Câu hỏi đánh giá việc bảo vệ dữ liệu

Dưới đây là tất cả những câu hỏi cho quy trình Đánh giá việc bảo vệ dữ liệu. Nếu phần đánh giá của bạn bắt đầu bằng 3.1, bạn đã nhận được phần đánh giá đó vào hoặc sau ngày 15/02/2024. Bạn có thể tìm thấy những câu hỏi đó ở bên dưới.

Nếu phần đánh giá của bạn không được đánh số, bạn đã nhận được phần đánh giá đó trước ngày 15/02/2024. Bạn có thể tìm thấy những câu hỏi trước đó tại đây.

Dưới đây là các câu hỏi trong quy trình Đánh giá việc bảo vệ dữ liệu cập nhật năm 2024. Bạn sẽ nhận thấy rằng số câu hỏi bắt đầu bằng số phiên bản tương ứng. Đối với phiên bản 3.1, câu hỏi sẽ có dạng 3.1-1, 3.1-2, v.v. Chúng tôi liên tục cập nhật câu hỏi để đảm bảo phù hợp với tiêu chuẩn trong ngành. Nhà phát triển có thể nhận được các câu hỏi khác nhau tùy thuộc vào thời điểm họ nhận được phần đánh giá.

Hướng dẫn sử dụng:

Quản trị viên ứng dụng nên xem xét những câu hỏi dưới đây cùng với đội ngũ nội bộ để đảm bảo ứng dụng đáp ứng các yêu cầu trong Điều khoản của nền tảng. Tất cả quản trị viên ứng dụng đều sẽ nhận được thông báo nếu cần phải thực hiện quy trình Đánh giá việc bảo vệ dữ liệu cho từng ứng dụng.
Vui lòng lưu ý rằng chúng tôi sẽ chỉ chấp nhận nội dung gửi bằng tiếng Anh. Bạn có thể sử dụng bất kỳ công cụ dịch thuật nào cần thiết để gửi phần đánh giá bằng tiếng Anh.
Chúng tôi trình bày các câu hỏi này ở đây chỉ để bạn tiện tham khảo. Những câu hỏi bắt buộc đối với một ứng dụng cụ thể sẽ khác nhau tùy theo dữ liệu mà mỗi ứng dụng có quyền truy cập. Nếu ứng dụng có quyền truy cập vào các loại dữ liệu nhất định, có thể bạn cũng cần cung cấp bằng chứng để hỗ trợ câu trả lời.
Nếu bạn đang hoàn tất quy trình Đánh giá việc bảo vệ dữ liệu hoặc đang xử lý câu hỏi trao đổi thêm của người xét duyệt, vui lòng tiếp tục hoàn tất quy trình đó và lưu ý rằng những câu hỏi bạn đang trả lời có thể khác với câu hỏi cập nhật tại đây.

Sử dụng dữ liệu

3.1-1. Ứng dụng có dùng Dữ liệu trên nền tảng để gây bất lợi cho một số người (nghĩa là một số người nhận được thứ mà những người khác không nhận được) dựa trên chủng tộc, dân tộc, màu da, nguồn gốc quốc gia, tôn giáo, độ tuổi, giới tính, thiên hướng tính dục, bản dạng giới, tình trạng gia đình, tình trạng khuyết tật, tình trạng sức khỏe hay di truyền không?

Câu hỏi này không áp dụng cho trường hợp sử dụng giới tính và độ tuổi trong ứng dụng hẹn hò, trường hợp sử dụng giới tính để cân nhắc ngôn ngữ, trường hợp sử dụng độ tuổi để hạn chế nội dung người lớn hoặc các trường hợp khác tương tự mà Dữ liệu trên nền tảng được dùng theo cách liên quan đến việc cải thiện trải nghiệm cho người dùng trong ứng dụng. Nếu ứng dụng của bạn có liên quan đến một trong những trường hợp sử dụng này, câu trả lời bạn đưa ra sẽ là "không" vì bạn hiện không sử dụng thông tin để gây bất lợi.

[ ] Có
[ ] Không

Nếu câu trả lời bạn đưa ra là "có", bạn sẽ phải trả lời thêm các câu hỏi sau đây:

3.1-1.a.A. Ứng dụng dùng Dữ liệu nào trên nền tảng để gây bất lợi cho một số người dựa trên chủng tộc, dân tộc, màu da, nguồn gốc quốc gia, tôn giáo, độ tuổi, giới tính, thiên hướng tính dục, bản dạng giới, tình trạng gia đình, tình trạng khuyết tật, tình trạng sức khỏe hay di truyền?

3.1-1.a.B. Ứng dụng dùng Dữ liệu trên nền tảng theo cách như thế nào để gây bất lợi cho một số người dựa trên chủng tộc, dân tộc, màu da, nguồn gốc quốc gia, tôn giáo, độ tuổi, giới tính, thiên hướng tính dục, bản dạng giới, tình trạng gia đình, tình trạng khuyết tật, tình trạng sức khỏe hay di truyền?

3.1-1.a.C. Ứng dụng bắt đầu dùng Dữ liệu trên nền tảng theo cách này từ khi nào?

3.1-2. Ứng dụng có dùng Dữ liệu trên nền tảng để ra quyết định liên quan đến cơ hội về nhà ở, việc làm, bảo hiểm, giáo dục, tín dụng, phúc lợi của chính phủ hoặc tình trạng nhập cư không?

Nếu câu trả lời bạn đưa ra là "có", bạn sẽ phải trả lời thêm các câu hỏi sau đây:

3.1-2.a.A. Ứng dụng dùng Dữ liệu nào trên nền tảng để ra quyết định liên quan đến cơ hội về nhà ở, việc làm, bảo hiểm, giáo dục, tín dụng, phúc lợi của chính phủ hoặc tình trạng nhập cư?

3.1-2.a.B. Ứng dụng dùng Dữ liệu trên nền tảng theo cách như thế nào để ra quyết định liên quan đến cơ hội về nhà ở, việc làm, bảo hiểm, giáo dục, tín dụng, phúc lợi của chính phủ hoặc tình trạng nhập cư?

3.1-2.a.C. Ứng dụng bắt đầu dùng Dữ liệu trên nền tảng theo cách này từ khi nào?

3.1-3. Ứng dụng có dùng Dữ liệu trên nền tảng cho các hoạt động liên quan đến giám sát không? Hoạt động giám sát bao gồm việc xử lý Dữ liệu trên nền tảng về mọi người, nhóm hoặc sự kiện nhằm mục đích thực thi pháp luật hoặc an ninh quốc gia.

Nếu câu trả lời bạn đưa ra là "có", bạn sẽ phải trả lời thêm các câu hỏi sau đây:

3.1-3.a.A. Ứng dụng dùng Dữ liệu nào trên nền tảng cho các hoạt động liên quan đến giám sát?

3.1-3.a.B. Ứng dụng dùng Dữ liệu trên nền tảng cho các hoạt động liên quan đến giám sát theo cách như thế nào?

3.1-3.a.C. Ứng dụng bắt đầu dùng Dữ liệu trên nền tảng cho mục đích này từ khi nào?

Chia sẻ dữ liệu

3.1-4. Một số câu hỏi dưới đây liên quan đến nhà cung cấp dịch vụ và nhà cung cấp dịch vụ phụ. Nhà cung cấp dịch vụ là cá nhân hoặc doanh nghiệp cung cấp dịch vụ hỗ trợ bạn sử dụng Nền tảng hoặc Dữ liệu trên nền tảng. Nhà cung cấp dịch vụ phụ là nhà cung cấp dịch vụ được một nhà cung cấp dịch vụ khác sử dụng để cung cấp những dịch vụ liên quan đến Dữ liệu trên nền tảng.

Google Cloud và Amazon Web Services (AWS) là ví dụ về các nhà cung cấp dịch vụ lớn phổ biến. Tuy nhiên, bạn cũng có thể hợp tác với các công ty nhỏ hơn để xử lý hoặc sử dụng Dữ liệu trên nền tảng, chẳng hạn như doanh nghiệp phát triển web cục bộ ở quốc gia hoặc khu vực của bạn.

Bạn có làm việc nào sau đây không?

Chọn tất cả đáp án phù hợp.

a. Tôi không chia sẻ Dữ liệu trên nền tảng nhận được qua ứng dụng này.
b. Bán hoặc cấp phép Dữ liệu trên nền tảng cho cá nhân hay doanh nghiệp khác hoặc tạo điều kiện/hỗ trợ người khác thực hiện việc này.
c. Mua Dữ liệu trên nền tảng từ cá nhân hay doanh nghiệp khác hoặc tạo điều kiện/hỗ trợ người khác thực hiện việc này.
d. Chia sẻ Dữ liệu trên nền tảng để cho phép cá nhân hay doanh nghiệp cung cấp dịch vụ cho bạn (nhà cung cấp dịch vụ).
e. Chia sẻ Dữ liệu trên nền tảng để cho phép cá nhân hay doanh nghiệp khác (bên ngoài doanh nghiệp của bạn) truy cập và sử dụng Nền tảng hoặc Dữ liệu trên nền tảng
f. Chia sẻ Dữ liệu trên nền tảng theo chỉ dẫn rõ ràng của người dùng ứng dụng này.
g. Chia sẻ Dữ liệu trên nền tảng vì các mục đích khác chưa được nêu. Vui lòng giải thích.

Nếu chọn tùy chọn b ở câu hỏi 3.1-4, bạn sẽ thấy nội dung sau đây:

3.1-4.a.A. Bạn bán hoặc cấp phép loại Dữ liệu nào trên nền tảng?

3.1-4.a.B. Ứng dụng này sử dụng các quyền, tính năng, khả năng hay kênh nào khác để truy cập và thu thập Dữ liệu đó trên nền tảng?

3.1-4.a.C. Liệt kê mọi thực thể, doanh nghiệp và bên thứ ba mà bạn đang bán hoặc cấp phép Dữ liệu trên nền tảng từ ứng dụng này, đồng thời giải thích mục đích chia sẻ trong mỗi trường hợp.

3.1-4.a.D. Bạn bắt đầu bán hoặc cấp phép Dữ liệu trên nền tảng từ khi nào?

Nếu chọn tùy chọn d ở câu hỏi 3.1-4, bạn sẽ thấy nội dung sau đây:

3.1-4.b. Bạn cho biết ở trên rằng bạn chia sẻ Dữ liệu trên nền tảng với các nhà cung cấp dịch vụ. Vui lòng đánh dấu vào các ô bên dưới để cho biết bạn chia sẻ Dữ liệu trên nền tảng với những nhà cung cấp dịch vụ nào. Các câu hỏi tiếp theo sẽ yêu cầu bạn mô tả người được chia sẻ Dữ liệu trên nền tảng, cũng như giải thích cách thức và lý do chia sẻ.

Lưu ý: Vui lòng không liệt kê các dịch vụ hoặc sản phẩm mà Meta là nhà cung cấp dịch vụ.

