากระยะไกล เช่น เว็บไซต์หรือ API เว็บ
"จัดเก็บ" หมายถึงการเขียนข้อมูลแพลตฟอร์มลงในสภาพแวดล้อมใดก็ตามที่ยังคงเก็บรักษาข้อมูลไว้หลังจากปิดเครื่อง (เช่น ไฟล์บันทึก อ็อบเจ็กต์หรือฐานข้อมูลเชิงสัมพันธ์ หรือดิสก์)

a. ID ผู้ใช้บน Meta หรือ ID ผู้ใช้ที่แฮช

b. อีเมล

c. รูปโปรไฟล์

d. โทเค็นการเข้าถึงผู้ใช้ API ของ Meta

e. ข้อมูลลับของแอพ

f. ข้อมูลแพลตฟอร์มอื่นๆ นอกเหนือจากที่ระบุข้างต้น

3.1-8.b. คุณใช้โซลูชั่นโฮสติ้งใดต่อไปนี้ในการประมวลผลข้อมูลแพลตฟอร์มในสภาพแวดล้อมแบ็คเอนด์ของคุณ

"สภาพแวดล้อมแบ็คเอนด์" หมายถึงสภาพแวดล้อมระบบคลาวด์หรือเซิร์ฟเวอร์ที่ลูกค้าของคุณสามารถเข้าถึงได้จากระยะไกล เช่น เว็บไซต์หรือ API เว็บ

เลือกทุกข้อที่ใช่

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba/Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. ศูนย์ข้อมูลขององค์กรอื่นที่มีเซิร์ฟเวอร์ที่องค์กรของฉันเป็นเจ้าของ

k. ศูนย์ข้อมูลและเซิร์ฟเวอร์ที่เป็นขององค์กรของฉัน

l. อื่นๆ

หากคำถามที่ 3.1-8.b คุณเลือกข้อ "l" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-8.b.i. ในคำถามก่อนหน้านี้ คุณเลือก "อื่นๆ" เพื่อระบุว่าคุณใช้ตัวเลือกการโฮสต์ที่อยู่นอกเหนือจากรายการข้างต้น โปรดอธิบายวิธีการโฮสต์สภาพแวดล้อมแบ็คเอนด์ของคุณ

หากคำถามที่ 3.1-8.a คุณเลือกข้อ "b", "c", "d", "e" หรือ "f" และคำถามที่ 3.1-8.b คุณเลือกข้อ "c", "h", "i", "j", "k" หรือ "l" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-9.a. คุณได้บังคับใช้การเข้ารหัสข้อมูลที่จัดเก็บกับข้อมูลแพลตฟอร์มทั้งหมดที่คุณจัดเก็บในสภาพแวดล้อมแบ็คเอนด์ของคุณหรือไม่

การเข้ารหัสข้อมูลที่จัดเก็บจะช่วยคุ้มครองข้อมูลแพลตฟอร์มโดยการทำให้ข้อมูลดังกล่าวอยู่ในรูปแบบที่ไม่สามารถถอดรหัสได้หากไม่มีคีย์ถอดรหัส ซึ่งจะช่วยป้องกันการเข้าถึงเพื่ออ่านโดยไม่ได้รับอนุญาตเพิ่มเติมอีกชั้นหนึ่ง หากคุณจัดเก็บข้อมูลแพลตฟอร์มในสภาพแวดล้อมแบ็คเอนด์ เรากำหนดให้คุณต้องคุ้มครองข้อมูลดังกล่าวด้วยการเข้ารหัสข้อมูลที่จัดเก็บหรือการคุ้มครองด้วยทางเลือกอื่นที่ยอมรับได้

ผู้ให้บริการโฮสติ้งบางรายเปิดใช้งานการเข้ารหัสข้อมูลที่จัดเก็บเป็นค่าเริ่มต้น หรือมีตัวเลือกการกำหนดค่าเพื่อเปิดใช้งาน โปรดตรวจสอบยืนยันว่ามีการใช้การเข้ารหัสข้อมูลที่จัดเก็บกับบริการที่คุณใช้ในการจัดเก็บข้อมูลแพลตฟอร์มหรือไม่ก่อนตอบคำถามนี้ หากมีการใช้ ให้ตอบว่า "ใช่" ในคำถามนี้

"สภาพแวดล้อมแบ็คเอนด์" หมายถึงสภาพแวดล้อมระบบคลาวด์หรือเซิร์ฟเวอร์ที่ลูกค้าของคุณสามารถเข้าถึงได้จากระยะไกล เช่น เว็บไซต์หรือ API เว็บ

[ ] ใช่

[ ] ไม่ แต่ผู้ให้บริการโฮสติ้งของเรามีใบรับรอง SOC 2 หรือ ISO 27001 ที่ระบุว่ามีการประเมินการรักษาความปลอดภัยทางกายภาพและการควบคุมการกำจัดสื่ออย่างปลอดภัยของผู้ให้บริการเหล่านี้โดยบุคคลที่สามแล้ว

[ ] ไม่

หากคำถามที่ 3.1-8.a คุณเลือกข้อ "b", "c", "d", "e" หรือ "f" และคำถามที่ 3.1-8.b คุณไม่ได้เลือกข้อ "c", "h", "i", "j", "k" หรือ "l" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-9.b. คุณได้บังคับใช้การเข้ารหัสข้อมูลที่จัดเก็บกับข้อมูลแพลตฟอร์มทั้งหมดที่คุณจัดเก็บในสภาพแวดล้อมแบ็คเอนด์ของคุณหรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-9.a คุณเลือกคำตอบว่า "ใช่" หรือคำถามที่ 3.1-9.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

ข้อจำกัดความรับผิดชอบ: คำถามนี้มีผลใช้กับผู้พัฒนาบางรายเท่านั้น โปรดดูแบบฟอร์มการประเมินของคุณโดยเฉพาะเพื่อพิจารณาว่าข้อกำหนดเหล่านี้มีผลใช้กับคุณหรือไม่

3.1-9.b.i. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณบังคับใช้การเข้ารหัสข้อมูลที่จัดเก็บกับข้อมูลแพลตฟอร์มทั้งหมดที่จัดเก็บไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุว่าข้อมูลแพลตฟอร์มทั้งหมดที่จัดเก็บไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณต้องได้รับการคุ้มครองด้วยการเข้ารหัสข้อมูลที่จัดเก็บ

หากคุณจัดหมวดหมู่และคุ้มครองข้อมูลแตกต่างกันออกไปตามชุดระดับความละเอียดอ่อนของข้อมูล คำอธิบายของคุณควรระบุให้ชัดเจนว่าคุณกำหนดให้ข้อมูลแพลตฟอร์มที่ได้รับจาก Meta มีความละเอียดอ่อนอยู่ในระดับใด และคุณควรอัพโหลดนโยบายที่เกี่ยวข้องด้วย

โปรดไฮไลท์หรือวงกลมเนื้อหาในนโยบายของคุณที่กล่าวถึงเงื่อนไขเหล่านี้

3.1-9.b.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ภาพถ่ายหน้าจอของอินสแตนซ์ฐานข้อมูล) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ โดยข้อมูลแพลตฟอร์มทั้งหมดที่จัดเก็บไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณต้องได้รับการคุ้มครองด้วยการเข้ารหัสข้อมูลที่จัดเก็บ

หากคำถามที่ 3.1-9.a คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-9.c.i. คุณมีหลักฐานประเภทใดที่แสดงให้เห็นว่ามีการประเมินการรักษาความปลอดภัยทางกายภาพและการควบคุมการกำจัดสื่ออย่างปลอดภัยของผู้ให้บริการโฮสติ้งของคุณแล้ว

เพื่อแสดงให้เห็นว่าคุณปฏิบัติตามข้อกำหนดของแพลตฟอร์มของ Meta คุณจะต้องยืนยันว่าการตรวจสอบมาตรฐาน ISO 27001 หรือ SOC 2 ของผู้ให้บริการโฮสติ้งนั้นครอบคลุมถึงการรักษาความปลอดภัยทางกายภาพและการควบคุมการกำจัดสื่ออย่างปลอดภัย ซึ่งในมาตรฐาน ISO/IEC 27001 ปี 2013 หรือ 2017 จะหมายถึงการควบคุมข้อที่ A.8.3, A.11.1 และ A.11.2 ส่วนในมาตรฐาน SOC 2 จะหมายถึงการควบคุมข้อที่ CC6.4 และ CC6.5

a. การตรวจสอบมาตรฐาน ISO 27001 ของผู้ให้บริการโฮสติ้งของฉัน โดยมีเอกสารแสดงการประยุกต์ใช้ (Statement of Applicability - SOA) ที่เกี่ยวข้องที่ระบุว่ามีการประเมินการรักษาความปลอดภัยทางกายภาพและการควบคุมการกำจัดสื่ออย่างปลอดภัย

b. รายงานการตรวจสอบมาตรฐาน SOC 2 ที่ระบุว่ามีการทดสอบการรักษาความปลอดภัยทางกายภาพและการควบคุมการกำจัดสื่ออย่างปลอดภัย และไม่พบปัญหาเกี่ยวกับการควบคุมเหล่านี้

c. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-9.c.i คุณเลือกข้อ "a" หรือ "b" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-9.c.ii. มีการออกใบรับรอง ISO 27001 หรือ SOC 2 ให้กับผู้ให้บริการโฮสติ้งของคุณเมื่อใด

