Meta 應用程式開發

數據保護評估問題

您可以在此找到數據保護評估的所有問題。如果您的評估是 3.1 開頭,即表示您是在 2024 年 2 月 15 日或之後收到評估。您可以在下方找到相應問題。

如果您的評估沒有編號,即表示您是在 2024 年 2 月 15 日之前收到評估。您可以在此找到相應的先前版本問題。

下列問題出自更新版的 2024 年數據保護評估。請注意,問題編號以相應的版本號開頭;如果是 3.1 版本,問題編號會是 3.1-1、3.1-2,如此類推。我們會不斷更新問題,以符合行業標準;而視乎開發人員收到評估的時間,收到的問題可能會有所不同。

使用說明:

  1. 我們建議應用程式管理員與其內部團隊一起查閱這些問題,以確保應用程式符合我們《平台使用條款》的要求。所有應用程式管理員都會就每個需要接受數據保護評估的應用程式收到通知。

  2. 請注意,我們僅接受以英文提交的答覆。歡迎使用任何所需的翻譯工具來以英文提交評估答覆。

  3. 此處所列問題僅供參考。具體應用程式所需回答的問題將因應其有權存取的資料而有所不同。如果應用程式有權存取特定類型的資料,則您可能亦需要提供相關證據來支持您的答案。

  4. 如果您目前正在完成數據保護評估,或正在回答我們審查人員提出的跟進問題,請繼續執行相關程序,但也請注意,您目前回答的問題可能與此處的更新版問題有所不同。

資料使用

3.1-1. 此應用程式使用平台資料時,是否會因應某些用戶的種族、民族、膚色、國籍、宗教、年齡、性別、性取向、性別認同、家庭狀況、殘疾狀況、疾病或遺傳狀況,而令有關用戶處於不利處境,即無法公平獲得某些權益?

此問題不適用於約會交友應用程式所使用的性別和年齡資料、語法上對性別的區分、成人內容的年齡限制,或是使用平台資料以改善應用程式用戶體驗的其他此類情況。如果您的應用程式涉及上述任何一項用途,請回答「否」,因為您並未使用這些資料來令用戶處於不利處境。

  • [ ] 是
  • [ ] 否

如果您回答「是」,則您將會被問及以下附加問題:

3.1-1.a.A. 此應用程式使用哪些平台資料,來因應某些用戶的種族、民族、膚色、國籍、宗教、年齡、性別、性取向、性別認同、家庭狀況、殘疾狀況、疾病或遺傳狀況,而令有關用戶處於不利處境?

3.1-1.a.B. 此應用程式怎樣使用平台資料,來因應某些用戶的種族、民族、膚色、國籍、宗教、年齡、性別、性取向、性別認同、家庭狀況、殘疾狀況、疾病或遺傳狀況,而令有關用戶處於不利處境?

3.1-1.a.C. 此應用程式從何時開始以這種方式使用平台資料?

3.1-2. 此應用程式是否會使用平台資料,以作出有關住宅、就業、保險、教育機會、信貸、政府福利或移民身分的決定?

如果您回答「是」,則您將會被問及以下附加問題:

3.1-2.a.A. 此應用程式使用哪些平台資料,以作出有關住宅、就業、保險、教育機會、信貸、政府福利或移民身分的決定?

3.1-2.a.B. 此應用程式怎樣使用平台資料,以作出有關住宅、就業、保險、教育機會、信貸、政府福利或移民身分的決定?

3.1-2.a.C. 此應用程式從何時開始以這種方式使用平台資料?

3.1-3. 此應用程式是否會將平台資料用於與監控相關的活動?監控的方式包括出於執法或國家安全目的,處理有關個人、群體或活動的平台資料。

如果您回答「是」,則您將會被問及以下附加問題:

3.1-3.a.A. 此應用程式會將哪些平台資料用於與監控相關的活動?

3.1-3.a.B. 此應用程式怎樣將平台資料用於與監控相關的活動?

3.1-3.a.C. 此應用程式從何時開始就這個目的使用平台資訊?

資料分享

3.1-4. 下列部分問題與服務供應商和子服務供應商相關。「服務供應商」是指為您提供服務,以助您使用平台或平台資料的個別人士或企業。「子服務供應商」是指受其他服務供應商指派,為後者提供平台資料相關服務的服務供應商。

舉例來說,Google Cloud 和 Amazon Web Services(AWS)均為常見的大型服務供應商,但您也可以與較小規模的公司合作,以處理或使用平台資料,如您所在國家或地區的本地網站開發公司。

您是否有進行以下任何行為?