Chọn tất cả đáp án phù hợp. Nếu bạn chia sẻ Dữ liệu trên nền tảng với nhiều nhà cung cấp dịch vụ được nêu ở đây và các nhà cung cấp dịch vụ khác không nêu kê, vui lòng chọn những nhà cung cấp phù hợp, đồng thời chọn "Khác". Ví dụ: bạn có thể chọn Apple, Google và Khác để biểu thị tất cả nhà cung cấp dịch vụ của mình.

a. Google (ví dụ: Cửa hàng Play, Firebase, Cloud, AdMob, Analytics)
b. Amazon (ví dụ: Amazon Web Services)
c. Salesforce (ví dụ: Heroku, Marketing Cloud)
d. Apple (ví dụ: App Store)
e. Microsoft (ví dụ: Trung tâm ứng dụng, Azure, Playfab)
f. Github
g. AppLovin (ví dụ: Adjust)
h. Appsflyer
i. Stripe
j. Twilio (ví dụ: Segment, SendGrid)
k. Khác (bạn sẽ phải tải danh sách lên)

Nếu chọn tùy chọn k ở câu hỏi 3.1-4.b, bạn sẽ thấy nội dung sau đây:

3.1-4.b.i. Ngoài các nhà cung cấp bạn đã nêu trong danh sách ở trên, vui lòng tải lên file CSV hoặc Excel liệt kê mọi nhà cung cấp dịch vụ mà bạn chia sẻ Dữ liệu trên nền tảng. Hãy đảm bảo file không có mật khẩu bảo vệ. Bạn có thể tải nhiều file lên, mỗi file có kích thước không quá 2GB. Chúng tôi chấp nhận định dạng .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip và .zipx.

Nếu chọn tùy chọn d ở câu hỏi 3.1-4 và tùy chọn k ở câu hỏi 3.1-4.b, bạn sẽ thấy nội dung sau đây:

3.1-4.c. Bạn có thỏa thuận bằng văn bản với từng nhà cung cấp dịch vụ mà mình chia sẻ Dữ liệu trên nền tảng, trong đó yêu cầu họ cũng như từng nhà cung cấp dịch vụ phụ của họ (nếu có) chỉ sử dụng Dữ liệu trên nền tảng theo chỉ dẫn của bạn và chỉ dùng để cung cấp dịch vụ mà bạn yêu cầu, chứ không phục vụ mục đích của họ hoặc mang lại lợi ích cho khách hàng của họ không?

Thỏa thuận bằng văn bản có thể là điều khoản dịch vụ, thỏa thuận không thương lượng tiêu chuẩn hoặc hợp đồng có chữ ký. Ví dụ: nếu bạn dùng Google Cloud làm nhà cung cấp dịch vụ, thỏa thuận bằng văn bản sẽ là Điều khoản dịch vụ mà bạn đồng ý.

[ ] Có [ ] Không

Nếu chọn "Có", bạn sẽ thấy nội dung sau đây:

3.1-4.c.i. Vui lòng đánh dấu vào các ô bên dưới để chỉ rõ loại ngôn ngữ có trong thỏa thuận dữ liệu bằng văn bản của bạn với các nhà cung cấp dịch vụ. Chọn tất cả đáp án phù hợp.

a. Ngôn ngữ yêu cầu nhà cung cấp dịch vụ chỉ sử dụng Dữ liệu trên nền tảng để cung cấp dịch vụ mà bạn yêu cầu.

b. Ngôn ngữ yêu cầu nhà cung cấp dịch vụ chỉ sử dụng Dữ liệu trên nền tảng theo hướng dẫn của bạn.

c. Ngôn ngữ cấm nhà cung cấp dịch vụ chia sẻ Dữ liệu trên nền tảng với bên thứ ba trừ khi được bạn hướng dẫn.

d. Ngôn ngữ cấm nhà cung cấp dịch vụ xử lý Dữ liệu trên nền tảng cho mục đích riêng của họ hoặc cho bất kỳ bên thứ ba nào.

e. Ngôn ngữ yêu cầu nhà cung cấp dịch vụ xóa Dữ liệu trên nền tảng nhận được từ bạn khi bạn ngừng sử dụng dịch vụ của họ.

3.1-4.c.iv. Bạn có biết bất kỳ trường hợp nào mà nhà cung cấp dịch vụ và/hoặc bất kỳ nhà cung cấp dịch vụ phụ nào của họ (nếu có) đã hành động theo cách không nhất quán với Điều khoản của nền tảng mà Meta đặt ra (chẳng hạn như bán Dữ liệu trên nền tảng hoặc không xóa Dữ liệu trên nền tảng sau khi bạn ngừng sử dụng dịch vụ của họ) không?

[ ] Có [ ] Không

3.1-4.c.v. Nếu bạn ngừng sử dụng một nhà cung cấp dịch vụ hoặc nhà cung cấp dịch vụ phụ, thỏa thuận giữa bạn với họ (ví dụ: điều khoản dịch vụ của họ) có nêu rõ cách thức và thời điểm nhà cung cấp dịch vụ đó phải xóa dữ liệu mà bạn cung cấp không?

[ ] Có [ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-4.c.v, bạn sẽ thấy nội dung sau đây:

3.1-4.c.vi. Nếu bạn ngừng sử dụng một nhà cung cấp dịch vụ hoặc nhà cung cấp dịch vụ phụ, làm cách nào để bạn đảm bảo họ xóa Dữ liệu trên nền tảng mà bạn cung cấp?

Nếu chọn tùy chọn e ở câu hỏi 3.1-4, bạn sẽ thấy nội dung sau đây:

3.1-4.d. Tiếp theo là các câu hỏi về Nhà cung cấp công nghệ. Đây là những nhà phát triển ứng dụng có mục đích chính là quản lý các tiện ích tích hợp trên Nền tảng thay mặt cho khách hàng để họ có thể truy cập và quản lý dữ liệu của mình trên sản phẩm của Meta. Ví dụ về Nhà cung cấp công nghệ: nhà cung cấp và agency SaaS (phần mềm dạng dịch vụ).

Định nghĩa về Nhà cung cấp công nghệ: Một cá nhân hoặc doanh nghiệp đã được cấp quyền truy cập vào API Meta để tạo, duy trì và gỡ các tiện ích tích hợp thay mặt cho cá nhân hoặc doanh nghiệp khác. Định nghĩa này còn bao gồm các cá nhân hoặc doanh nghiệp tạo một tiện ích tích hợp thay mặt cho một hoặc nhiều khách hàng.

Bạn cho biết ở trên rằng ứng dụng này cho phép mọi người hoặc doanh nghiệp (khách hàng) truy cập và sử dụng Dữ liệu trên nền tảng. Nghĩa là bạn là Nhà cung cấp công nghệ.

Có phải bạn chỉ xử lý Dữ liệu trên nền tảng mà mình nhận được thông qua ứng dụng này thay mặt cho và theo chỉ dẫn của khách hàng không? [ ] Có [ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-4.d, bạn sẽ thấy nội dung sau đây:

3.1-4.d.i.A. Ngoài thực hiện theo chỉ dẫn và thay mặt cho khách hàng, bạn đang xử lý Dữ liệu trên nền tảng cho ai?

3.1-4.d.i.B. Bạn đang xử lý Dữ liệu nào trên nền tảng cho cá nhân hoặc doanh nghiệp này?

3.1-4.d.i.C. Lý do bạn xử lý Dữ liệu trên nền tảng cho cá nhân hoặc doanh nghiệp này là gì?

3.1-4.d.i.D. Bạn bắt đầu xử lý Dữ liệu đó trên nền tảng từ khi nào?

3.1-4.d.i.E. Bạn xử lý Dữ liệu này trên nền tảng như thế nào?

3.1-4.e. Bạn có tách biệt Dữ liệu trên nền tảng của từng khách hàng (về mặt logic như dùng các bảng riêng biệt hoặc về mặt vật lý) với dữ liệu của những khách hàng khác và dữ liệu mà bạn duy trì cho mục đích riêng của mình không?

[ ] Có [ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-4.e, bạn sẽ thấy nội dung sau đây:

3.1-4.f. Bạn cho biết rằng mình chia sẻ Dữ liệu trên nền tảng ở các trường hợp khác với những trường hợp được nêu trong các câu hỏi trước. Vui lòng mô tả dữ liệu bạn chia sẻ trong những trường hợp này.

Dữ liệu được lưu trữ ở đâu?
Bạn lưu trữ và bảo mật dữ liệu như thế nào?
Ai có quyền truy cập?
Bạn kiểm soát quyền truy cập bằng cách nào?

Nếu chọn "Khác. Vui lòng giải thích.", bạn sẽ thấy nội dung sau đây:

Bạn cho biết rằng mình chia sẻ Dữ liệu trên nền tảng ở các trường hợp khác với những trường hợp được nêu trong các câu hỏi trước. Vui lòng mô tả dữ liệu bạn chia sẻ trong những trường hợp này.

Hãy nhớ đưa ra câu trả lời cho các câu hỏi sau:

Ngoài người dùng cá nhân của ứng dụng hoặc trang web này, bạn còn chia sẻ dữ liệu này với ai?
Dữ liệu được chia sẻ như thế nào?
Bạn bắt đầu chia sẻ dữ liệu với (các) thực thể mà bạn đề cập từ khi nào?
Có phải bạn vẫn đang chia sẻ dữ liệu không?

3.1-4.f.i. Đối với Dữ liệu trên nền tảng được chia sẻ trong các trường hợp khác, bạn có ký thỏa thuận bằng văn bản với từng bên nhận Dữ liệu trên nền tảng để nghiêm cấm bên nhận sử dụng dữ liệu đó theo cách vi phạm Điều khoản của nền tảng và Chính sách dành cho nhà phát triển của Meta (hoặc bất kỳ điều khoản nào khác áp dụng cho việc bạn sử dụng Dữ liệu trên nền tảng) không?

Điều khoản dịch vụ, thỏa thuận không thương lượng tiêu chuẩn hoặc hợp đồng có chữ ký là các ví dụ về thỏa thuận bằng văn bản.

[ ] Có [ ] Không

3.1-4.g. Theo hiểu biết của bạn, có bất kỳ người nhận Dữ liệu trên nền tảng nào trong số này vi phạm Điều khoản của nền tảng mà Meta đặt ra không? Ví dụ: bằng cách bán, cấp phép hoặc mua Dữ liệu trên nền tảng.

[ ] Có [ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-4.g, bạn sẽ thấy nội dung sau đây:

3.1-4.g.i. Bạn cho biết ở trên rằng người nhận Dữ liệu trên nền tảng đã vi phạm Điều khoản của nền tảng mà Meta đặt ra. Vui lòng nêu chi tiết.

Nếu chọn tùy chọn f ở câu hỏi 3.1-4, bạn sẽ thấy nội dung sau đây:

3.1-4.i.A. Bạn cho biết ở trên rằng bạn cung cấp cho cá nhân hoặc doanh nghiệp khác Dữ liệu trên nền tảng mà mình nhận được thông qua ứng dụng này khi người dùng yêu cầu bạn chia sẻ Dữ liệu đó.

Hãy mô tả cách người dùng yêu cầu bạn chia sẻ Dữ liệu trên nền tảng với cá nhân hoặc doanh nghiệp khác.

3.1-4.i.B. Vui lòng tải lên ảnh chụp màn hình của quy trình chấp thuận chia sẻ dữ liệu này. Hãy đảm bảo file không có mật khẩu bảo vệ. Bạn có thể tải nhiều file lên, mỗi file có kích thước không quá 2GB. Chúng tôi chấp nhận định dạng .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip và .zipx.