3.1-10. มีบุคลากรใดในองค์กรของคุณจัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ปลายทางขององค์กรหรืออุปกรณ์ส่วนตัว (เช่น แล็ปท็อปหรือสมาร์ทโฟน) หรือไม่

"จัดเก็บ" หมายถึงการเขียนข้อมูลแพลตฟอร์มลงในสภาพแวดล้อมใดก็ตามที่ยังคงเก็บรักษาข้อมูลไว้หลังจากปิดเครื่อง เช่น แล็ปท็อป, ไดรฟ์ USB, ฮาร์ดไดรฟ์แบบพกพา และบริการจัดเก็บข้อมูลในระบบคลาวด์ เช่น Dropbox หรือ Google Drive

หมายเหตุ: ข้อมูลแพลตฟอร์มที่อยู่ในไคลเอ็นต์สำหรับเว็บหรือมือถือสำหรับผู้ใช้บริการของคุณแต่ละรายจะไม่อยู่ในขอบเขตของคำถามข้อนี้

[ ] ใช่ มีบุคลากรในองค์กรของฉันอย่างน้อย 1 คนจัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัว
[ ] ไม่ ทุกคนในองค์กรของฉันไม่ได้จัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวในทุกกรณี

หากคำถามที่ 3.1-10 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.a. เมื่อบุคลากรในองค์กรของคุณจัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ปลายทางขององค์กรหรืออุปกรณ์ส่วนตัว คุณใช้การป้องกันใดต่อไปนี้เพื่อลดความเสี่ยงที่ข้อมูลจะเกิดการสูญหาย

เรากำหนดให้คุณต้องใช้การป้องกันที่ช่วยลดความเสี่ยงที่ผู้อื่นจะเข้าถึงข้อมูลแพลตฟอร์มที่จัดเก็บ

เลือกทุกข้อที่ใช่

a. ซอฟต์แวร์หรือบริการที่บังคับใช้การเข้ารหัสแบบทั้งดิสก์บนอุปกรณ์ขององค์กร (เช่น Bitlocker หรือ FileVault)

b. ซอฟต์แวร์ป้องกันการสูญหายของข้อมูล (DLP) บนอุปกรณ์ปลายทางบนอุปกรณ์ที่ได้รับการจัดการทุกเครื่อง เพื่อติดตามและลงบันทึกการดำเนินการที่เกี่ยวข้องกับข้อมูลแพลตฟอร์มที่จัดเก็บ

c. บุคลากรในองค์กรของฉันต้องปฏิบัติตามนโยบายการใช้งานที่ยอมรับได้ ซึ่งอนุญาตให้ประมวลผลข้อมูลแพลตฟอร์มได้ก็ต่อเมื่อมีวัตถุประสงค์ทางธุรกิจที่ชัดเจนและสามารถดำเนินการได้เท่านั้น และมีการระบุว่าจะต้องลบข้อมูลเมื่อวัตถุประสงค์ทางธุรกิจดังกล่าวสิ้นสุดลง

d. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-10.a คุณเลือกข้อ "a" หรือ "b" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.a.i. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณคุ้มครองข้อมูลแพลตฟอร์มที่จัดเก็บบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวโดยการใช้การเข้ารหัสแบบทั้งดิสก์บนอุปกรณ์เหล่านี้หรือด้วยซอฟต์แวร์ป้องกันการสูญหายของข้อมูล (DLP) บนอุปกรณ์ปลายทาง โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณนำการคุ้มครองทางเทคนิคนี้ไปใช้

หากคำถามที่ 3.1-10.a คุณเลือกข้อ "a" หรือ "b" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.a.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การคุ้มครองทางเทคนิคที่ใช้กับข้อมูลแพลตฟอร์มที่จัดเก็บบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัว [คำถามหลัก]

ตัวอย่างเช่น:

ภาพถ่ายหน้าจอนโยบายกลุ่มที่กำหนดให้ต้องเปิดใช้งาน BitLocker สำหรับอุปกรณ์ที่ได้รับการจัดการ
ภาพถ่ายหน้าจอเครื่องมือการจัดการ DLP ที่แสดงให้เห็นว่ามีการเปิดใช้งานการติดตามข้อมูล PII สำหรับอุปกรณ์ปลายทางทุกเครื่อง
ภาพถ่ายหน้าจอเครื่องมือหรือผลิตภัณฑ์อื่นที่ผู้ดูแลระบบไอทีของคุณใช้ในการบังคับใช้ให้มีการใช้การคุ้มครองทางเทคนิคกับอุปกรณ์ขององค์กรทุกเครื่อง
โปรดตรวจสอบให้แน่ใจว่าไฟล์ไม่มีการป้องกันด้วยรหัสผ่าน คุณสามารถอัพโหลดได้หลายไฟล์ ซึ่งแต่ละไฟล์ต้องมีขนาดไม่เกิน 2 GB โดยเรายอมรับไฟล์ .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip และ .zipx

หากคำถามที่ 3.1-10.a คุณเลือกข้อ "c" เพียงข้อเดียว ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.a.iii. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าบุคลากรในองค์กรของคุณต้องปฏิบัติตามนโยบายการใช้งานที่ยอมรับได้เมื่อจัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัว โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่มีนโยบายการใช้งานที่ยอมรับได้ของคุณ

คุณจะต้องอธิบายรายละเอียดต่อไปนี้ในนโยบายดังกล่าวอย่างชัดเจน

วัตถุประสงค์ทางธุรกิจที่อนุญาตสำหรับการประมวลผลข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัว
ข้อกำหนดในการลบข้อมูลดังกล่าวเมื่อวัตถุประสงค์นี้สิ้นสุดลง

3.1-10.a.iv. ฉันสามารถยืนยันได้ว่าบุคลากรทุกคนในองค์กรของฉันที่อาจประมวลผลข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวได้รับข้อมูลเกี่ยวกับนโยบายการใช้งานที่ยอมรับได้ที่มีผลบังคับใช้กับข้อมูลนี้ ยอมรับว่าตนเข้าใจนโยบายนี้ และได้รับข้อมูลเกี่ยวกับนโยบายนี้โดยเป็นส่วนหนึ่งของการฝึกอบรมพนักงานใหม่

[ ] ใช่ ฉันสามารถยืนยันได้

[ ] ไม่ ฉันไม่สามารถยืนยันได้

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" และคำถามที่ 3.1-10 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.b. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าทุกคนในองค์กรของคุณไม่ได้จัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวในทุกกรณี

คุณได้แนะนำให้บุคลากรในองค์กรทราบว่าเราไม่อนุญาตให้จัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวในทุกกรณี และได้กำหนดให้บุคลากรต้องรับทราบข้อกำหนดนี้หรือไม่

นโยบายของเรากำหนดให้องค์กรต่างๆ ต้องแนะนำบุคลากรทุกคนในองค์กร รวมถึงผู้ใช้ที่มีสิทธิพิเศษระดับสูง เช่น ผู้ดูแล ให้ทราบว่าเราไม่อนุญาตให้จัดเก็บข้อมูลแพลตฟอร์ม

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ไม่" และคำถามที่ 3.1-10 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.c. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าทุกคนในองค์กรของคุณไม่ได้จัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวในทุกกรณี

[ ] ใช่

[ ] ไม่จำเป็นต้องมีนโยบายดังกล่าว เนื่องจากบุคลากรในองค์กรของฉันไม่สามารถเข้าถึงข้อมูลแพลตฟอร์มได้

[ ] ไม่

หากคำถามที่ 3.1-10.b หรือคำถามที่ 3.1-10.c คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-10.c.i. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าบุคลากรในองค์กรของคุณไม่ได้จัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัวในทุกกรณี โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุว่าบุคลากรในองค์กรของคุณจะต้องไม่จัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์เหล่านี้