請選擇所有適用項目。

  • a. 我未有分享透過此應用程式所接收的平台資料。
  • b. 向其他人士或企業出售或授權使用平台資料,或促使或支持他人如此行事。
  • c. 向其他人士或企業購買平台資料,或促使或支持他人如此行事。
  • d. 分享平台資料以便個別人士或企業能夠向您(服務供應商)提供服務。
  • e. 分享平台資料以便您企業以外的其他人或企業能夠存取和使用平台或平台資料。
  • f. 在此應用程式用戶的明確指示下分享平台資料。
  • g. 出於此處未有列出的其他目的分享平台資料。請具體說明原因。

如果您在問題 3.1-4 中選擇 b,將看到以下內容:

3.1-4.a.A. 您會出售或授權使用哪些類型的平台資料?

3.1-4.a.B. 此應用程式會使用哪些權限、特性、功能或其他渠道,以存取和收集有關平台資料?

3.1-4.a.C. 請列出您會向哪些實體、企業和第三方出售或授權使用來自此應用程式的平台資料,並說明每項情況中分享此類資料之目的。

3.1-4.a.D. 您從何時開始出售或授權他人使用平台資料?

如果您在問題 3.1-4 中選擇 d,將看到以下內容:

3.1-4.b. 您在上文表明自己會向服務供應商分享平台資料。請剔選下方的適用方框,以表明您會與哪些服務供應商分享平台資料。在後續問題中,您將需描述平台資料的分享對象,並說明分享方式和原因。

備註:請勿將 Meta 服務或產品列為服務供應商。

請選擇所有適用項目。如果您與此處所列的多間服務供應商及其他未列出的服務供應商分享平台資料,請同時選擇適用項目和「其他」選項。例如,您可以選擇「Apple」、「Google」和「其他」來代表您的所有服務供應商。

  • a. Google(如 Play 商店、Firebase、Cloud、AdMob、Analytics)
  • b. Amazon(如 Amazon Web Services)
  • c. Salesforce(如 Heroku、Marketing Cloud)
  • d. Apple(如 App Store)
  • e. Microsoft(如 App Center、Azure、Playfab)
  • f. Github
  • g. AppLovin(如 Adjust)
  • h. Appsflyer
  • i. Stripe
  • j. Twilio(如 Segment、SendGrid)
  • k. 其他(請上載相關名單)

如果您在問題 3.1-4.b 中選擇 k,將看到以下內容:

3.1-4.b.i. 請上載 CSV 或 Excel 檔案,並在當中列出任何您會分享平台資料的服務供應商,但已在上方名單列明的服務供應商除外。請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-4 中選擇 d,並在問題 3.1-4.b 中選擇 k,將看到以下內容:

3.1-4.c. 分享平台資料時,您是否會與接收此類資料的各間服務供應商簽訂書面協議,要求他們及其各間子服務供應商(如有)僅按照您的指示使用平台資料,並只提供您所要求的服務,而非出於自身目的或使其客戶受益的原因使用此類資料?

書面協議可包括服務條款、標準非談判協議或已簽署的合約。例如,如果您使用 Google Cloud 作為服務供應商,則書面協議即為您同意的服務條款。

[ ] 是 [ ] 否

如果您選擇「是」,則會看到以下內容:

3.1-4.c.i. 請剔選以下方框,指出您與服務供應商簽訂的書面資料協議中包含的字句類型。請選擇所有適用項目。

a. 要求服務供應商只出於提供您要求的服務來使用平台資料的字句。

b. 要求服務供應商僅按照您的指示使用平台資料的字句。

c. 禁止服務供應商在未經您指示的情況下與第三方分享平台資料的字句。

d. 禁止服務供應商出於自身目的或為任何第三方處理平台資料的字句。

e. 要求服務供應商在您停止使用其服務時刪除從您所得之平台資料的字句。

3.1-4.c.iv. 據您所知,您的服務供應商和/或其任何子服務供應商(如有)是否曾以違反《Meta 平台使用條款》的方式行事,如出售平台資料,或在您停止使用其服務時未有刪除平台資料?

[ ] 是 [ ] 否

3.1-4.c.v. 如果您停止使用服務供應商或其子服務供應商,您與其簽訂的協議(如他們的服務條款)是否有列明,該服務供應商必須何時以何種方式刪除其透過您收到的資料?

[ ] 是 [ ] 否

如果您在問題 3.1-4.cv 中選擇「否」,將看到以下內容:

3.1-4.c.vi. 如果您停止使用服務供應商或子服務供應商,您會以何種方式確保其會刪除透過您收到的平台資料?