Xóa dữ liệu

3.1-5. Bạn có xóa Dữ liệu trên nền tảng trong TẤT CẢ trường hợp sau đây, ngoại trừ trường hợp được phép lưu giữ theo Điều khoản của chúng tôi không?

a. Khi không còn cần lưu giữ Dữ liệu trên nền tảng cho mục đích kinh doanh hợp pháp,

b. Khi người dùng yêu cầu,

c. Khi người dùng không còn tài khoản trong ứng dụng của bạn (chỉ áp dụng nếu bạn cung cấp tài khoản người dùng),

d. Khi Meta yêu cầu và

e. Khi luật hoặc quy định yêu cầu.

Đối với câu hỏi này, "Dữ liệu trên nền tảng" không bao gồm dữ liệu được liệt kê trong Điều khoản 3.e của nền tảng là "Trường hợp ngoại lệ". Vui lòng xem lại Điều khoản 3d của nền tảng là "Lưu giữ, xóa và truy cập vào Dữ liệu trên nền tảng" để hiểu rõ các yêu cầu xóa dữ liệu của chúng tôi. Lưu ý rằng trong một số trường hợp, bạn không cần xóa dữ liệu nếu Dữ liệu trên nền tảng đã được tổng hợp, che mờ hoặc loại bỏ thông tin nhận dạng để không thể liên kết đến một người dùng, trình duyệt hoặc thiết bị cụ thể. Bạn được phép lưu giữ những dữ liệu tổng hợp và ẩn danh này cho mục đích kinh doanh phù hợp với trải nghiệm của người dùng, chẳng hạn như lập hóa đơn.

[ ] Có
[ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-5, bạn sẽ thấy nội dung sau đây:

3.1-5.a. Trong trường hợp nào trên đây, bạn KHÔNG xóa Dữ liệu trên nền tảng? Tại sao?

3.1-6. Nếu xóa Dữ liệu trên nền tảng trong các trường hợp nêu trên, bạn có thực hiện các bước để xóa Dữ liệu trên nền tảng vào thời điểm phù hợp trong thời gian sớm nhất có thể không?

Thời gian sớm nhất có thể này còn phụ thuộc vào các hệ thống và dữ liệu, nhưng nhìn chung không được quá 120 ngày. Câu hỏi này chỉ áp dụng cho Dữ liệu trên nền tảng, không áp dụng cho dữ liệu được ứng dụng này thu thập hoặc lưu trữ độc lập.

Câu hỏi này không áp dụng cho Dữ liệu trên nền tảng mà bạn phải lưu giữ theo quy định hoặc luật pháp hiện hành.

[ ] Có
[ ] Không

Bạn sẽ lưu giữ Dữ liệu trên nền tảng trong hơn 120 ngày với điều kiện nào? Lưu ý: Câu hỏi này không áp dụng cho Dữ liệu trên nền tảng mà bạn phải lưu giữ theo quy định hoặc luật pháp hiện hành.

Nếu chọn "Không" ở câu hỏi 3.1-6, bạn sẽ thấy nội dung sau đây:

3.1-6.a. Bạn sẽ lưu giữ Dữ liệu trên nền tảng trong hơn 120 ngày với điều kiện nào?

Lưu ý: Câu hỏi này không áp dụng cho Dữ liệu trên nền tảng mà bạn phải lưu giữ theo quy định hoặc luật pháp hiện hành.

Nếu chọn "Có" ở câu hỏi 3.1-5, bạn sẽ thấy nội dung sau đây:

3.1-5.b. Bạn cho biết ở trên rằng mình xóa Dữ liệu trên nền tảng khi Dữ liệu này không còn cần thiết cho mục đích kinh doanh hợp pháp. Vui lòng mô tả cách bạn xác định thời điểm Dữ liệu trên nền tảng không còn cần thiết cho mục đích kinh doanh hợp pháp.

Liên quan đến câu hỏi này, "Dữ liệu trên nền tảng" không bao gồm dữ liệu nêu trong Điều khoản 3(e) của nền tảng.

3.1-5.c. Bạn cho biết ở trên rằng mình xóa Dữ liệu trên nền tảng khi người dùng yêu cầu. Vui lòng mô tả cách người dùng có thể yêu cầu xóa dữ liệu của họ. Vui lòng cung cấp ảnh chụp màn hình, nếu có.

Hãy đảm bảo file không có mật khẩu bảo vệ. Bạn có thể tải nhiều file lên, mỗi file có kích thước không quá 2GB. Chúng tôi chấp nhận định dạng .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip và .zipx.

Liên quan đến câu hỏi này, "Dữ liệu trên nền tảng" không bao gồm dữ liệu nêu trong Điều khoản 3(e) của nền tảng.

Bảo mật dữ liệu

3.1-A. Trong Điều khoản 6.a.i của nền tảng, Meta yêu cầu bạn duy trì các biện pháp bảo vệ về mặt quản trị, vật lý và kỹ thuật nhằm ngăn chặn mọi hành vi truy cập trái phép, phá hủy, gây tổn thất, thay đổi, tiết lộ, phân phối hoặc xâm phạm Dữ liệu trên nền tảng.

Hãy xem phần Cách tốt nhất để bảo mật dữ liệu dành cho nhà phát triển, tổng quan về Đánh giá việc bảo vệ dữ liệu của chúng tôi và Câu hỏi thường gặp để biết thêm thông tin.

Trước khi bạn trả lời loạt câu hỏi tiếp theo, hãy đảm bảo rằng bạn đang tham khảo ý kiến đúng người, bao gồm Trưởng phòng Bảo mật Thông tin, người đảm nhận vai trò tương đương cho tổ chức của bạn hoặc công ty an ninh mạng đủ năng lực (ví dụ: công ty có ít nhất 5 năm kinh nghiệm thực hiện kiểm tra theo tiêu chuẩn ISO 27001) để đảm bảo tính chính xác của câu trả lời bạn đưa ra.

Chọn "Tôi hiểu" để tiếp tục phần đánh giá.

[ ] Tôi hiểu

3.1-B. Lưu ý rằng "Dữ liệu trên nền tảng" được định nghĩa ở Bảng thuật ngữ trong Điều khoản của nền tảng mà chúng tôi đặt ra là: "mọi thông tin, dữ liệu hoặc nội dung khác mà bạn nhận được từ chúng tôi, thông qua Nền tảng hoặc thông qua Ứng dụng của bạn, dù trực tiếp hay gián tiếp vào thời điểm trước, trong hoặc sau ngày bạn đồng ý với các Điều khoản này, bao gồm cả dữ liệu được ẩn danh, tổng hợp hoặc có nguồn gốc từ dữ liệu đó. Dữ liệu trên nền tảng bao gồm mã ứng dụng, mã trang, mã truy cập, khóa bí mật của ứng dụng và mã người dùng".

Để tránh nhầm lẫn, Dữ liệu trên nền tảng bao gồm những dữ liệu như ID người dùng, địa chỉ email và mọi dữ liệu bạn nhận được từ các lệnh gọi API đến graph.facebook.com.

Để trả lời những câu hỏi dưới đây, bạn cần phải hiểu rõ toàn bộ cách thức truyền tải, lưu trữ và xử lý Dữ liệu trên nền tảng Meta liên quan đến ứng dụng này trong phần mềm và hệ thống của bạn.

Câu hỏi này áp dụng cho tất cả các quyền, tính năng và khả năng trong ứng dụng này. Để xem các quyền, tính năng và khả năng trong ứng dụng này, hãy truy cập Bảng điều khiển của ứng dụng. Bạn có thể truy cập Bảng điều khiển bằng cách chọn ứng dụng này trên trang "Ứng dụng của tôi".

Chọn "Tôi hiểu" để tiếp tục.

[ ] Tôi hiểu

3.1-7. Nếu có chứng nhận bảo mật thông tin đáp ứng tất cả các tiêu chí dưới đây, bạn có thể gửi chứng nhận đó làm bằng chứng cho thấy bạn đã triển khai đầy đủ các biện pháp bảo vệ về mặt quản trị, vật lý và kỹ thuật nhằm bảo vệ Dữ liệu trên nền tảng:

Chứng nhận phải thuộc loại sau: SOC 2, ISO 27001, ISO 27018 hoặc tương đương.
Bên kiểm tra độc lập phải cấp chứng nhận cho tổ chức của bạn (thay vì cấp cho bên thứ ba).
Chứng nhận phải còn hiệu lực - chứng chỉ SOC 2 được cấp trong vòng 1 năm qua hoặc chứng chỉ ISO được cấp trong vòng 3 năm qua.
Phạm vi kiểm tra phải bao gồm toàn bộ các hệ thống mà bạn dùng để xử lý Dữ liệu trên nền tảng Meta.

Bạn có chứng nhận bảo mật đáp ứng các tiêu chí này không?

[ ] Có [ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-7, bạn sẽ thấy nội dung sau đây:

3.1-7.a. Bạn có chứng chỉ bảo mật dữ liệu nào? Chọn tất cả đáp án phù hợp. * [ ] Báo cáo SOC2 Loại 2 * [ ] Chứng nhận ISO 27001 * [ ] Chứng nhận ISO 27018 * [ ] Chứng nhận khác tương đương * Nếu chọn "Chứng nhận khác tương đương", bạn sẽ thấy nội dung sau đây: * Chứng nhận bảo mật này có tên là gì?

3.1-7.a.i.B. Vui lòng tải bản sao chứng nhận bảo mật của bạn lên. Hãy đảm bảo file không có mật khẩu bảo vệ. Bạn có thể tải nhiều file lên, mỗi file có kích thước không quá 2GB. Chúng tôi chấp nhận định dạng .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip và .zipx.

Nếu chọn tùy chọn d ở câu hỏi 3.1-7.a, bạn sẽ thấy nội dung sau đây:

3.1-7.a.i.A. Chứng nhận bảo mật này có tên là gì?

3.1-8. Bạn có lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ (ví dụ: cơ sở dữ liệu, vùng lưu trữ đối tượng hay bộ nhớ theo khối trong đám mây hoặc loại môi trường lưu trữ khác) không?

Chọn "Có" nếu bạn ghi Dữ liệu trên nền tảng vào bất kỳ bộ nhớ vĩnh viễn nào trong môi trường máy chủ hoặc đám mây phụ trợ có chức năng lưu giữ dữ liệu sau khi tắt nguồn thiết bị, chẳng hạn như trên ổ đĩa, file nhật ký hoặc cơ sở dữ liệu truy cập được thông qua trang web hoặc API.

Chọn "Không" nếu bạn thực hiện một trong những điều sau:

Xử lý riêng Dữ liệu trên nền tảng trong máy khách do người dùng cuối của ứng dụng sở hữu, đồng thời không bao giờ truyền Dữ liệu trên nền tảng sang bất kỳ môi trường phụ trợ nào
Xử lý Dữ liệu trên nền tảng trong môi trường phụ trợ nhưng không ghi dữ liệu đó vào bất kỳ bộ nhớ vĩnh viễn nào
[ ] Có
[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-8.a. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Đâu là loại Dữ liệu trên nền tảng mà bạn lưu trữ trong môi trường phụ trợ? Chọn tất cả đáp án phù hợp.