3.1-10.c.ii. ฉันสามารถยืนยันได้ว่าบุคลากรทุกคนในองค์กรของฉัน:

ได้รับข้อมูลเกี่ยวกับนโยบายที่ไม่อนุญาตให้บุคลากรจัดเก็บข้อมูลแพลตฟอร์มบนอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนตัว

ยอมรับว่าตนเข้าใจนโยบายนี้

ได้รับข้อมูลเกี่ยวกับนโยบายนี้โดยเป็นส่วนหนึ่งของการฝึกอบรมพนักงานใหม่

[ ] ใช่ ฉันสามารถยืนยันได้

[ ] ไม่ ฉันไม่สามารถยืนยันได้

3.1-10.d. โปรดอัพโหลดแผนผังเส้นทางของข้อมูลและคำอธิบายว่าแอพของคุณใช้งานข้อมูลแพลตฟอร์มอย่างไรบ้าง

ข้อมูลควรมีรายละเอียดต่อไปนี้ด้วย

แสดงวิธีที่แอพของคุณเรียกใช้ API ของ Meta เช่น graph.facebook.com และระบุองค์ประกอบทั้งหมดที่ใช้ข้อมูลแพลตฟอร์ม ซึ่งรวมถึงองค์ประกอบที่จัดเก็บ แคช ประมวลผล หรือถ่ายโอนข้อมูลแพลตฟอร์มผ่านเครือข่าย

อธิบายกรณีการใช้งานหลัก (กล่าวคือ ขั้นตอนที่ให้ผลลัพธ์ที่มีคุณค่าแก่ผู้ใช้แอพของคุณ) ที่คุณสนับสนุน

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-11.a. คุณเปิดใช้งานโปรโตคอลการรักษาความปลอดภัย TLS 1.2 ขึ้นไปเพื่อเข้ารหัสข้อมูลสำหรับการเชื่อมต่อเครือข่ายทั้งหมดที่ส่งผ่าน เชื่อมต่อ หรือข้ามเครือข่ายสาธารณะที่มีการส่งข้อมูลแพลตฟอร์มหรือไม่

การเข้ารหัสข้อมูลที่ถ่ายโอนจะช่วยคุ้มครองข้อมูลแพลตฟอร์มเมื่อมีการส่งข้อมูลดังกล่าวผ่านเครือข่ายที่ไม่น่าเชื่อถือ (เช่น อินเทอร์เน็ต) ด้วยการทำให้ข้อมูลดังกล่าวอยู่ในรูปแบบที่ไม่สามารถถอดรหัสได้ เว้นแต่จะดำเนินการในอุปกรณ์ต้นทางและปลายทาง บุคคลที่ไม่ได้อยู่ที่ต้นทางและปลายทางของการส่งข้อมูลจะไม่สามารถอ่านข้อมูลแพลตฟอร์มได้ แม้จะมองเห็นการรับส่งข้อมูลในเครือข่ายก็ตาม (หรือที่เรียกกว่า "การจู่โจมโดยคนกลาง") TLS เป็นรูปแบบการเข้ารหัสข้อมูลที่ถ่ายโอนซึ่งใช้กันแพร่หลายที่สุด เนื่องจากเป็นเทคโนโลยีที่เบราว์เซอร์ต่างๆ ใช้เพื่อรักษาความปลอดภัยของการสื่อสารไปยังเว็บไซต์ต่างๆ เช่น เว็บไซต์ธนาคาร

เรากำหนดให้ตัวดักฟังเว็บทั้งหมด (เช่น โหลดบาลานเซอร์ที่เชื่อมต่อกับอินเทอร์เน็ต) ที่ได้รับหรือส่งคืนข้อมูลแพลตฟอร์มต้องเปิดใช้งาน TLS 1.2 ขึ้นไป คุณสามารถใช้ TLS 1.0 และ TLS 1.1 ได้เฉพาะในกรณีของการใช้งานร่วมกับอุปกรณ์ของไคลเอ็นต์ที่ไม่สามารถใช้ TLS 1.2 ขึ้นไปเท่านั้น เราแนะนำ (แต่ไม่ได้กำหนด) ให้ใช้การเข้ารหัสข้อมูลที่ถ่ายโอนกับการส่งข้อมูลแพลตฟอร์มที่อยู่ภายในเครือข่ายส่วนตัวที่เชื่อถือได้ที่คุณควบคุมครบทั้งหมด (เช่น ภายในระบบคลาวด์ส่วนตัวเสมือน (VPC)) โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดนี้และวิธีอัพโหลดหลักฐานที่จำเป็นที่ "ข้อกำหนดในการรักษาความปลอดภัยของข้อมูล" ของเรา

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-11.b. คุณเปิดใช้งานโปรโตคอลการรักษาความปลอดภัย TLS 1.2 ขึ้นไปเพื่อเข้ารหัสข้อมูลสำหรับการเชื่อมต่อเครือข่ายทั้งหมดที่ส่งผ่าน เชื่อมต่อ หรือข้ามเครือข่ายสาธารณะที่มีการส่งข้อมูลแพลตฟอร์มหรือไม่

[ ] ใช่

[ ] ไม่จำเป็นต้องดำเนินการนี้ เนื่องจากเราไม่ส่งข้อมูลแพลตฟอร์มผ่านอินเทอร์เน็ตด้วยเหตุผลใดก็ตามที่ไม่ใช่การส่งคำขอถึง Meta โดยตรง

[ ] ไม่

หากคำถามที่ 3.1-11.a หรือคำถามที่ 3.1-11.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-11.c. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณเปิดใช้งานโปรโตคอลการรักษาความปลอดภัย TLS 1.2 ขึ้นไปเพื่อเข้ารหัสข้อมูลที่ถ่ายโอน คุณตรวจสอบให้แน่ใจหรือไม่ว่าข้อมูลแพลตฟอร์มจะไม่ถูกส่งผ่านเครือข่ายสาธารณะในรูปแบบที่ไม่ได้เข้ารหัส (เช่น ผ่าน HTTP หรือ FTP) และไม่มีการใช้ SSL 2.0 และ SSL 3.0

เรากำหนดว่าจะต้องไม่มีการส่งข้อมูลแพลตฟอร์มผ่านเครือข่ายที่ไม่น่าเชื่อถือในรูปแบบที่ไม่ได้เข้ารหัส และคุณจะต้องไม่ใช้ SSL 2.0 หรือ SSL 3.0 เป็นอันขาด โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดนี้และวิธีอัพโหลดหลักฐานที่จำเป็นที่ "ข้อกำหนดในการรักษาความปลอดภัยของข้อมูล" ของเรา

[ ] ใช่

[ ] ไม่

3.1-11.a.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณเปิดใช้งานโปรโตคอลการรักษาความปลอดภัย TLS 1.2 ขึ้นไปสำหรับข้อมูลที่ถ่ายโอน

เอกสารของคุณควรมีข้อความต่อไปนี้ 1. ห้ามส่งข้อมูลแพลตฟอร์มโดยไม่เข้ารหัสข้อมูลที่ถ่ายโอน 2. ห้ามใช้ SSL เวอร์ชั่น 2 และ SSL เวอร์ชั่น 3 เป็นอันขาด

3.1-11.a.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ภาพถ่ายหน้าจอผลลัพธ์จากรายงาน Qualys SSL ที่เรียกใช้กับหนึ่งในโดเมนเว็บของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การเปิดใช้งานโปรโตคอลการรักษาความปลอดภัย TLS 1.2 ขึ้นไปสำหรับข้อมูลที่ถ่ายโอน [คำถามหลัก]

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.a. ในช่วง 12 เดือนที่ผ่านมา คุณใช้แนวทางใดต่อไปนี้ในการทดสอบซอฟต์แวร์ที่คุณใช้ประมวลผลข้อมูลแพลตฟอร์มเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัย

คำถามนี้หมายถึงซอฟต์แวร์ที่คุณสร้างหรือจัดทำแพ็คเกจ (เช่น ไลบรารีโค้ด) เพื่อประมวลผลข้อมูลแพลตฟอร์มเท่านั้น ไม่ได้หมายรวมถึงซอฟต์แวร์ที่สร้างหรือดูแลจัดการโดยบริษัทอื่น (เช่น ระบบปฏิบัติการ Android หรือ iOS)