如果您在問題 3.1-4 中選擇 e,將看到以下內容:

3.1-4.d. 接下來的問題與技術供應商相關;這些應用程式開發人員的主要目標是代表顧客或客戶管理平台整合程序,以便顧客或客戶存取和管理其 Meta 產品上的資料。技術供應商的例子包括 SaaS(軟件即服務)供應商和代理商等。

  • 「技術供應商」的定義:已獲授權使用 Meta API 的個別人士或企業,以代表其他人士或企業建立、維護和刪除整合程序,其中包括代表一位或多位客戶建立單個整合程序的個別人士或企業。

您在上文表明,此應用程式允許個別人士或企業(即是客戶)存取並使用平台資料,這代表您屬於技術供應商。

您是否僅代表您的客戶,並按照其指示處理您透過此應用程式所收到的平台資訊?[ ] 是 [ ] 否

如果您在問題 3.1-4.d 中選擇「否」,將看到以下內容:

3.1-4.d.i.A. 除了代表客戶並按照其指示行事外,您還會為誰處理平台資料?

3.1-4.d.i.B. 您為此人士或企業處理哪些平台資料?

3.1-4.d.i.C. 您為何為此人士或企業處理平台資料?

3.1-4.d.i.D. 您從何時開始處理此類平台資料?

3.1-4.d.i.E. 您怎樣處理此類平台資料?

3.1-4.e. 維護資料時,您是否會將每位客戶的平台資料、其他客戶的資料,以及您為自身目的而維護的資料區分開來(如以獨立表格等邏輯方式區分,或以物理方式區分)?

[ ] 是 [ ] 否

如果您在問題 3.1-4.e 中選擇「否」,將看到以下內容:

3.1-4.f. 您在之前的問題中,表明自己會在所列選項以外的情況下分享平台資料。請描述您會在這些情況下分享的資料類型。

  • 資料的儲存位置在哪裡?
  • 您會如何儲存並保護資料?
  • 誰有權存取此類資料?
  • 您會如何控制存取權限?

如果您選擇「其他;請具體說明原因。」,則您會看到以下內容:

  • 您在之前的問題中,表明自己會在所列選項以外的情況下分享平台資料。請描述您會在這些情況下分享的資料類型。

並務必加入下列問題的答案:

  • 除了此應用程式或網站的個別用戶外,您還會與誰分享此類資料?
  • 您會如何分享這些資料?
  • 您從何時開始與上述實體分享資料?
  • 您目前是否仍在分享此類資料?

3.1-4.f.i. 對於在此類其他情況下分享的平台資料,您是否有與平台資料的各位接收對象簽訂書面協議,禁止他們以違反《Meta 平台使用條款》和《開發商政策》(或任何其他適用於您平台資料使用事宜的條款)的方式使用平台資料?

書面協議的範例包括服務條款、標準非談判協議或已簽署的合約。

[ ] 是 [ ] 否

3.1-4.g. 據您所知,這些平台資料接收對象是否有違反 Meta 的《平台使用條款》?例如銷售、授權或購買平台資料。

[ ] 是 [ ] 否

如果您在問題 3.1-4.g 中選擇「是」,將看到以下內容:

3.1-4.g.i. 您在上文表明,平台資料的接收對象違反了 Meta 的《平台使用條款》。請詳細描述相關情況。

如果您在問題 3.1-4 中選擇 f,您將看到以下內容:

3.1-4.i.A. 您在上文表明,當用戶指示您分享平台資料時,您會向其他人士或企業提供您透過此應用程式所接收的平台資料。

請描述用戶會如何指示您向其他人士或企業分享平台資料。

3.1-4.i.B. 請上載此類分享操作的徵求同意流程螢幕截圖。請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

資料刪除

3.1-5. 您是否會在下列所有情況下刪除平台資料,除非是我們的《使用條款》允許保留此類資料的情況?

a. 無需再出於合法業務目保留平台資料時;

b. 用戶提出相關要求時;

c. 用戶不再擁有您的應用程式帳戶時(僅適用於您提供用戶帳戶的情況);

d. Meta 作出相關要求時;以及

e. 法律或法規有所要求時。

就此問題而言,「平台資料」並不包括《平台使用條款》第 3.e 條「例外情況」所列的資料。請查看《平台使用條款》第 3d 條「平台資料的保留、刪除和存取權限」,以了解我們的刪除要求。請注意,在某些情況下,如果平台資料已獲彙總、模糊化或去識別化處理,使其無法與特定用戶、瀏覽器或裝置建立關聯,則無需將其刪除。此外,若是出於與某項用戶體驗(例如帳單)保持一致的業務目的,則可維護經彙總和匿名資料。

  • [ ] 是
  • [ ] 否

如果您在問題 3.1-5 中選擇「否」,將看到以下內容:

3.1-5.a. 在上述哪些情況下,您不會刪除平台資料?為什麼?

3.1-6. 如果您需要在上述情況下刪除平台資料,您是否會在合理的時間範圍內,儘快採取措施刪除平台資料?