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.
"Lưu trữ" là việc ghi Dữ liệu trên nền tảng vào bất kỳ môi trường nào lưu giữ dữ liệu sau khi tắt nguồn (ví dụ: file nhật ký, cơ sở dữ liệu đối tượng/quan hệ hoặc ổ đĩa).

a. ID người dùng Meta hoặc ID người dùng dạng băm

b. Địa chỉ email

c. Ảnh đại diện

d. Mã truy cập của người dùng Meta API

e. Khóa bí mật của ứng dụng

f. Dữ liệu khác trên nền tảng chưa được nêu ở trên

3.1-8.b. Bạn dùng giải pháp lưu trữ nào sau đây để xử lý Dữ liệu trên nền tảng trong môi trường phụ trợ?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

Chọn tất cả đáp án phù hợp.

a. Amazon Web Services (AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform (GCP)

e. Alibaba/Aliyun

f. Tencent

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. Trung tâm dữ liệu thuộc sở hữu của một tổ chức khác với các máy chủ do tổ chức của tôi sở hữu

k. Trung tâm dữ liệu và máy chủ do tổ chức của tôi sở hữu

l. Khác

Nếu chọn tùy chọn l ở câu hỏi 3.1-8.b, bạn sẽ thấy nội dung sau đây:

3.1-8.b.i. Ở câu hỏi trước, bạn chọn "Khác" để cho biết rằng mình sử dụng một giải pháp lưu trữ chưa được nêu. Hãy mô tả phương pháp lưu trữ cho môi trường phụ trợ của bạn.

Nếu chọn tùy chọn b, c, d, e hoặc f ở câu hỏi 3.1-8.a và tùy chọn c, h, i, j, k hoặc l ở câu hỏi 3.1-8.b, bạn sẽ thấy nội dung sau đây:

3.1-9.a. Bạn có mã hóa ở trạng thái nghỉ cho toàn bộ Dữ liệu trên nền tảng được lưu trữ trong môi trường phụ trợ không?

Tính năng mã hóa ở trạng thái nghỉ sẽ bảo vệ Dữ liệu trên nền tảng bằng cách làm cho dữ liệu không thể giải mã được nếu không có khóa giải mã. Tính năng này cung cấp thêm một lớp bảo vệ để ngăn chặn hành vi truy cập đọc trái phép. Nếu lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ, bạn phải bảo vệ dữ liệu đó bằng tính năng mã hóa ở trạng thái nghỉ hoặc một biện pháp bảo vệ thay thế được chấp nhận.

Một số nhà cung cấp dịch vụ lưu trữ bật tính năng mã hóa ở trạng thái nghỉ theo mặc định hoặc có các tùy chọn cấu hình để bật tính năng này. Trước khi trả lời câu hỏi này, hãy xác minh xem tính năng mã hóa ở trạng thái nghỉ có được áp dụng cho các dịch vụ mà bạn dùng để lưu trữ Dữ liệu trên nền tảng hay không. Nếu có, hãy trả lời "Có" cho câu hỏi này.

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không, nhưng các nhà cung cấp dịch vụ lưu trữ của chúng tôi có chứng nhận SOC 2 hoặc ISO 27001 nêu rõ rằng các biện pháp kiểm soát việc xử lý file phương tiện an toàn và bảo mật về mặt vật lý của họ đã được bên thứ ba đánh giá.

[ ] Không

Nếu chọn tùy chọn b, c, d, e hoặc f ở câu hỏi 3.1-8.a và không chọn tùy chọn c, h, i, j, k hoặc l ở câu hỏi 3.1-8.b, bạn sẽ thấy nội dung sau đây:

3.1-9.b. Bạn có mã hóa ở trạng thái nghỉ cho toàn bộ Dữ liệu trên nền tảng được lưu trữ trong môi trường phụ trợ không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-9.a hoặc "Có" ở câu hỏi 3.1-9.b, bạn sẽ thấy nội dung sau đây:

TUYÊN BỐ MIỄN TRỪ TRÁCH NHIỆM: Câu hỏi này chỉ áp dụng cho một số nhà phát triển. Vui lòng xem mẫu đánh giá cụ thể của bạn để xác định xem những yêu cầu này có áp dụng cho bạn hay không.

3.1-9.b.i. Ở câu hỏi trước, bạn cho biết rằng mình mã hóa ở trạng thái nghỉ cho toàn bộ Dữ liệu trên nền tảng được lưu trữ trong môi trường phụ trợ. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ mọi Dữ liệu trên nền tảng lưu trữ trong môi trường phụ trợ phải được bảo vệ bằng tính năng mã hóa ở trạng thái nghỉ.

Nếu bạn phân loại và bảo vệ dữ liệu một cách khác nhau theo nhóm mức độ nhạy cảm của dữ liệu, phần giải thích này phải nêu rõ mức độ nhạy cảm được chỉ định cho Dữ liệu trên nền tảng nhận được từ Meta. Ngoài ra, bạn cũng phải tải các chính sách liên quan lên.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

3.1-9.b.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: ảnh chụp/video quay màn hình phiên bản cơ sở dữ liệu) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: mọi Dữ liệu trên nền tảng lưu trữ trong môi trường phụ trợ đều được bảo vệ bằng tính năng mã hóa ở trạng thái nghỉ.

Nếu chọn "Không" ở câu hỏi 3.1-9.a, bạn sẽ thấy nội dung sau đây:

3.1-9.c.i. Bạn có loại bằng chứng nào chứng minh rằng các biện pháp kiểm soát việc xử lý file phương tiện an toàn và bảo mật về mặt vật lý của nhà cung cấp dịch vụ lưu trữ đã được đánh giá không?

Để chứng minh mình đang tuân thủ Điều khoản của nền tảng mà Meta đặt ra, bạn phải xác nhận rằng quá trình kiểm tra theo tiêu chuẩn ISO 27001 hoặc SOC 2 của nhà cung cấp dịch vụ lưu trữ có các biện pháp kiểm soát việc xử lý file phương tiện an toàn và bảo mật vật lý trong phạm vi. Theo tiêu chuẩn ISO/IEC 27001:2013 hoặc 2017, đây là các biện pháp kiểm soát A.8.3, A.11.1 và A.11.2. Còn theo tiêu chuẩn SOC 2, đây là các biện pháp kiểm soát CC6.4 và CC6.5.

a. Quá trình kiểm tra theo tiêu chuẩn ISO 27001 của nhà cung cấp dịch vụ lưu trữ, trong đó Tuyên bố về khả năng áp dụng (SOA) có liên quan nêu rõ rằng các biện pháp kiểm soát việc xử lý file phương tiện an toàn và bảo mật về mặt vật lý đã được đánh giá

b. Báo cáo kiểm tra theo tiêu chuẩn SOC 2 nêu rõ rằng các biện pháp kiểm soát việc xử lý file phương tiện an toàn và bảo mật về mặt vật lý đã được thử nghiệm và không có phát hiện bất lợi nào liên quan đến những biện pháp kiểm soát này

c. Không đáp án nào ở trên

Nếu chọn tùy chọn a hoặc b ở câu hỏi 3.1-9.c.i, bạn sẽ thấy nội dung sau đây:

3.1-9.c.ii. Nhà cung cấp dịch vụ lưu trữ của bạn được cấp chứng nhận ISO 27001 hoặc SOC 2 vào ngày nào?

3.1-10. Có ai trong tổ chức của bạn lưu trữ Dữ liệu trên nền tảng trong thiết bị đầu cuối của tổ chức hoặc thiết bị của cá nhân (ví dụ: laptop hoặc điện thoại thông minh) không?

"Lưu trữ" là việc ghi Dữ liệu trên nền tảng vào bất kỳ môi trường nào lưu giữ dữ liệu sau khi tắt nguồn, chẳng hạn như laptop, ổ đĩa USB, ổ đĩa cứng có thể tháo rời và các dịch vụ lưu trữ đám mây như Dropbox hoặc Google Drive.

Lưu ý: Phạm vi của câu hỏi này không bao gồm Dữ liệu trên nền tảng luôn nằm trong trong máy khách trên di động hoặc web dành cho người dùng cá nhân của dịch vụ bạn cung cấp.

[ ] Có. Một hoặc nhiều người trong tổ chức của tôi lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức.
[ ] Không. Mọi người trong tổ chức của tôi không bao giờ lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức.

Nếu chọn "Có" ở câu hỏi 3.1-10, bạn sẽ thấy nội dung sau đây:

3.1-10.a. Khi mọi người trong tổ chức của bạn lưu trữ Dữ liệu trên nền tảng trong thiết bị đầu cuối của tổ chức hoặc thiết bị của cá nhân, bạn triển khai biện pháp bảo vệ nào sau đây để giảm nguy cơ thất thoát dữ liệu?

Chúng tôi yêu cầu bạn triển khai các biện pháp bảo vệ để giảm nguy cơ Dữ liệu trên nền tảng bị truy cập khi được lưu trữ ở trạng thái nghỉ.

Chọn tất cả đáp án phù hợp.

a. Phần mềm hoặc dịch vụ mã hóa toàn bộ ổ đĩa trên thiết bị của tổ chức (ví dụ: Bitlocker hoặc FileVault)

b. Phần mềm Chống thất thoát dữ liệu (DLP) trên thiết bị đầu cuối ở mọi thiết bị được quản lý để giám sát và ghi lại các hành động liên quan đến Dữ liệu trên nền tảng được lưu trữ

c. Mọi người trong tổ chức của tôi phải tuân thủ chính sách về cách sử dụng được chấp nhận, theo đó chỉ được phép xử lý Dữ liệu trên nền tảng trong trường hợp có mục đích kinh doanh rõ ràng và thiết thực, đồng thời phải xóa dữ liệu khi mục đích kinh doanh không còn nữa

d. Không đáp án nào ở trên

Nếu chọn tùy chọn a hoặc b ở câu hỏi 3.1-10.a, bạn sẽ thấy nội dung sau đây:

3.1-10.a.i. Ở câu hỏi trước, bạn cho biết rằng mình bảo vệ Dữ liệu trên nền tảng được lưu trữ trong thiết bị của cá nhân hoặc tổ chức bằng cách triển khai phương thức mã hóa toàn bộ ổ đĩa trên các thiết bị này hoặc bằng phần mềm Chống thất thoát dữ liệu (DLP) trên thiết bị đầu cuối. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn triển khai biện pháp bảo vệ kỹ thuật này.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn tùy chọn a hoặc b ở câu hỏi 3.1-10.a, bạn sẽ thấy nội dung sau đây:

3.1-10.a.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: các biện pháp bảo vệ kỹ thuật cho Dữ liệu trên nền tảng được lưu trữ trên thiết bị của cá nhân hoặc tổ chức. [Câu hỏi chính]

Ví dụ:

Ảnh chụp/video quay màn hình Chính sách nhóm, trong đó yêu cầu BitLocker phải ở trạng thái bật đối với các thiết bị được quản lý
Ảnh chụp/video quay màn hình một công cụ quản lý DLP cho thấy đã bật tính năng giám sát dữ liệu PII cho mọi thiết bị đầu cuối
Ảnh chụp/video quay màn hình một công cụ hoặc sản phẩm khác mà quản trị viên CNTT dùng để thực hiện các biện pháp bảo vệ kỹ thuật trên tất cả thiết bị của tổ chức
Hãy đảm bảo file không có mật khẩu bảo vệ. Bạn có thể tải nhiều file lên, mỗi file có kích thước không quá 2GB. Chúng tôi chấp nhận định dạng .xls, .xlsx, .csv, .doc, .docx, .pdf, .txt, .jpeg, .jpg, .png, .ppt, .pptx, .mov, .mp4, .zip và .zipx.