เลือกทุกข้อที่ใช่

a. การทดสอบการรักษาความปลอดภัยของแอพพลิเคชั่นแบบคงที่ (SAST)

b. การทดสอบการรักษาความปลอดภัยของแอพพลิเคชั่นแบบไดนามิก (DAST)

c. การทดสอบเจาะระบบโดยทีมภายในองค์กร

d. การทดสอบเจาะระบบโดยบริษัทด้านการรักษาความปลอดภัยจากภายนอก

e. รายงานช่องโหว่จากนักวิจัยจากภายนอกที่ได้รับผ่าน Vulnerability Disclosure Program (VDP) หรือ Bug Bounty Program

f. แนวทางอื่นๆ ในการค้นหาช่องโหว่

g. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-12.a คุณเลือกข้อใดข้อหนึ่งตั้งแต่ "a" ถึง "g" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.a.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณทดสอบซอฟต์แวร์ที่ใช้ในการประมวลผลข้อมูลแพลตฟอร์มเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัย

คำอธิบายที่เป็นลายลักษณ์อักษรของคุณควรมีขั้นตอนการทดสอบต่อไปนี้ทั้งหมด

การทดสอบเพื่อหาช่องโหว่ด้านการรักษาความปลอดภัยอย่างน้อย 1 ครั้งทุกๆ 12 เดือน
มีกระบวนการในการคัดกรองช่องโหว่และปัญหาที่พบตามความรุนแรง
ตรวจสอบให้แน่ใจว่าช่องโหว่ที่มีความรุนแรงสูง (ซึ่งอาจส่งผลให้มีการเข้าถึงข้อมูลแพลตฟอร์มโดยไม่ได้รับอนุญาต) ได้รับการแก้ไขอย่างทันท่วงที

หากคำถามที่ 3.1-12.a คุณเลือกข้อใดข้อหนึ่งตั้งแต่ "a" ถึง "f" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.a.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ข้อมูลสรุปผลลัพธ์จากการทดสอบเจาะระบบ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การทดสอบซอฟต์แวร์ที่คุณใช้ในการประมวลผลข้อมูลแพลตฟอร์มเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัย

หลักฐานของคุณควรมีรายละเอียดต่อไปนี้ 1. คำอธิบายขอบเขตและวิธีการทดสอบ 2. วันที่ดำเนินการทดสอบ (วันที่ทดสอบที่เรายอมรับจะต้องไม่เกิดขึ้นก่อนวันที่เราแจ้งให้คุณทราบเกี่ยวกับการประเมินนี้นานเกิน 12 เดือน) 3. ข้อมูลสรุปเกี่ยวกับช่องโหว่ที่มีความรุนแรงระดับวิกฤตและระดับสูงที่ยังไม่ได้รับการแก้ไข (หากมี)

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.b. ในช่วง 12 เดือนที่ผ่านมา คุณใช้แนวทางใดต่อไปนี้ในการทดสอบเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัยในสภาพแวดล้อมแบ็คเอนด์ที่คุณประมวลผลข้อมูลแพลตฟอร์ม

คำถามนี้หมายถึงซอฟต์แวร์ที่คุณสร้างหรือจัดทำแพ็คเกจ (เช่น ไลบรารีโค้ด) เพื่อประมวลผลข้อมูลแพลตฟอร์มเท่านั้น ไม่ได้หมายรวมถึงซอฟต์แวร์ที่สร้างหรือดูแลจัดการโดยบริษัทอื่น (เช่น บริการวิเคราะห์ที่คุณพึ่งพาในฐานะผู้ให้บริการ)

เลือกทุกข้อที่ใช่

a. การทดสอบการรักษาความปลอดภัยของแอพพลิเคชั่นแบบคงที่ (SAST)

b. การทดสอบการรักษาความปลอดภัยของแอพพลิเคชั่นแบบไดนามิก (DAST)

c. การสแกนเว็บ

d. การทดสอบเจาะระบบโดยทีมภายในองค์กร

e. การทดสอบเจาะระบบโดยบริษัทด้านการรักษาความปลอดภัยจากภายนอก

f. รายงานช่องโหว่จากนักวิจัยจากภายนอกที่ได้รับผ่าน Vulnerability Disclosure Program (VDP) หรือ Bug Bounty Program

g. แนวทางอื่นๆ ในการค้นหาช่องโหว่

h. ไม่จำเป็นต้องใช้แนวทางเหล่านี้ เนื่องจากองค์กรของฉันใช้โซลูชั่นแบ็คเอนด์ที่ไม่ต้องใช้โค้ด

i. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-12.b คุณเลือกข้อใดข้อหนึ่งตั้งแต่ "a" ถึง "g" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.b.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณทดสอบเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัยในสภาพแวดล้อมแบ็คเอนด์ที่คุณประมวลผลข้อมูลแพลตฟอร์ม

การทดสอบเพื่อหาช่องโหว่ด้านการรักษาความปลอดภัยอย่างน้อย 1 ครั้งทุกๆ 12 เดือน
มีกระบวนการในการคัดกรองช่องโหว่และปัญหาที่พบตามความรุนแรง
ตรวจสอบให้แน่ใจว่าช่องโหว่ที่มีความรุนแรงสูง (ซึ่งอาจส่งผลให้มีการเข้าถึงข้อมูลแพลตฟอร์มโดยไม่ได้รับอนุญาต) ได้รับการแก้ไขอย่างทันท่วงที

3.1-12.b.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ข้อมูลสรุปผลลัพธ์จากการทดสอบเจาะระบบล่าสุด) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การทดสอบเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัยในสภาพแวดล้อมแบ็คเอนด์ที่คุณประมวลผลข้อมูลแพลตฟอร์ม

หลักฐานของคุณควรมีรายละเอียดต่อไปนี้

คำอธิบายขอบเขตและวิธีการทดสอบ
วันที่ดำเนินการทดสอบ (วันที่ทดสอบที่เรายอมรับจะต้องไม่เกิดขึ้นก่อนวันที่เราแจ้งให้คุณทราบเกี่ยวกับการประเมินนี้นานเกิน 12 เดือน)
ข้อมูลสรุปเกี่ยวกับช่องโหว่ที่มีความรุนแรงระดับวิกฤตและระดับสูงที่ยังไม่ได้รับการแก้ไข (หากมี)

หากคำถามที่ 3.1-8.b คุณเลือกข้อใดข้อหนึ่งระหว่าง "a" ถึง "b" หรือ "d" ถึง "i"

3.1-12.c. คุณทดสอบสภาพแวดล้อมระบบคลาวด์ที่คุณใช้ในการประมวลผลข้อมูลแพลตฟอร์มเพื่อหาการกำหนดค่าการรักษาความปลอดภัยที่ผิดพลาด (เช่น การใช้เครื่องมืออย่าง NCC Scout Suite ในการค้นหาการกำหนดค่าที่ผิดพลาด) อย่างน้อยทุกๆ 12 เดือนหรือไม่

Meta กำหนดให้คุณต้องดำเนินการทดสอบซอฟต์แวร์ของคุณเพื่อหาช่องโหว่และปัญหาด้านการรักษาความปลอดภัยอย่างน้อย 1 ครั้งทุกๆ 12 เดือน เพื่อป้องกันการเข้าถึงข้อมูลแพลตฟอร์มโดยไม่ได้รับอนุญาต

[ ] ใช่

[ ] ไม่จำเป็นต้องทดสอบ เนื่องจากองค์กรของฉันใช้เฉพาะบริการแบ็คเอนด์ที่ไม่เปิดเผยตัวเลือกการกำหนดค่าการรักษาความปลอดภัยที่ละเอียดอ่อน

[ ] ไม่

หากคำถามที่ 3.1-12.c คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.c.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณทดสอบสภาพแวดล้อมระบบคลาวด์ที่คุณใช้ในการประมวลผลข้อมูลแพลตฟอร์มเพื่อหาการกำหนดค่าการรักษาความปลอดภัยที่ผิดพลาด

การทดสอบเพื่อหาช่องโหว่ด้านการรักษาความปลอดภัยอย่างน้อย 1 ครั้งทุกๆ 12 เดือน
มีกระบวนการในการคัดกรองช่องโหว่และปัญหาที่พบตามความรุนแรง
ตรวจสอบให้แน่ใจว่าช่องโหว่ที่มีความรุนแรงสูง (ซึ่งอาจส่งผลให้มีการเข้าถึงข้อมูลแพลตฟอร์มโดยไม่ได้รับอนุญาต) ได้รับการแก้ไขอย่างทันท่วงที

หากคำถามที่ 3.1-12.c คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-12.c.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ข้อมูลสรุปการทดสอบด้วย NCC Scout Suite) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ ทดสอบสภาพแวดล้อมระบบคลาวด์ที่คุณใช้ในการประมวลผลข้อมูลแพลตฟอร์มเพื่อหาการกำหนดค่าการรักษาความปลอดภัยที่ผิดพลาด