TUYÊN BỐ MIỄN TRỪ TRÁCH NHIỆM: Câu hỏi này chỉ áp dụng cho một số nhà phát triển. Vui lòng xem mẫu đánh giá cụ thể của bạn để xác định xem những yêu cầu này có áp dụng cho bạn hay không

Nếu chỉ chọn tùy chọn c ở câu hỏi 3.1-10.a, bạn sẽ thấy nội dung sau đây:

3.1-10.a.iii. Ở câu hỏi trước, bạn cho biết rằng mọi người trong tổ chức của mình đều phải tuân thủ chính sách về cách sử dụng được chấp nhận khi họ lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) có chứa chính sách về cách sử dụng được chấp nhận.

Chúng tôi yêu cầu chính sách này phải mô tả rõ nội dung sau đây:

Mục đích kinh doanh được cho phép để xử lý Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức
Yêu cầu xóa dữ liệu khi mục đích này không còn nữa

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chỉ chọn tùy chọn c ở câu hỏi 3.1-10.a, bạn sẽ thấy nội dung sau đây:

3.1-10.a.iv. Tôi có thể xác nhận rằng tất cả mọi người trong tổ chức của tôi mà có thể xử lý Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức: Đã nắm được chính sách về cách sử dụng được chấp nhận đối với dữ liệu này Đã xác nhận rằng họ hiểu chính sách này Đã nắm được thông tin về chính sách này trong quá trình đào tạo nhân viên mới

[ ] Có, tôi có thể xác nhận.

[ ] Không, tôi không thể xác nhận.

Nếu chọn "Có" ở câu hỏi 3.1-8 và "Không" ở câu hỏi 3.1-10, bạn sẽ thấy nội dung sau đây:

3.1-10.b. Ở câu hỏi trước, bạn cho biết rằng mọi người trong tổ chức của mình không bao giờ lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức.

Bạn có từng khuyến cáo mọi người trong tổ chức của mình rằng việc lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức là hành vi không được phép trong mọi trường hợp, đồng thời yêu cầu họ xác nhận tuân thủ nghĩa vụ này không?

Theo chính sách của chúng tôi, các tổ chức cần phải khuyến cáo mọi người trong tổ chức của họ (kể cả những người dùng có đặc quyền cấp cao như quản trị viên) rằng việc lưu trữ Dữ liệu trên nền tảng là hành vi không được phép.

[ ] Có

[ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-8 và "Không" ở câu hỏi 3.1-10, bạn sẽ thấy nội dung sau đây:

3.1-10.c. Ở câu hỏi trước, bạn cho biết rằng mọi người trong tổ chức của mình không bao giờ lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức.

[ ] Có

[ ] Việc này không cần thiết vì mọi người trong tổ chức của tôi không thể truy cập vào Dữ liệu trên nền tảng.

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-10.b hoặc câu hỏi 3.1-10.c, bạn sẽ thấy nội dung sau đây:

3.1-10.c.i. Ở câu hỏi trước, bạn cho biết rằng mọi người trong tổ chức của mình không bao giờ lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ rằng mọi người trong tổ chức của bạn không được phép lưu trữ Dữ liệu trên nền tảng trong các thiết bị này.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-10.b hoặc câu hỏi 3.1-10.c, bạn sẽ thấy nội dung sau đây:

3.1-10.c.ii. Tôi có thể xác nhận rằng tất cả mọi người trong tổ chức mình đều:

Đã nắm được chính sách nghiêm cấm họ lưu trữ Dữ liệu trên nền tảng trong thiết bị của cá nhân hoặc tổ chức

Đã xác nhận rằng họ hiểu chính sách này

Đã nắm được thông tin về chính sách này trong quá trình đào tạo nhân viên mới

[ ] Có, tôi có thể xác nhận.

[ ] Không, tôi không thể xác nhận.

Nếu chọn "Không" ở câu hỏi 3.1-8 và "Không" ở câu hỏi 3.1-10, bạn sẽ thấy nội dung sau đây:

3.1-10.d. Hãy tải lên sơ đồ luồng dữ liệu và phần mô tả cách ứng dụng của bạn dùng Dữ liệu trên nền tảng.

Phần mô tả của bạn phải bao gồm các chi tiết sau đây:

Cho thấy cách ứng dụng của bạn thực hiện lệnh gọi đến Meta API (ví dụ: graph.facebook.com), đồng thời nêu rõ mọi thành phần sử dụng Dữ liệu trên nền tảng, bao gồm cả những thành phần lưu trữ, lưu vào bộ nhớ đệm, xử lý hoặc chuyển Dữ liệu trên nền tảng qua mạng

Mô tả các trường hợp sử dụng chính (cụ thể là quy trình cung cấp kết quả có giá trị cho người dùng ứng dụng) mà bạn hỗ trợ.

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-11.a. Bạn có bật giao thức bảo mật TLS 1.2 trở lên để mã hóa dữ liệu cho mọi kết nối mạng chuyển qua, kết nối hoặc đi qua các mạng công cộng dùng để truyền Dữ liệu trên nền tảng hay không?

Tính năng mã hóa trong quá trình chuyển sẽ bảo vệ Dữ liệu trên nền tảng khi được truyền qua mạng không đáng tin cậy (ví dụ: Internet) bằng cách làm cho dữ liệu không thể giải mã được nếu không phải là thiết bị gửi và nhận. Các bên tham gia ở giữa quá trình truyền sẽ không thể đọc Dữ liệu trên nền tảng ngay cả khi họ có thể nhìn thấy lưu lượng truy cập mạng (như trong kiểu tấn công xen giữa). TLS là hình thức mã hóa phổ biến nhất trong quá trình chuyển vì là công nghệ mà các trình duyệt sử dụng để bảo mật thông tin liên lạc đến những trang web như ngân hàng.

Chúng tôi yêu cầu rằng tất cả trình nghe trên web (ví dụ: trình cân bằng tải từ phía Internet) tiếp nhận hoặc trả về Dữ liệu trên nền tảng phải bật TLS 1.2 trở lên. Chỉ có thể sử dụng TLS 1.0 và TLS 1.1 để đảm bảo khả năng tương thích với những thiết bị của khách hàng không hỗ trợ TLS 1.2 trở lên. Chúng tôi khuyến nghị (nhưng không bắt buộc) áp dụng tính năng mã hóa trong quá trình chuyển cho những lần truyền Dữ liệu trên nền tảng diễn ra hoàn toàn trong phạm vi của mạng riêng tư đáng tin cậy mà bạn kiểm soát (ví dụ: trong phạm vi của Đám mây riêng ảo (VPC)). Để biết thêm thông tin về yêu cầu này và cách tải mọi bằng chứng bắt buộc lên, vui lòng tham khảo Yêu cầu về bảo mật dữ liệu của chúng tôi.

[ ] Có

[ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-11.b. Bạn có bật giao thức bảo mật TLS 1.2 trở lên để mã hóa dữ liệu cho mọi kết nối mạng chuyển qua, kết nối hoặc đi qua các mạng công cộng dùng để truyền Dữ liệu trên nền tảng hay không?

[ ] Có

[ ] Việc này không cần thiết. Chúng tôi không bao giờ truyền Dữ liệu trên nền tảng qua Internet vì bất kỳ lý do nào khác, ngoại trừ theo yêu cầu trực tiếp của Meta.

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-11.a hoặc câu hỏi 3.1-11.b, bạn sẽ thấy nội dung sau đây:

3.1-11.c. Ở câu hỏi trước, bạn cho biết rằng mình bật giao thức bảo mật TLS 1.2 trở lên để mã hóa dữ liệu trong quá trình chuyển. Bạn có đảm bảo rằng Dữ liệu trên nền tảng không bao giờ được truyền qua các mạng công cộng ở dạng không mã hóa (ví dụ: qua HTTP hoặc FTP), cũng như bạn chưa từng dùng SSL 2.0 và SSL 3.0 không?

Chúng tôi yêu cầu rằng Dữ liệu trên nền tảng không bao giờ được phép truyền qua các mạng không đáng tin cậy ở dạng không mã hóa, đồng thời bạn không bao giờ được sử dụng SSL 2.0 hoặc SSL 3.0. Để tìm hiểu thêm về yêu cầu này và cách tải mọi bằng chứng bắt buộc lên, vui lòng tham khảo Yêu cầu về bảo mật dữ liệu của chúng tôi.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-11.a hoặc câu hỏi 3.1-11.b, bạn sẽ thấy nội dung sau đây:

3.1-11.a.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn bật giao thức bảo mật TLS 1.2 trở lên cho dữ liệu trong quá trình chuyển.

Tài liệu của bạn phải bao gồm các tuyên bố sau đây: 1. Không bao giờ truyền Dữ liệu trên nền tảng mà không mã hóa trong quá trình chuyển 2. Không bao giờ sử dụng SSL phiên bản 2 và SSL phiên bản 3

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-11.a hoặc câu hỏi 3.1-11.b, bạn sẽ thấy nội dung sau đây:

3.1-11.a.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: ảnh chụp/video quay toàn màn hình kết quả của báo cáo Qualys SSL chạy trên một trong các miền web của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: bật giao thức bảo mật TLS 1.2 trở lên cho dữ liệu trong quá trình chuyển. [Câu hỏi chính]

Nếu chọn "Không" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-12.a. Trong vòng 12 tháng qua, bạn đã dùng phương pháp nào sau đây để thử nghiệm phần mềm mà mình dùng để xử lý Dữ liệu trên nền tảng nhằm phát hiện các lỗ hổng và vấn đề bảo mật?

Câu hỏi này chỉ đề cập đến phần mềm bạn xây dựng hoặc triển khai (ví dụ: thư viện mã) để xử lý Dữ liệu trên nền tảng, chứ không phải phần mềm do các công ty khác xây dựng hoặc duy trì (ví dụ: hệ điều hành iOS hoặc Android).

Chọn tất cả đáp án phù hợp.

a. Kiểm tra bảo mật ứng dụng tĩnh (SAST)

b. Kiểm tra bảo mật ứng dụng động (DAST)

c. Thử nghiệm xâm nhập của đội ngũ nội bộ

d. Thử nghiệm xâm nhập của công ty bảo mật bên ngoài

e. Báo cáo lỗ hổng do các nhà nghiên cứu bên ngoài thực hiện, thu được qua Chương trình công bố lỗ hổng (VDP) hoặc chương trình săn lỗi nhận thưởng

f. Một cách khác để xác định lỗ hổng

g. Không đáp án nào ở trên

Nếu chọn bất kỳ lựa chọn nào từ a đến g ở câu hỏi 3.1-12.a, bạn sẽ thấy nội dung sau đây:

3.1-12.a.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn thử nghiệm phần mềm mà bạn dùng để xử lý Dữ liệu trên nền tảng nhằm phát hiện các lỗ hổng và vấn đề bảo mật.

Văn bản giải thích của bạn phải bao gồm tất cả quy trình thử nghiệm sau đây:

Thử nghiệm nhằm phát hiện các lỗ hổng bảo mật với tần suất tối thiểu là 12 tháng/lần
Có quy trình để xem xét kết quả dựa trên mức độ nghiêm trọng
Đảm bảo khắc phục kịp thời các lỗ hổng có mức độ nghiêm trọng cao, có khả năng dẫn đến hành vi truy cập trái phép vào Dữ liệu trên nền tảng

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn bất kỳ tùy chọn nào từ a đến f ở câu hỏi 3.1-12.a, bạn sẽ thấy nội dung sau đây:

3.1-12.a.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: phần tóm tắt kết quả của thử nghiệm xâm nhập gần đây) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: thử nghiệm phần mềm mà bạn dùng để xử lý Dữ liệu trên nền tảng nhằm phát hiện các lỗ hổng và vấn đề bảo mật.

Bằng chứng của bạn phải bao gồm các chi tiết sau đây: 1. Phần giải thích về phạm vi và phương pháp thử nghiệm 2. Ngày diễn ra hoạt động thử nghiệm (Để được chấp nhận, ngày này phải không sớm hơn 12 tháng kể từ thời điểm chúng tôi thông báo cho bạn về đánh giá này.) 3. Cung cấp phần tóm tắt (nếu có thể) về mọi lỗ hổng nghiêm trọng và có mức độ nghiêm trọng cao chưa được khắc phục

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-12.b. Trong vòng 12 tháng qua, bạn đã dùng phương pháp nào sau đây để thử nghiệm nhằm phát hiện các lỗ hổng và vấn đề bảo mật trong môi trường phụ trợ mà bạn xử lý Dữ liệu trên nền tảng?

Câu hỏi này chỉ đề cập đến phần mềm bạn xây dựng hoặc triển khai (ví dụ: thư viện mã) để xử lý Dữ liệu trên nền tảng, chứ không phải phần mềm do các công ty khác xây dựng hoặc duy trì (ví dụ: dịch vụ phân tích mà bạn dùng làm Nhà cung cấp dịch vụ).

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

Chọn tất cả đáp án phù hợp.

a. Kiểm tra bảo mật ứng dụng tĩnh (SAST)

b. Kiểm tra bảo mật ứng dụng động (DAST)

c. Quét trên web

d. Thử nghiệm xâm nhập của đội ngũ nội bộ

e. Thử nghiệm xâm nhập của công ty bảo mật bên ngoài

f. Báo cáo lỗ hổng do các nhà nghiên cứu bên ngoài thực hiện, thu được qua Chương trình công bố lỗ hổng (VDP) hoặc chương trình săn lỗi nhận thưởng

g. Một cách khác để xác định lỗ hổng

h. Việc này không cần thiết vì tổ chức của tôi sử dụng giải pháp phụ trợ không dùng mã

i. Không đáp án nào ở trên

Nếu chọn bất kỳ tùy chọn nào từ a đến g ở câu hỏi 3.1-12.b, bạn sẽ thấy nội dung sau đây:

3.1-12.b.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn thử nghiệm nhằm phát hiện các lỗ hổng và vấn đề bảo mật trong môi trường phụ trợ mà bạn xử lý Dữ liệu trên nền tảng.

Văn bản giải thích của bạn phải bao gồm tất cả quy trình thử nghiệm sau đây:

Thử nghiệm nhằm phát hiện các lỗ hổng bảo mật với tần suất tối thiểu là 12 tháng/lần
Có quy trình để xem xét kết quả dựa trên mức độ nghiêm trọng
Đảm bảo khắc phục kịp thời các lỗ hổng có mức độ nghiêm trọng cao, có khả năng dẫn đến hành vi truy cập trái phép vào Dữ liệu trên nền tảng

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn bất kỳ tùy chọn nào từ a đến g ở câu hỏi 3.1-12.b, bạn sẽ thấy nội dung sau đây:

3.1-12.b.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: phần tóm tắt kết quả của thử nghiệm xâm nhập gần đây) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: thử nghiệm nhằm phát hiện các lỗ hổng và vấn đề bảo mật trong môi trường phụ trợ mà bạn xử lý Dữ liệu trên nền tảng.

Bằng chứng của bạn phải bao gồm các chi tiết sau đây:

Phần giải thích về phạm vi và phương pháp thử nghiệm
Ngày diễn ra hoạt động thử nghiệm (Để được chấp nhận, ngày này phải không sớm hơn 12 tháng kể từ thời điểm chúng tôi thông báo cho bạn về đánh giá này.)
Cung cấp phần tóm tắt (nếu có thể) về mọi lỗ hổng nghiêm trọng và có mức độ nghiêm trọng cao chưa được khắc phục

Nếu bạn chọn bất kỳ tùy chọn nào từ a đến b hoặc từ d đến i ở câu hỏi 3.1-8.b

3.1-12.c. Bạn có thử nghiệm môi trường đám mây mà mình dùng để xử lý Dữ liệu trên nền tảng nhằm phát hiện các lỗi cấu hình bảo mật (ví dụ: sử dụng công cụ như NCC Scout Suite để phát hiện các lỗi cấu hình) với tần suất tối thiểu là 12 tháng/lần không?

Meta yêu cầu bạn thực hiện các bước thử nghiệm phần mềm nhằm phát hiện lỗ hổng và vấn đề bảo mật với tần suất tối thiểu là 12 tháng/lần, từ đó ngăn chặn hành vi truy cập trái phép vào Dữ liệu trên nền tảng.

[ ] Có

[ ] Không áp dụng vì tổ chức của tôi chỉ dựa vào một dịch vụ phụ trợ không để lộ bất kỳ tùy chọn cấu hình bảo mật nhạy cảm nào

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-12.c, bạn sẽ thấy nội dung sau đây:

3.1-12.c.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn thử nghiệm môi trường đám mây mà bạn dùng để xử lý Dữ liệu trên nền tảng nhằm phát hiện các lỗi cấu hình bảo mật.

Văn bản giải thích của bạn phải bao gồm tất cả quy trình thử nghiệm sau đây:

Thử nghiệm nhằm phát hiện các lỗ hổng bảo mật với tần suất tối thiểu là 12 tháng/lần.
Có quy trình để xem xét kết quả dựa trên mức độ nghiêm trọng.
Đảm bảo khắc phục kịp thời các lỗ hổng có mức độ nghiêm trọng cao, có khả năng dẫn đến hành vi truy cập trái phép vào Dữ liệu trên nền tảng.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-12.c, bạn sẽ thấy nội dung sau đây:

3.1-12.c.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: phần tóm tắt về thử nghiệm NCC Scout Suite) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: thử nghiệm môi trường đám mây mà bạn dùng để xử lý Dữ liệu trên nền tảng nhằm phát hiện các lỗi cấu hình bảo mật.

Bằng chứng của bạn phải bao gồm các chi tiết sau đây:

Phần giải thích về phạm vi và phương pháp thử nghiệm
Ngày diễn ra hoạt động thử nghiệm (Để được chấp nhận, ngày này phải không sớm hơn 12 tháng kể từ thời điểm chúng tôi thông báo cho bạn về đánh giá này.)
Cung cấp phần tóm tắt (nếu có thể) về mọi lỗ hổng nghiêm trọng và có mức độ nghiêm trọng cao chưa được khắc phục

3.1-13.a. Ứng dụng hoặc phần mềm của bạn có bao giờ lưu trữ mã truy cập trên thiết bị của khách hàng mà ứng dụng hoặc người dùng khác có thể đọc được không?

"Thiết bị của khách hàng" là phần cứng (ví dụ: điện thoại di động iPhone hoặc Android) do người dùng cuối của ứng dụng/dịch vụ mà bạn có sở hữu.

Chọn "không" nếu bạn không có ứng dụng hay phần mềm nào chạy trên thiết bị của khách hàng, chẳng hạn như điện thoại di động.

[ ] Có

[ ] Không

Nếu ứng dụng này không được đặt cấu hình là Máy tính/Gốc, bạn sẽ thấy nội dung sau đây:

3.1-13.b. Khóa bí mật của ứng dụng trên Facebook có từng tiếp xúc với thiết bị của khách hàng (ví dụ: trong mã được biên soạn) không?

[ ] Có

[ ] Có, nhưng ứng dụng của tôi được đặt cấu hình là ứng dụng dành cho máy tính hoặc ứng dụng gốc

[ ] Không

Nếu chọn tùy chọn d ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-13.c. Bạn nhận được câu hỏi này là vì ở câu hỏi trước, bạn cho biết rằng mình lưu trữ mã truy cập của người dùng Meta API trong môi trường phụ trợ. Bạn làm cách nào để bảo vệ những mã này nhằm ngăn chặn hành vi sử dụng trái phép?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

Mã truy cập là cơ sở cho hoạt động bảo mật của API do Meta sở hữu. Chúng tôi yêu cầu nhà phát triển bảo vệ mã truy cập nhằm ngăn chặn hành vi truy cập trái phép. Tìm hiểu về mã truy cập.

Chọn tất cả đáp án phù hợp.

a. Bằng cách lưu trữ dữ liệu này trong kho dữ liệu (ví dụ: Vault by Hashicorp) thông qua dịch vụ quản lý khóa (KMS) riêng biệt

b. Bằng cách dùng phương thức mã hóa ứng dụng (ví dụ: mã truy cập của người dùng không bao giờ được ghi hoặc không được mã hóa vào cơ sở dữ liệu hay bất kỳ bộ nhớ vĩnh viễn nào khác)

c. Bằng cách đặt cấu hình ứng dụng để yêu cầu thông số appsecret_proof cho lệnh gọi API đến Meta

d. Tôi dùng phương pháp khác để bảo vệ mã truy cập của người dùng

e. Không đáp án nào ở trên

Nếu chọn a, b, c hoặc d ở câu hỏi 3.1-13.c, bạn sẽ thấy nội dung sau đây:

3.1-13.c.i. Câu hỏi trước đã hỏi bạn về cách bạn bảo vệ mã truy cập của người dùng được lưu trữ trong môi trường phụ trợ nhằm ngăn chặn hành vi sử dụng trái phép. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn bảo vệ những mã truy cập này.

Văn bản giải thích của bạn phải bao gồm:

Nội dung mô tả cách bảo vệ mã truy cập của người dùng nhằm ngăn chặn hành vi truy cập đọc trái phép
Yêu cầu không bao giờ được ghi mã truy cập của người dùng vào file nhật ký dưới dạng văn bản thuần túy (không mã hóa)

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

3.1-13.c.ii Hãy tải lên ít nhất một bằng chứng (ví dụ: ảnh chụp/video quay màn hình khóa mã truy cập nhưng không kèm giá trị) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: bảo vệ mã truy cập được lưu trữ trong môi trường phụ trợ nhằm tránh hành vi sử dụng trái phép. [Câu hỏi chính]

Nếu chọn tùy chọn e ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-13.d. Bạn nhận được câu hỏi này là vì ở câu hỏi trước, bạn cho biết rằng mình lưu trữ khóa bí mật của ứng dụng trong môi trường phụ trợ. Bạn làm cách nào để bảo vệ khóa bí mật của ứng dụng nhằm ngăn chặn hành vi sử dụng trái phép?