หลักฐานของคุณควรมีรายละเอียดต่อไปนี้

คำอธิบายขอบเขตและวิธีการทดสอบ
วันที่ดำเนินการทดสอบ (วันที่ทดสอบที่เรายอมรับจะต้องไม่เกิดขึ้นก่อนวันที่เราแจ้งให้คุณทราบเกี่ยวกับการประเมินนี้นานเกิน 12 เดือน)
ข้อมูลสรุปเกี่ยวกับช่องโหว่ที่มีความรุนแรงระดับวิกฤตและระดับสูงที่ยังไม่ได้รับการแก้ไข (หากมี)

3.1-13.a. แอพหรือซอฟต์แวร์ของคุณเคยจัดเก็บโทเค็นการเข้าถึงบนอุปกรณ์ของลูกค้าหรือไคลเอ็นต์ที่แอพหรือผู้ใช้รายอื่นสามารถอ่านได้หรือไม่

"อุปกรณ์ของลูกค้าหรือไคลเอ็นต์" หมายถึงฮาร์ดแวร์ชิ้นหนึ่ง เช่น โทรศัพท์มือถือ Android หรือ iPhone ที่เป็นของผู้ใช้ปลายทางของแอพหรือบริการของคุณ

โปรดเลือกคำตอบว่า "ไม่" หากคุณไม่มีแอพหรือซอฟต์แวร์ที่ทำงานบนอุปกรณ์ของลูกค้าหรือไคลเอ็นต์ เช่น โทรศัพท์มือถือ

[ ] ใช่

[ ] ไม่

หากแอพนี้ไม่ได้รับการกำหนดค่าเป็นแอพบนเดสก์ท็อป/แอพแบบเนทีฟ ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-13.b. เคยมีการเปิดเผยข้อมูลลับของแอพ Facebook ต่ออุปกรณ์ของลูกค้าหรือไคลเอ็นต์ (เช่น ภายในโค้ดที่คอมไพล์ไว้) หรือไม่

[ ] ใช่

[ ] ใช่ แต่แอพของฉันได้รับการกำหนดค่าเป็นแอพบนเดสก์ท็อปหรือแอพแบบเนทีฟ

[ ] ไม่

หากคำถามที่ 3.1-8.a คุณเลือกข้อ "d" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-13.c. คุณได้รับคำถามนี้เนื่องจากคุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บโทเค็นการเข้าถึงผู้ใช้ API ของ Meta ไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณป้องกันไม่ให้มีการใช้งานโทเค็นเหล่านี้โดยไม่ได้รับอนุญาตอย่างไร

โทเค็นการเข้าถึงคือสิ่งที่ขาดไปไม่ได้ในการรักษาความปลอดภัยให้กับ API ของ Meta เรากำหนดให้ผู้พัฒนาต้องป้องกันไม่ให้มีการเข้าถึงโทเค็นการเข้าถึงโดยไม่ได้รับอนุญาต เรียนรู้เกี่ยวกับโทเค็นการเข้าถึง

เลือกทุกข้อที่ใช่

a. จัดเก็บข้อมูลนี้ไว้ใน Data Vault (เช่น Vault จาก Hashicorp) ที่มีบริการจัดการคีย์ (KMS) แยกต่างหาก

b. ใช้การเข้ารหัสแอพพลิเคชั่น (กล่าวคือ ไม่มีการเขียนโทเค็นการเข้าถึงผู้ใช้ลงในฐานข้อมูลหรือพื้นที่เก็บข้อมูลถาวรอื่นๆ โดยไม่ได้เข้ารหัส)

c. กำหนดค่าให้แอพต้องมีพารามิเตอร์ appsecret_proof เพื่อเรียกใช้ API ไปยัง Meta

d. ฉันใช้แนวทางอื่นในการคุ้มครองโทเค็นการเข้าถึงผู้ใช้

e. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-13.c คุณเลือกข้อ "a" "b", "c" หรือ "d" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-13.c.i. คำถามก่อนหน้านี้ถามว่าคุณป้องกันไม่ให้มีการใช้งานโทเค็นการเข้าถึงผู้ใช้ที่จัดเก็บไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณโดยไม่ได้รับอนุญาตอย่างไร โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณคุ้มครองโทเค็นการเข้าถึงเหล่านี้

คำอธิบายที่เป็นลายลักษณ์อักษรของคุณควรมีข้อมูลต่อไปนี้

คำอธิบายเกี่ยวกับวิธีที่โทเค็นการเข้าถึงผู้ใช้ได้รับการป้องกันไม่ให้มีการเข้าถึงเพื่ออ่านโดยไม่ได้รับอนุญาต
ข้อกำหนดที่ห้ามไม่ให้มีการเขียนโทเค็นการเข้าถึงผู้ใช้ลงในไฟล์บันทึกในรูปแบบ Cleartext (ไม่ได้เข้ารหัส)

3.1-13.c.ii โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ภาพถ่ายหน้าจอคีย์โทเค็นการเข้าถึง แต่ไม่ต้องแสดงค่าดังกล่าว) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การป้องกันไม่ให้มีการใช้งานโทเค็นการเข้าถึงที่จัดเก็บไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณโดยไม่ได้รับอนุญาต [คำถามหลัก]

หากคำถามที่ 3.1-8.a คุณเลือกข้อ "e" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-13.d. คุณได้รับคำถามนี้เนื่องจากคุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลลับของแอพไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณป้องกันไม่ให้มีการใช้งานข้อมูลลับของแอพโดยไม่ได้รับอนุญาตอย่างไร

ข้อมูลลับของแอพคือพารามิเตอร์ที่เกี่ยวข้องกับเทคโนโลยีในเครือ Meta ซึ่งสามารถใช้เป็นโทเค็นการเข้าถึงในการเรียกใช้ API บางประเภทเพื่อเปลี่ยนการกำหนดค่าของแอพ เช่น การกำหนดค่าการเรียกกลับของ Webhook คุณสามารถดูข้อมูลลับของแอพสำหรับแอพหนึ่งๆ ได้ที่แดชบอร์ดของแอพในส่วน "การตั้งค่า" > "พื้นฐาน" หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับข้อมูลลับของแอพ โปรดดูเอกสารประกอบสำหรับผู้พัฒนาของเราเกี่ยวกับการรักษาความปลอดภัยในการเข้าสู่ระบบ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับข้อกำหนดของเราในการคุ้มครองข้อมูลลับของแอพและโทเค็นการเข้าถึงผู้ใช้ รวมถึงหลักฐานที่คุณอาจจำเป็นต้องแสดง โปรดดู "คุ้มครองข้อมูลลับของแอพ Meta และโทเค็นการเข้าถึง"

เรากำหนดให้คุณต้องคุ้มครองข้อมูลลับของแอพโดยใช้หนึ่งในสองวิธีต่อไปนี้

ห้ามเปิดเผยข้อมูลลับของแอพนอกสภาพแวดล้อมเซิร์ฟเวอร์ที่ปลอดภัย ซึ่งหมายความว่าคุณจะต้องไม่ส่งคืนข้อมูลลับดังกล่าวด้วยการเรียกใช้ผ่านเครือข่ายไปยังเบราว์เซอร์หรือแอพมือถือ และจะต้องไม่ฝังไว้ในโค้ดซึ่งเผยแพร่ไปยังไคลเอ็นต์บนมือถือหรือไคลเอ็นต์แบบเนทีฟ/บนเดสก์ท็อป)
หรือโดยการกำหนดค่าการยืนยันตัวตนแอพเป็นประเภท "แอพบนเดสก์ท็อปหรือแอพแบบเนทีฟ" เพื่อให้ API ของ Meta ไม่ไว้วางใจการเรียกใช้ API ที่มีข้อมูลลับของแอพอีกต่อไป

เลือกทุกข้อที่ใช่

b. ใช้การเข้ารหัสแอพพลิเคชั่น (กล่าวคือ ไม่มีการเขียนข้อมูลลับของแอพลงในฐานข้อมูลหรือพื้นที่เก็บข้อมูลถาวรอื่นๆ โดยไม่ได้เข้ารหัส)

c. ฉันใช้แนวทางอื่นในการคุ้มครองข้อมูลลับของแอพ

d. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-13.d คุณเลือกข้อ "a" "b" หรือ "c" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-13.d.i. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณป้องกันไม่ให้มีการใช้งานข้อมูลลับของแอพที่จัดเก็บไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณโดยไม่ได้รับอนุญาต โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณนำการป้องกันนี้ไปใช้

คำอธิบายที่เป็นลายลักษณ์อักษรของคุณควรมีข้อมูลต่อไปนี้

คำอธิบายเกี่ยวกับวิธีที่ข้อมูลลับของแอพได้รับการป้องกันไม่ให้มีการเข้าถึงเพื่ออ่านโดยไม่ได้รับอนุญาต
ข้อกำหนดที่ห้ามไม่ให้มีการเขียนข้อมูลลับของแอพลงในไฟล์บันทึกในรูปแบบ Cleartext (ไม่ได้เข้ารหัส)

ข้อมูลลับของแอพคือสิ่งที่ขาดไปไม่ได้ในการรักษาความปลอดภัยให้กับ API ของ Meta เรากำหนดให้ผู้พัฒนาต้องป้องกันไม่ให้มีการเข้าถึงข้อมูลลับของแอพโดยไม่ได้รับอนุญาต เรียนรู้เกี่ยวกับข้อมูลลับของแอพ

หากคำถามที่ 3.1-13.d คุณเลือกข้อ "a" "b" หรือ "c" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-13.d.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น ภาพถ่ายหน้าจอตัวจัดการข้อมูลลับที่มีข้อมูลลับของแอพโดยไม่ต้องแสดงค่า) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การป้องกันไม่ให้มีการใช้งานข้อมูลลับของแอพในสภาพแวดล้อมแบ็คเอนด์ของคุณโดยไม่ได้รับอนุญาต

หากต้องการดูตัวอย่างหลักฐานที่เรายอมรับ โปรดไปที่คู่มือเกี่ยวกับหลักฐานสำหรับคำถามข้อนี้

3.1-15.a. คุณกำหนดให้ต้องใช้การยืนยันตัวตนแบบหลายชั้น (MFA) กับการเข้าถึงเครื่องมือการทำงานร่วมกันและเครื่องมือการสื่อสารของคุณทุกรูปแบบหรือไม่

เรากำหนดให้ต้องใช้ MFA หรือการคุ้มครองด้วยทางเลือกอื่นที่ยอมรับได้กับผู้ใช้เครื่องมือการทำงานร่วมกันและเครื่องมือการสื่อสารของคุณ (เช่น อีเมล, Slack) ทุกราย แต่เราไม่ได้กำหนดให้ต้องนำ MFA ไปใช้ด้วยวิธีใดวิธีหนึ่งแบบเจาะจง

[ ] ใช่

[ ] ไม่ แต่เราบังคับใช้นโยบายการตั้งรหัสผ่านให้มีความซับซ้อน และมีการชะลอการยืนยันตัวตน ตลอดจนการล็อกบัญชีโดยอัตโนมัติหากพยายามเข้าสู่ระบบไม่สำเร็จหลายครั้ง

[ ] ไม่

3.1-15.b. คุณกำหนดให้ต้องใช้การยืนยันตัวตนแบบหลายชั้น (MFA) กับการเข้าถึงเครื่องมือคลังโค้ดของคุณ (เช่น GitHub) หรือเครื่องมือที่ใช้เพื่อติดตามการเปลี่ยนแปลงที่เกิดขึ้นกับแอพ ตลอดจนโค้ดและการกำหนดค่าของระบบทุกรูปแบบหรือไม่

เรากำหนดให้ต้องใช้ MFA หรือการคุ้มครองด้วยทางเลือกอื่นที่ยอมรับได้กับผู้ใช้คลังโค้ดของคุณทุกราย แต่เราไม่ได้กำหนดให้ต้องนำ MFA ไปใช้ด้วยวิธีใดวิธีหนึ่งแบบเจาะจง

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-15.c. คุณกำหนดให้ต้องใช้การยืนยันตัวตนแบบหลายชั้น (MFA) กับการเข้าถึงเครื่องมือปรับใช้ซอฟต์แวร์ของคุณ เช่น Jenkins หรือเครื่องมือผสานการทำงานต่อเนื่อง/ปรับใช้ต่อเนื่อง (CI/CD) อื่นๆ ทุกรูปแบบหรือไม่

เรากำหนดให้ต้องใช้ MFA หรือการคุ้มครองด้วยทางเลือกอื่นที่ยอมรับได้กับผู้ใช้เครื่องมือปรับใช้ซอฟต์แวร์ของคุณทุกราย แต่เราไม่ได้กำหนดให้ต้องนำ MFA ไปใช้ด้วยวิธีใดวิธีหนึ่งแบบเจาะจง

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-15.d. คุณกำหนดให้ต้องใช้การยืนยันตัวตนแบบหลายชั้น (MFA) กับการเข้าถึงเครื่องมือบริหารจัดการแบ็คเอนด์ของคุณ เช่น พอร์ทัลการบริหารจัดการระบบคลาวด์ ทุกรูปแบบหรือไม่

เรากำหนดให้ต้องใช้ MFA หรือการปกป้องด้วยทางเลือกอื่นที่ยอมรับได้กับผู้ใช้เครื่องมือบริหารจัดการระบบคลาวด์หรือเซิร์ฟเวอร์ของคุณทุกราย แต่เราไม่ได้กำหนดให้ต้องนำ MFA ไปใช้ด้วยวิธีใดวิธีหนึ่งแบบเจาะจง

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-15.e. คุณกำหนดให้ต้องใช้การยืนยันตัวตนแบบหลายชั้น (MFA) กับการเข้าถึงเซิร์ฟเวอร์ของคุณจากระยะไกลทุกรูปแบบ เช่น การเข้าถึงผ่าน SSH หรือไม่

เรากำหนดให้ต้องใช้ MFA หรือการคุ้มครองด้วยทางเลือกอื่นที่ยอมรับได้กับการเข้าถึงเซิร์ฟเวอร์จากระยะไกลทุกรูปแบบ แต่เราไม่ได้กำหนดให้ต้องนำ MFA ไปใช้ด้วยวิธีใดวิธีหนึ่งแบบเจาะจง

[ ] ใช่

[ ] ไม่จำเป็นต้องใช้ เนื่องจากเราไม่มีการเข้าถึงเซิร์ฟเวอร์จากระยะไกล

[ ] ไม่

หากคำถามที่ 3.1-15.a ถึงคำถามที่ 3.1-15.e มีข้อใดข้อหนึ่งที่คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-15.e.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุข้อกำหนดของคุณในการยืนยันตัวตนแบบหลายชั้น (MFA) หรือมาตรการอื่นๆ ที่ช่วยป้องกันการเข้ายึดบัญชี (เช่น การใช้รหัสผ่านที่ซับซ้อนร่วมกับการชะลอการยืนยันตัวตน และการล็อกบัญชีโดยอัตโนมัติเมื่อพยายามเข้าสู่ระบบไม่สำเร็จหลายครั้ง)

คำอธิบายของคุณควรมีข้อกำหนดในการยืนยันตัวตนที่ใช้กับการเข้าถึงเครื่องมือการทำงานร่วมกันและเครื่องมือการสื่อสาร คลังโค้ด เครื่องมือปรับใช้ซอฟต์แวร์ และเครื่องมือบริหารจัดการแบ็คเอนด์ทุกรูปแบบ ตลอดจนการเข้าถึงเซิร์ฟเวอร์จากระยะไกลผ่านเครื่องมือ เช่น SSH รวมอยู่ด้วย

3.1-15.e.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การยืนยันตัวตนแบบหลายชั้น หรือมาตรการอื่นๆ ที่ช่วยป้องกันการเข้ายึดบัญชี

หลักฐานของคุณควรแสดงให้เห็นวิธีที่คุณใช้การยืนยันตัวตนเพื่อปกป้องการเข้าถึงเครื่องมือการทำงานร่วมกันและเครื่องมือการสื่อสาร คลังโค้ด เครื่องมือปรับใช้ซอฟต์แวร์ และเครื่องมือบริหารจัดการแบ็คเอนด์ทุกรูปแบบ ตลอดจนการเข้าถึงเซิร์ฟเวอร์จากระยะไกลผ่านเครื่องมือ เช่น SSH

3.1-16. คุณมีระบบสำหรับดูแลจัดการบัญชีต่างๆ ที่มีหน้าที่จัดการการมอบ เพิกถอน และตรวจสอบสิทธิ์การเข้าถึงให้กับบุคลากรในองค์กรของคุณหรือไม่

เรากำหนดให้คุณต้องมีระบบสำหรับดูแลจัดการบัญชีต่างๆ และคุณต้องตรวจสอบการมอบสิทธิ์การเข้าถึงเป็นประจำไม่น้อยกว่า 1 ครั้งทุกๆ 12 เดือน อีกทั้งคุณจะต้องมีกระบวนการในการเพิกถอนสิทธิ์การเข้าถึงทันทีในกรณีดังต่อไปนี้