Khóa bí mật của ứng dụng là thông số kết nối với Công nghệ của Meta, có thể dùng làm mã truy cập trong một số lệnh gọi API để thay đổi cấu hình của ứng dụng, chẳng hạn như đặt cấu hình cho lệnh gọi lại Webhook. Bạn có thể tìm khóa bí mật của ứng dụng trên bảng điều khiển ứng dụng trong phần Cài đặt > Cơ bản. Để biết thêm thông tin về khóa bí mật của ứng dụng, hãy tham khảo tài liệu dành cho nhà phát triển về Bảo mật đăng nhập. Để biết thêm thông tin về các yêu cầu của chúng tôi nhằm bảo vệ khóa bí mật của ứng dụng và mã truy cập của người dùng, bao gồm cả mọi bằng chứng bạn có thể phải cung cấp, hãy xem phần Bảo vệ mã truy cập và khóa bí mật của ứng dụng trên Meta.

Bạn phải bảo vệ khóa bí mật của ứng dụng theo 1 trong 2 cách:

Bằng cách không bao giờ tạo cơ hội tiếp xúc ở bên ngoài môi trường máy chủ được bảo mật. Tức là dữ liệu không bao giờ được trả về qua lệnh gọi mạng đến trình duyệt hoặc ứng dụng di động, đồng thời khóa bí mật không được nhúng vào mã mà hệ thống phân phối đến ứng dụng di động hoặc ứng dụng gốc/ứng dụng dành cho máy tính.
Hoặc bằng cách đặt cấu hình cho tính năng Xác thực ứng dụng theo kiểu "Ứng dụng dành cho máy tính hoặc ứng dụng gốc" để Meta API không tin cậy các lệnh gọi API có chứa khóa bí mật của ứng dụng đó nữa.

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

Chọn tất cả đáp án phù hợp.

a. Bằng cách lưu trữ dữ liệu này trong kho dữ liệu (ví dụ: Vault by Hashicorp) thông qua dịch vụ quản lý khóa (KMS) riêng biệt

b. Bằng cách dùng phương thức mã hóa ứng dụng (ví dụ: khóa bí mật của ứng dụng không bao giờ được ghi ở dạng chưa mã hóa vào cơ sở dữ liệu hoặc bất kỳ bộ nhớ vĩnh viễn nào khác)

c. Tôi dùng phương pháp khác để bảo vệ khóa bí mật của ứng dụng

d. Không đáp án nào ở trên

Nếu chọn tùy chọn a, b hoặc c ở câu hỏi 3.1-13.d, bạn sẽ thấy nội dung sau đây:

3.1-13.d.i. Ở câu hỏi trước, bạn cho biết rằng mình bảo vệ khóa bí mật của ứng dụng được lưu trữ trong môi trường phụ trợ nhằm tránh hành vi sử dụng trái phép. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn triển khai biện pháp bảo vệ này.

Văn bản giải thích của bạn phải bao gồm:

Nội dung mô tả cách khóa bí mật của ứng dụng được bảo vệ khỏi hành vi truy cập đọc trái phép
Yêu cầu không bao giờ được ghi khóa bí mật của ứng dụng vào file nhật ký dưới dạng văn bản thuần túy (không mã hóa)

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Khóa bí mật của ứng dụng là cơ sở cho hoạt động bảo mật của API do Meta sở hữu. Chúng tôi yêu cầu nhà phát triển bảo vệ khóa bí mật của ứng dụng nhằm ngăn chặn hành vi truy cập trái phép. Tìm hiểu về khóa bí mật của ứng dụng.

Nếu chọn tùy chọn a, b hoặc c ở câu hỏi 3.1-13.d, bạn sẽ thấy nội dung sau đây:

3.1-13.d.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: ảnh chụp/video quay màn hình công cụ quản lý khóa bí mật chứa khóa bí mật của ứng dụng này kèm theo giá trị đã được biên soạn lại) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: bảo vệ khóa bí mật của ứng dụng được lưu trữ trong môi trường phụ trợ nhằm tránh hành vi sử dụng trái phép.

Để xem ví dụ về bằng chứng được chấp nhận, hãy mở hướng dẫn về bằng chứng cho câu hỏi này.

3.1-15.a. Bạn có yêu cầu xác thực đa yếu tố (MFA) đối với tất cả hoạt động truy cập vào các công cụ cộng tác và liên lạc của mình không?

Chúng tôi yêu cầu MFA hoặc biện pháp bảo vệ thay thế được chấp nhận đối với tất cả những người dùng các công cụ cộng tác và liên lạc của bạn (ví dụ: email, Slack). Chúng tôi không yêu cầu phương thức triển khai MFA cụ thể nào.

[ ] Có

[ ] Không, nhưng chúng tôi thực thi chính sách mật khẩu phức tạp, đồng thời có biện pháp trì hoãn việc thử xác thực lại và tự động khóa tài khoản đối với những lần đăng nhập không thành công.

[ ] Không

3.1-15.b. Bạn có yêu cầu xác thức đa yếu tố (MFA) đối với tất cả hoạt động truy cập vào công cụ chứa mã (ví dụ: GitHub) hoặc công cụ bất kỳ được dùng để theo dõi các thay đổi đối với ứng dụng, cũng như mọi cấu hình và mã của hệ thống không?

Chúng tôi yêu cầu MFA hoặc biện pháp bảo vệ thay thế được chấp nhận đối với tất cả những người dùng kho chứa mã của bạn. Chúng tôi không yêu cầu phương thức triển khai MFA cụ thể nào.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-15.c. Bạn có yêu cầu xác thực đa yếu tố (MFA) đối với tất cả hoạt động truy cập vào các công cụ triển khai phần mềm, chẳng hạn như Jenkins hoặc một công cụ tích hợp liên tục, triển khai liên tục (CI/CD) khác không?

Chúng tôi yêu cầu MFA hoặc biện pháp bảo vệ thay thế được chấp nhận đối với tất cả những người dùng các công cụ triển khai phần mềm của bạn. Chúng tôi không yêu cầu phương thức triển khai MFA cụ thể nào.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-15.d. Bạn có yêu cầu xác thực đa yếu tố (MFA) đối với tất cả hoạt động truy cập vào công cụ quản trị phụ trợ, chẳng hạn như cổng thông tin quản trị đám mây không?

Chúng tôi yêu cầu MFA hoặc biện pháp bảo vệ thay thế được chấp nhận đối với tất cả những người dùng các công cụ quản trị đám mây hoặc máy chủ của bạn. Chúng tôi không yêu cầu phương thức triển khai MFA cụ thể nào.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-15.e. Bạn có yêu cầu xác thực đa yếu tố (MFA) đối với tất cả hoạt động truy cập từ xa vào máy chủ, chẳng hạn như qua SSH không?

Chúng tôi yêu cầu MFA hoặc biện pháp bảo vệ thay thế được chấp nhận đối với tất cả hoạt động truy cập từ xa vào máy chủ. Chúng tôi không yêu cầu phương thức triển khai MFA cụ thể nào.

[ ] Có

[ ] Không áp dụng. Chúng tôi không có quyền truy cập từ xa vào máy chủ.

[ ] Không

Nếu chọn "Có" ở bất kỳ câu hỏi nào từ 3.1-15.a đến 3.1-15.e, bạn sẽ thấy nội dung sau đây:

3.1-15.e.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ các yêu cầu của bạn đối với phương thức xác thực đa yếu tố (MFA) hoặc những biện pháp khác để ngăn tình trạng chiếm đoạt tài khoản (ví dụ: độ phức tạp của mật khẩu kết hợp với giải pháp thử xác thực lại và tự động khóa tài khoản đối với lần đăng nhập không thành công).

Phần giải thích của bạn phải bao gồm các yêu cầu xác thực đối với tất cả hoạt động truy cập vào mọi công cụ cộng tác và liên lạc, kho chứa mã, công cụ triển khai phần mềm, công cụ quản trị phụ trợ, cũng như quyền truy cập từ xa vào máy chủ qua công cụ như SSH.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở bất kỳ câu hỏi nào từ 3.1-15.a đến 3.1-15.e, bạn sẽ thấy nội dung sau đây:

3.1-15.e.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) nêu rõ cách bạn triển khai biện pháp bảo vệ này trên thực tế: xác thực đa yếu tố (MFA) hoặc các biện pháp khác để ngăn tình trạng chiếm đoạt tài khoản.

Bằng chứng của bạn phải cho thấy cách bạn dùng biện pháp xác thực để bảo vệ tất cả hoạt động truy cập vào mọi công cụ cộng tác và liên lạc, kho chứa mã, công cụ triển khai phần mềm, công cụ quản trị phụ trợ, cũng như quyền truy cập từ xa vào máy chủ thông qua công cụ như SSH.

3.1-16. Bạn có hệ thống duy trì các tài khoản quản lý hoạt động cấp, thu hồi và xem xét quyền truy cập cho mọi người trong tổ chức của mình không?

Bạn phải có hệ thống duy trì tài khoản và thường xuyên xem lại quyền truy cập đã cấp, tối thiểu 12 thán/lần. Bạn phải có quy trình thu hồi ngay quyền truy cập khi:

Quyền truy cập không còn cần thiết
Quyền truy cập không được sử dụng nữa
Có người rời khỏi tổ chức

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-16, bạn sẽ thấy nội dung sau đây:

3.1-16.a. Bạn triển khai quy trình nào dưới đây trong hệ thống duy trì tài khoản?

Chọn tất cả đáp án phù hợp.

a. Chúng tôi xem lại tất cả quyền truy cập đã cấp với tần suất tối thiểu là 12 tháng/lần và thu hồi quyền truy cập không còn cần thiết.

b. Chúng tôi xem lại tất cả quyền truy cập đã cấp với tần suất tối thiểu là 12 tháng/lần và thu hồi quyền truy cập không được sử dụng nữa.

c. Chúng tôi sẽ lập tức thu hồi tất cả quyền truy cập đã cấp khi có người rời khỏi tổ chức.

d. Không đáp án nào trong số này

Nếu chọn bất kỳ tùy chọn nào từ a đến c ở câu hỏi 3.1-16.a, bạn sẽ thấy nội dung sau đây:

3.1-16.a.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ nội dung sau: các yêu cầu liên quan đến hệ thống duy trì tài khoản.

Văn bản giải thích của bạn phải bao gồm các yêu cầu để:

Thu hồi quyền truy cập không còn cần thiết
Thu hồi quyền truy cập không được sử dụng nữa
Thu hồi quyền truy cập ngay khi có người rời khỏi tổ chức

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn bất kỳ tùy chọn nào từ a đến c ở câu hỏi 3.1-16.a, bạn sẽ thấy nội dung sau đây:

3.1-16.a.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: triển khai hệ thống duy trì tài khoản.

Bằng chứng của bạn phải cho thấy cách bạn:

Thu hồi quyền truy cập không còn cần thiết
Thu hồi quyền truy cập không được sử dụng nữa
Thu hồi quyền truy cập ngay khi có người rời khỏi tổ chức

Nếu chọn "Có" ở câu hỏi 3.1-8, bạn sẽ thấy nội dung sau đây:

3.1-17.a. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Liên quan đến phần mềm bạn dùng để xử lý Dữ liệu trên nền tảng trong môi trường phụ trợ, bạn có thực hiện tất cả biện pháp sau đây không: Có một cách rõ ràng và có thể dùng lại để xác định các bản vá trong phần mềm bên thứ ba, từ đó xử lý các lỗ hổng bảo mật Ưu tiên các bản vá hiện có dựa trên rủi ro (ví dụ: dựa trên mức độ nghiêm trọng theo CVSS) Liên tục sử dụng bản vá trong quá trình hoạt động

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Việc này không cần thiết vì tổ chức của tôi sử dụng giải pháp phụ trợ không dùng mã.

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-17.a, bạn sẽ thấy nội dung sau đây:

3.1-17.a.i. Ở câu hỏi trước, bạn cho biết rằng mình có các quy trình để cập nhật mã và môi trường phụ trợ. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn cập nhật mã và môi trường phụ trợ.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-17.a, bạn sẽ thấy nội dung sau đây:

3.1-17.a.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: cập nhật mã và môi trường phụ trợ.

3.1-17.b. Liên quan đến phần mềm bên thứ ba mà bạn dùng để xử lý Dữ liệu trên nền tảng trong ứng dụng di động (ví dụ: ứng dụng Android hoặc iPhone), bạn có thực hiện tất cả biện pháp sau đây không: Có một cách rõ ràng và có thể dùng lại để xác định các bản vá trong phần mềm bên thứ ba, từ đó xử lý các lỗ hổng bảo mật Ưu tiên các bản vá hiện có dựa trên rủi ro (ví dụ: dựa trên mức độ nghiêm trọng theo CVSS) Liên tục sử dụng bản vá trong quá trình hoạt động

[ ] Có

[ ] Việc này không cần thiết vì tổ chức của tôi không xử lý Dữ liệu trên nền tảng trong ứng dụng di động.

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-17.b, bạn sẽ thấy nội dung sau đây:

3.1-17.b.i. Ở câu hỏi trước, bạn cho biết rằng mình cập nhật phần mềm bên thứ ba trong ứng dụng di động. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn cập nhật mã của bên thứ ba trong ứng dụng di động của bạn.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-17.b, bạn sẽ thấy nội dung sau đây:

3.1-17.b.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: cập nhật mã của bên thứ ba trong ứng dụng di động của bạn.

3.1-17.c. Liên quan đến hệ điều hành, phần mềm diệt vi-rút, trình duyệt chạy trên laptop, cũng như các hệ thống và ứng dụng khác mà mọi người trong tổ chức của bạn dùng để xây dựng và vận hành ứng dụng, bạn có thực hiện tất cả biện pháp sau đây không: Có một cách rõ ràng và có thể dùng lại để xác định các bản vá trong phần mềm bên thứ ba, từ đó xử lý các lỗ hổng bảo mật Ưu tiên các bản vá hiện có dựa trên rủi ro (ví dụ: dựa trên mức độ nghiêm trọng theo CVSS) Liên tục sử dụng bản vá trong quá trình hoạt động

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-17.c, bạn sẽ thấy nội dung sau đây:

3.1-17.c.i. Ở câu hỏi trước, bạn cho biết rằng mình cập nhật phần mềm bên thứ ba trong hệ thống cũng như các ứng dụng dùng để tạo và vận hành ứng dụng của bạn. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn cập nhật phần mềm diệt vi-rút và phần mềm bên thứ ba này.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Câu hỏi này chỉ áp dụng cho một số nhà phát triển. Vui lòng xem mẫu đánh giá cụ thể của bạn để xác định xem những yêu cầu này có áp dụng cho bạn hay không.

Nếu chọn "Có" ở câu hỏi 3.1-17.c, bạn sẽ thấy nội dung sau đây:

3.1-17.c.ii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: cập nhật phần mềm diệt vi-rút và phần mềm bên thứ ba. [Câu hỏi chính]

3.1-21. Bạn có cách thức công khai để mọi người báo cáo cho bạn các lỗ hổng bảo mật trong ứng dụng này không?

[ ] Có

[ ] Không

Nếu chọn "Không" ở câu hỏi 3.1-21, bạn sẽ thấy nội dung sau đây:

3.1-21.a. Bạn có địa chỉ email, số điện thoại hoặc mẫu liên hệ công khai nào được giám sát thường xuyên mà mọi người có thể dùng để liên lạc với bạn không?

[ ] Có

[ ] Không

Nếu chọn bất kỳ tùy chọn nào từ b đến f ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-22. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Bạn có thu thập nhật ký kiểm tra của quản trị viên cho môi trường phụ trợ này không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22, bạn sẽ thấy nội dung sau đây:

3.1-22.a. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn thu thập nhật ký kiểm tra của quản trị viên cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-22, bạn sẽ thấy nội dung sau đây:

3.1-22.a.i. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: thu thập nhật ký kiểm tra của quản trị viên cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng.

Nếu chọn bất kỳ tùy chọn nào từ b đến f ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-22.b. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Bạn có thu thập nhật ký kiểm tra sự kiện trong ứng dụng cho môi trường phụ trợ này không? Sự kiện trong ứng dụng có thể bao gồm:

Lỗi xác thực đầu vào và đầu ra
Lỗi xác thực và kiểm soát quyền truy cập
Lỗi ứng dụng và sự kiện trên hệ thống

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.b, bạn sẽ thấy nội dung sau đây:

3.1-22.b.i. Những nhật ký kiểm tra sự kiện trong ứng dụng này cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng có bao gồm tất cả những trường sau đây không?

ID người dùng Meta (khi được chia sẻ với bạn)
Loại sự kiện
Ngày và giờ
Chỉ báo thành công hoặc không thành công

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.b, bạn sẽ thấy nội dung sau đây:

3.1-22.b.ii. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn thu thập nhật ký kiểm tra sự kiện trong ứng dụng cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-22.b, bạn sẽ thấy nội dung sau đây:

3.1-22.b.iii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: thu thập nhật ký kiểm tra sự kiện trong ứng dụng cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng.

Nếu chọn bất kỳ tùy chọn nào từ b đến f ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-22.c. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Bạn có áp dụng chính sách hoặc quy trình để ngăn chặn hành vi truy cập trái phép và giả mạo/sửa chữa nhật ký kiểm tra cho môi trường phụ trợ này không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không

3.1-22.d. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Đối với môi trường này, bạn có lưu giữ nhật ký kiểm tra trong tối thiểu 30 ngày không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có [ ] Không

Nếu chọn bất kỳ tùy chọn nào từ b đến f ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-22.e. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Bạn có sử dụng giải pháp tự động để xem xét nhật ký kiểm tra sự kiện trong ứng dụng cho môi trường phụ trợ này nhằm tìm ra các chỉ báo về sự cố hoặc sự kiện bảo mật thường ngày dẫn đến rủi ro hoặc thiệt hại (ví dụ: nỗ lực tránh né các biện pháp kiểm soát quyền truy cập hoặc lợi dụng lỗ hổng của phần mềm) không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.e, bạn sẽ thấy nội dung sau đây: 3.1-22.e.i. Bạn có xem xét những nhật ký kiểm tra sự kiện trong ứng dụng này cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng với tần suất tối thiểu là 7 ngày/lần không?

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.e, bạn sẽ thấy nội dung sau đây:

3.1-22.e.ii. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn xem xét nhật ký kiểm tra sự kiện trong ứng dụng cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng với tần suất tối thiểu là 7 ngày/lần.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn "Có" ở câu hỏi 3.1-22.e, bạn sẽ thấy nội dung sau đây:

3.1-22.e.iii. Hãy tải lên ít nhất một bằng chứng (ví dụ: cấu hình công cụ hoặc ảnh chụp/video quay màn hình từ ứng dụng của bạn) cho thấy cách bạn triển khai biện pháp bảo vệ này trên thực tế: xem xét nhật ký kiểm tra sự kiện trong ứng dụng cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng với tần suất tối thiểu là 7 ngày/lần.

Nếu chọn bất kỳ tùy chọn nào từ b đến f ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-22.f. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Bạn có xem xét nhật ký kiểm tra của quản trị viên cho môi trường này nhằm tìm ra các chỉ báo về sự cố hoặc sự kiện bảo mật thường ngày dẫn đến rủi ro hoặc thiệt hại (ví dụ: nỗ lực tránh né các biện pháp kiểm soát quyền truy cập hoặc lợi dụng lỗ hổng của phần mềm) không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.f, bạn sẽ thấy nội dung sau đây:

3.1-22.f.i. Bạn có xem xét những nhật ký kiểm tra này của quản trị viên cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng với tần suất tối thiểu là 7 ngày/lần không?

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.f, bạn sẽ thấy nội dung sau đây:

3.1-22.f.ii Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn xem xét nhật ký kiểm tra của quản trị viên cho môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng nhằm tìm ra các chỉ báo về sự cố hoặc sự kiện bảo mật thường ngày với tần suất tối thiểu là 7 ngày/lần.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

Nếu chọn bất kỳ tùy chọn nào từ b đến f ở câu hỏi 3.1-8.a, bạn sẽ thấy nội dung sau đây:

3.1-22.g. Ở câu hỏi trước, bạn cho biết rằng mình lưu trữ Dữ liệu trên nền tảng trong môi trường phụ trợ. Nếu phát hiện một sự cố hoặc sự kiện bảo mật thường ngày dẫn đến rủi ro hoặc thiệt hại đối với nhật ký kiểm tra cho môi trường phụ trợ này, bạn có quy trình để điều tra thêm không?

"Môi trường phụ trợ" là môi trường đám mây hoặc máy chủ mà khách hàng của bạn có thể truy cập từ xa, chẳng hạn như trang web hoặc API web.

Lời nhắc: Nếu xảy ra sự kiện hoặc sự cố bảo mật, chính sách của chúng tôi yêu cầu bạn phải báo cáo ngay cho chúng tôi.

[ ] Có

[ ] Không

Nếu chọn "Có" ở câu hỏi 3.1-22.g, bạn sẽ thấy nội dung sau đây:

3.1-22.g.i. Hãy tải lên văn bản giải thích (ví dụ: tài liệu về chính sách hoặc quy trình) nêu rõ cách bạn điều tra các sự cố hoặc sự kiện bảo mật thường ngày trong môi trường phụ trợ nơi lưu trữ Dữ liệu trên nền tảng, dẫn đến rủi ro hoặc thiệt hại đối với nhật ký kiểm tra.

Vui lòng nêu bật hoặc khoanh tròn những điều kiện được nêu trong chính sách của bạn.

3.1-23. Bạn có áp dụng các quy trình bảo mật cho những người có quyền truy cập vào Dữ liệu trên nền tảng không?

Các quy trình như vậy có thể bao gồm một hoặc nhiều loại sau đây:

Hoàn tất việc kiểm tra lý lịch trước khi được cấp quyền truy cập vào Dữ liệu trên nền tảng
Ký thỏa thuận bảo mật thông tin trước khi được cấp quyền truy cập vào Dữ liệu trên nền tảng Tham gia chương trình đào tạo nhân sự mới về chính sách và quy trình bảo mật thông tin
Tham gia chương trình đào tạo định kỳ, liên tục liên quan đến nhận thức về bảo mật (ví dụ: hàng năm)
Tham gia chương trình đào tạo liên quan đến những vai trò công việc cụ thể có quyền truy cập vào Dữ liệu trên nền tảng
Trả lại tài sản (ví dụ: laptop hoặc điện thoại di động) khi rời khỏi tổ chức

[ ] Có

[ ] Không