ไม่จำเป็นต้องใช้สิทธิ์การเข้าถึงอีกต่อไป
ไม่มีการใช้งานสิทธิ์การเข้าถึงอีกต่อไป
บุคลากรลาออกจากองค์กร

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-16 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-16.a. คุณใช้กระบวนการใดต่อไปนี้โดยเป็นส่วนหนึ่งของระบบสำหรับดูแลจัดการบัญชีต่างๆ

เลือกทุกข้อที่ใช่

a. เราตรวจสอบการมอบสิทธิ์การเข้าถึงทั้งหมดอย่างน้อย 1 ครั้งทุกๆ 12 เดือน และเพิกถอนสิทธิ์การเข้าถึงที่ไม่จำเป็นต้องใช้อีกต่อไป

b. เราตรวจสอบการมอบสิทธิ์การเข้าถึงทั้งหมดอย่างน้อย 1 ครั้งทุกๆ 12 เดือน และเพิกถอนสิทธิ์การเข้าถึงที่ไม่ได้ใช้งานอีกต่อไป

c. เราเพิกถอนการมอบสิทธิ์การเข้าถึงทั้งหมดทันทีเมื่อบุคลากรลาออกจากองค์กร

d. ไม่ใช่ทุกข้อที่กล่าวมา

หากคำถามที่ 3.1-16.a คุณเลือกข้อใดข้อหนึ่งตั้งแต่ "a" ถึง "c" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-16.a.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุข้อกำหนดเกี่ยวกับระบบของคุณในการดูแลจัดการบัญชีต่างๆ

คำอธิบายที่เป็นลายลักษณ์อักษรของคุณต้องมีข้อกำหนดในการดำเนินการต่อไปนี้

เพิกถอนสิทธิ์การเข้าถึงที่ไม่จำเป็นต้องใช้อีกต่อไป
เพิกถอนสิทธิ์การเข้าถึงที่ไม่ได้ใช้งานอีกต่อไป
เพิกถอนสิทธิ์การเข้าถึงทันทีเมื่อบุคลากรลาออกจากองค์กร

3.1-16.a.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การนำระบบสำหรับดูแลจัดการบัญชีต่างๆ ไปใช้

หลักฐานของคุณต้องแสดงให้เห็นวิธีที่คุณดำเนินการต่อไปนี้

เพิกถอนสิทธิ์การเข้าถึงที่ไม่จำเป็นต้องใช้อีกต่อไป
เพิกถอนสิทธิ์การเข้าถึงที่ไม่ได้ใช้งานอีกต่อไป
เพิกถอนสิทธิ์การเข้าถึงทันทีเมื่อบุคลากรลาออกจากองค์กร

หากคำถามที่ 3.1-8 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.a. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณดำเนินขั้นตอนทั้งหมดต่อไปนี้ซึ่งเกี่ยวข้องกับซอฟต์แวร์ที่คุณใช้ประมวลผลข้อมูลแพลตฟอร์มในสภาพแวดล้อมแบ็คเอนด์ของคุณหรือไม่: มีวิธีที่กำหนดไว้อย่างชัดเจนและสามารถทำซ้ำได้ในการระบุแพตช์ในซอฟต์แวร์ของบุคคลที่สามซึ่งช่วยแก้ไขช่องโหว่ด้านการรักษาความปลอดภัย จัดลำดับความสำคัญของแพตช์ที่มีให้ใช้งานตามความเสี่ยง (เช่น ตามความรุนแรงของ CVSS) และนำแพตช์ไปใช้โดยเป็นกิจกรรมที่ดำเนินอย่างต่อเนื่อง

[ ] ใช่

[ ] ไม่จำเป็นต้องดำเนินการข้างต้น เนื่องจากองค์กรของฉันใช้โซลูชั่นแบ็คเอนด์ที่ไม่ต้องใช้โค้ด

[ ] ไม่

หากคำถามที่ 3.1-17.a คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.a.i. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณมีกระบวนการในการอัพเดตโค้ดและสภาพแวดล้อมแบ็คเอนด์ของคุณให้เป็นปัจจุบันอยู่เสมอ โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณอัพเดตโค้ดและสภาพแวดล้อมแบ็คเอนด์ของคุณให้เป็นปัจจุบันอยู่เสมอ

หากคำถามที่ 3.1-17.a คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.a.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การอัพเดตโค้ดและสภาพแวดล้อมแบ็คเอนด์ของคุณให้เป็นปัจจุบันอยู่เสมอ

3.1-17.b. คุณดำเนินขั้นตอนทั้งหมดต่อไปนี้ซึ่งเกี่ยวข้องกับซอฟต์แวร์ของบุคคลที่สามที่คุณใช้ประมวลผลข้อมูลแพลตฟอร์มในแอพมือถือ เช่น แอพสำหรับ Android หรือ iPhone หรือไม่: มีวิธีที่กำหนดไว้อย่างชัดเจนและสามารถทำซ้ำได้ในการระบุแพตช์ในซอฟต์แวร์ของบุคคลที่สามซึ่งช่วยแก้ไขช่องโหว่ด้านการรักษาความปลอดภัย จัดลำดับความสำคัญของแพตช์ที่มีให้ใช้งานตามความเสี่ยง (เช่น ตามความรุนแรงของ CVSS) และนำแพตช์ไปใช้โดยเป็นกิจกรรมที่ดำเนินอย่างต่อเนื่อง

[ ] ใช่

[ ] ไม่จำเป็นต้องดำเนินการข้างต้น เนื่องจากองค์กรของฉันไม่ได้ประมวลผลข้อมูลแพลตฟอร์มในแอพมือถือ

[ ] ไม่

หากคำถามที่ 3.1-17.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.b.i. ในคำถามก่อนหน้านี้ คุณระบุไว้ว่าคุณอัพเดตซอฟต์แวร์ของบุคคลที่สามในแอพมือถือของคุณให้เป็นปัจจุบันอยู่เสมอ โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณอัพเดตโค้ดของบุคคลที่สามในแอพมือถือของคุณให้เป็นปัจจุบันอยู่เสมอ

หากคำถามที่ 3.1-17.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.b.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การอัพเดตโค้ดของบุคคลที่สามในแอพมือถือของคุณให้เป็นปัจจุบันอยู่เสมอ

3.1-17.c. คุณดำเนินขั้นตอนทั้งหมดต่อไปนี้ซึ่งเกี่ยวข้องกับระบบปฏิบัติการ ซอฟต์แวร์ป้องกันไวรัส เบราว์เซอร์ที่ทำงานบนแล็ปท็อป ตลอดจนระบบและแอพพลิเคชั่นอื่นๆ ที่บุคลากรในองค์กรของคุณใช้เพื่อสร้างและควบคุมแอพของคุณหรือไม่: มีวิธีที่กำหนดไว้อย่างชัดเจนและสามารถทำซ้ำได้ในการระบุแพตช์ในซอฟต์แวร์ของบุคคลที่สามซึ่งช่วยแก้ไขช่องโหว่ด้านการรักษาความปลอดภัย จัดลำดับความสำคัญของแพตช์ที่มีให้ใช้งานตามความเสี่ยง (เช่น ตามความรุนแรงของ CVSS) และใช้และตรวจสอบยืนยันแพตช์โดยเป็นกิจกรรมที่ดำเนินอย่างต่อเนื่อง

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-17.c คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.c.i. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณอัพเดตซอฟต์แวร์ของบุคคลที่สามในระบบและแอพพลิเคชั่นที่ใช้สร้างและควบคุมแอพของคุณให้เป็นปัจจุบันอยู่เสมอ โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณอัพเดตซอฟต์แวร์และซอฟต์แวร์ป้องกันไวรัสของบุคคลที่สามนี้ให้เป็นปัจจุบันอยู่เสมอ

คำถามนี้มีผลใช้กับผู้พัฒนาบางรายเท่านั้น โปรดดูแบบฟอร์มการประเมินของคุณโดยเฉพาะเพื่อพิจารณาว่าข้อกำหนดเหล่านี้มีผลใช้กับคุณหรือไม่

หากคำถามที่ 3.1-17.c คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-17.c.ii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การอัพเดตซอฟต์แวร์และซอฟต์แวร์ป้องกันไวรัสของบุคคลที่สามให้เป็นปัจจุบันอยู่เสมอ [คำถามหลัก]

3.1-21. คุณมีช่องทางสาธารณะที่เปิดให้ผู้ใช้รายงานช่องโหว่ด้านการรักษาความปลอดภัยในแอพนี้ให้คุณทราบหรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-21 คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-21.a. คุณมีอีเมล หมายเลขโทรศัพท์ หรือแบบฟอร์มติดต่อแบบสาธารณะที่ได้รับการตรวจสอบเป็นประจำ ซึ่งผู้ใช้สามารถใช้เพื่อติดต่อคุณหรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-8.a คุณเลือกข้อใดข้อหนึ่งตั้งแต่ "b" ถึง "f" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณรวบรวมบันทึกการตรวจสอบของผู้ดูแลสำหรับสภาพแวดล้อมแบ็คเอนด์นี้หรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.a. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณรวบรวมบันทึกการตรวจสอบของผู้ดูแลสำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์ม

หากคำถามที่ 3.1-22 คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.a.i. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การรวบรวมบันทึกการตรวจสอบของผู้ดูแลสำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์ม

3.1-22.b. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณรวบรวมบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นในสภาพแวดล้อมแบ็คเอนด์นี้หรือไม่ เหตุการณ์ในแอพพลิเคชั่นอาจรวมถึง:

การตรวจสอบความถูกต้องของอินพุตและเอาต์พุตที่ไม่สำเร็จ
การยืนยันตัวตนและการควบคุมสิทธิ์การเข้าถึงที่ไม่สำเร็จ
ข้อผิดพลาดในแอพพลิเคชั่นและเหตุการณ์ในระบบ

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.b.i. บันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นในสภาพแวดล้อมแบ็คเอนด์ของคุณเหล่านี้ที่ใช้จัดเก็บข้อมูลแพลตฟอร์มมีช่องต่อไปนี้ครบถ้วนหรือไม่

ID ผู้ใช้บน Meta (เมื่อมีการแชร์ให้คุณ)
ประเภทของเหตุการณ์
วันที่และเวลา
ตัวบ่งชี้ว่าสำเร็จหรือไม่สำเร็จ

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.b.ii. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุแนวทางของคุณในการรวบรวมบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นในสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์ม

หากคำถามที่ 3.1-22.b คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.b.iii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การรวบรวมบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นในสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์ม

3.1-22.c. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณมีนโยบายหรือขั้นตอนที่ช่วยป้องกันไม่ให้มีการเข้าถึงและปรับเปลี่ยนบันทึกการตรวจสอบสำหรับสภาพแวดล้อมแบ็คเอนด์นี้โดยไม่ได้รับอนุญาตหรือไม่

[ ] ใช่

[ ] ไม่

3.1-22.d. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณเก็บรักษาบันทึกการตรวจสอบสำหรับสภาพแวดล้อมนี้ไว้อย่างน้อย 30 วันหรือไม่

[ ] ใช่ [ ] ไม่

3.1-22.e. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณใช้โซลูชั่นอัตโนมัติในการตรวจสอบบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นสำหรับสภาพแวดล้อมแบ็คเอนด์นี้ เพื่อหาตัวบ่งชี้เหตุการณ์หรือปัญหาด้านการรักษาความปลอดภัยประจำวันที่ส่งผลให้เกิดความเสี่ยงหรือความเสียหาย (เช่น ความพยายามในการเลี่ยงการควบคุมสิทธิ์การเข้าถึงหรือใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์) หรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.e คุณเลือกคำตอบว่า "ไม่" ระบบจะถามคำถามที่ 3.1-22.e.i กับคุณ คุณตรวจสอบบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นเหล่านี้สำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์มอย่างน้อยทุกๆ 7 วันหรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.e คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.e.ii. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณตรวจสอบบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นสำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์มอย่างน้อยทุกๆ 7 วัน

หากคำถามที่ 3.1-22.e คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.e.iii. โปรดอัพโหลดหลักฐานอย่างน้อย 1 ชิ้น (เช่น การกำหนดค่าเครื่องมือหรือภาพถ่ายหน้าจอจากแอพพลิเคชั่นของคุณ) ที่แสดงให้เห็นวิธีที่คุณนำการคุ้มครองนี้ไปใช้ในทางปฏิบัติ นั่นคือ การตรวจสอบบันทึกการตรวจสอบเหตุการณ์ในแอพพลิเคชั่นสำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์มอย่างน้อยทุกๆ 7 วัน

3.1-22.f. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ คุณตรวจสอบบันทึกการตรวจสอบของผู้ดูแลสำหรับสภาพแวดล้อมนี้ เพื่อหาตัวบ่งชี้เหตุการณ์หรือปัญหาด้านการรักษาความปลอดภัยประจำวันที่ส่งผลให้เกิดความเสี่ยงหรือความเสียหาย (เช่น ความพยายามในการเลี่ยงการควบคุมสิทธิ์การเข้าถึงหรือใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์) หรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.f คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.f.i. คุณตรวจสอบบันทึกการตรวจสอบของผู้ดูแลเหล่านี้สำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์มอย่างน้อยทุกๆ 7 วันหรือไม่

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.f คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.f.ii โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุแนวทางของคุณในการตรวจสอบบันทึกการตรวจสอบของผู้ดูแลสำหรับสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์ม เพื่อหาตัวบ่งชี้เหตุการณ์หรือปัญหาด้านการรักษาความปลอดภัยประจำวันอย่างน้อยทุกๆ 7 วัน

3.1-22.g. คุณระบุไว้ในคำถามก่อนหน้านี้ว่าคุณจัดเก็บข้อมูลแพลตฟอร์มไว้ในสภาพแวดล้อมแบ็คเอนด์ของคุณ หากคุณตรวจพบเหตุการณ์หรือปัญหาด้านการรักษาความปลอดภัยประจำวันที่ส่งผลให้เกิดความเสี่ยงหรือความเสียหายต่อบันทึกการตรวจสอบสำหรับสภาพแวดล้อมแบ็คเอนด์นี้ คุณมีกระบวนการสืบสวนเพิ่มเติมหรือไม่

เตือนความจำ: หากมีเหตุการณ์หรือปัญหาด้านการรักษาความปลอดภัยเกิดขึ้น นโยบายของเรากำหนดให้คุณต้องรายงานให้เราทราบทันที

[ ] ใช่

[ ] ไม่

หากคำถามที่ 3.1-22.g คุณเลือกคำตอบว่า "ใช่" ระบบจะถามคำถามต่อไปนี้กับคุณ

3.1-22.g.i. โปรดอัพโหลดคำอธิบายที่เป็นลายลักษณ์อักษร (เช่น นโยบายหรือเอกสารระบุขั้นตอน) ที่ระบุวิธีที่คุณสืบสวนเหตุการณ์หรือปัญหาด้านการรักษาความปลอดภัยประจำวันที่เกิดขึ้นในสภาพแวดล้อมแบ็คเอนด์ของคุณที่ใช้จัดเก็บข้อมูลแพลตฟอร์ม ซึ่งส่งผลให้เกิดความเสี่ยงหรือความเสียหายต่อบันทึกการตรวจสอบของคุณ

3.1-23. คุณจัดให้มีกระบวนการด้านการรักษาความปลอดภัยสำหรับบุคลากรที่มีสิทธิ์การเข้าถึงข้อมูลแพลตฟอร์มหรือไม่

กระบวนการดังกล่าวควรมีการดำเนินการอย่างน้อยหนึ่งอย่างต่อไปนี้

การตรวจสอบประวัติที่ดำเนินการแล้วเสร็จก่อนที่จะได้รับสิทธิ์การเข้าถึงข้อมูลแพลตฟอร์ม
ข้อตกลงการรักษาความลับที่ลงนามก่อนที่จะเข้ารับการฝึกอบรมด้านข้อมูลแพลตฟอร์มที่ให้ความรู้แก่บุคลากรใหม่เกี่ยวกับนโยบายและขั้นตอนในการรักษาความปลอดภัยของข้อมูล
การฝึกอบรมเพื่อสร้างการรับรู้เกี่ยวกับการรักษาความปลอดภัยที่จัดขึ้นอย่างต่อเนื่องเป็นประจำ (กล่าวคือ ปีละครั้ง)
การฝึกอบรมที่เกี่ยวข้องกับแต่ละตำแหน่งงานที่เข้าถึงข้อมูลแพลตฟอร์มได้โดยเฉพาะ
การคืนสินทรัพย์ (เช่น แล็ปท็อปหรือโทรศัพท์มือถือ) เมื่อบุคลากรออกจากองค์กร

[ ] ใช่

[ ] ไม่