合理時間範圍或會視乎系統和資料而定,但一般不應超過 120 天。此問題僅適用於平台資料,而非由此應用程式獨立收集或儲存的資料。

此問題亦不適用於您因應適用法律或法規的要求而必須保留的平台資料。

  • [ ] 是
  • [ ] 否

在哪些情況下,您會將平台資料保留超過 120 天?備註:此問題不適用於您因應適用法律或法規的要求而必須保留的平台資料。

如果您在問題 3.1-6 中選擇「否」,將看到以下內容:

3.1-6.a. 在哪些情況下,您會將平台資料保留超過 120 天?

備註:此問題不適用於您因應適用法律或法規的要求而必須保留的平台資料。

如果您在問題 3.1-5 中選擇「是」,將看到以下內容:

3.1-5.b. 您在上文表明,無需再出於合法業務目保留平台資料時,您會刪除有關資料。請描述您如何判斷無需再出於合法業務目保留平台資料時。

就此問題而言,「平台資料」並不包括《平台使用條款》第 3(e)條所列的資料。

3.1-5.c. 您在上文表明,您會在用戶提出相關要求時刪除平台資料。請說明用戶可透過哪些方式要求您刪除其資料,並提供相關螢幕截圖(如有)。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

就此問題而言,「平台資料」並不包括《平台使用條款》第 3(e)條所列的資料。

資料安全性

3.1-A. 根據《平台使用條款》第 6.a.i 條,Meta 要求您維護各種行政、物理和技術防護措施,以免他人在未經授權的情況下存取平台資料,以及防止平台資料被破壞、遺失、更改、披露、分發或洩漏。

請參閱我們的開發人員資料安全最佳操作實例:數據保護評估概覽常見問題,以了解更多詳情。

在回答下一組問題之前,請確保您向合適人選諮詢。其中應包括資訊安全總監、機構內的同等角色,或合資格的網絡安全公司(例如至少有 5 年 ISO 27001 稽核經驗的公司),以確保您提供的回覆準確誤。

剔選「我明白」以繼續評估。

[ ] 我明白

3.1-B. 提提您,根據我們的《平台使用條款》詞彙表,「平台資料」的定義如下:「您透過本平台或經自己的應用程式,而直接或間接從我們獲得的任何資訊、資料或其他內容,而且無論是在您同意本《使用條款》之前、當天或之後都適用,範圍涵蓋匿名資料、彙總資料或從此類資料衍生出來的資料。『平台資料』包含應用程式憑證、專頁憑證、存取憑證、應用程式密鑰和用戶憑證。」

為了避免產生疑義,此類資料亦包括用戶編號、電郵地址等資料,以及您透過向 graph.facebook.com 傳送的 API 呼叫所獲取的全部資料。

若要回答下列問題,您需要全面了解自家軟件和系統會如何傳輸、儲存和處理與此應用程式相關的 Meta 平台資料。

此問題適用於這個應用程式的所有權限、特性和功能。如要查看此應用程式的權限、特性和功能,請瀏覽其管理中心。您可以在「我的應用程式」頁面中選擇所需應用程式,以前往其管理中心。

請選擇「我明白」以繼續。

[ ] 我明白

3.1-7. 如果您擁有符合下列所有條件的資訊安全認證,則可提交此項認證,以證明您已實施充足的行政、物理和技術防護措施,從而保護平台資料:

  • 認證類別必須為 SOC 2、ISO 27001、ISO 27018 或同等類別。
  • 認證必須由獨立審計機構核發,且頒發對象必須是您的機構,而非第三方。
  • 認證必須為目前有效,例如過去一年內核發的 SOC 2 認證,或過去三年內核發的 ISO 認證。
  • 審計範圍必須全面覆蓋您用於處理 Meta 平台資料的系統。

您是否擁有符合此等條件的安全認證?

[ ] 是 [ ] 否

如果您在問題 3.1-7 中選擇「是」,將看到以下內容:

3.1-7.a. 您擁有哪些資料安全認證?請選擇所有適用項目。* [ ] SOC2 第 2 類報告 * [ ] ISO 27001 認證 * [ ] ISO 27018 認證 * [ ] 其他同等認證 * 如果您選擇「其他同等認證」,將看到以下內容:* 此安全認證的名稱是什麼?

3.1-7.a.i.B. 請上載您的安全認證副本。請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-7.a 中選擇 d,將看到以下內容:

3.1-7.a.i.A. 此安全認證的名稱是什麼?

3.1-8. 您是否將平台資料儲存在後端環境中(例如雲端或其他代管環境類型中的資料庫、物件儲存區或區塊儲存空間)?

如果您將平台資料寫入後端雲端或伺服器環境中的永續儲存空間,而且有關儲存空間在裝置斷電後仍能保留資料,例如磁碟、記錄檔案或可透過網站或 API 存取的資料庫,請選擇「是」。

如果您有執行以下任一操作,請選擇「否」:

  • 專門處理您應用程式最終用戶在用戶端上擁有的平台資料,而且絕不會將平台資料傳輸到任何後端環境

  • 在後端環境中處理平台資料,但均不會寫入任何永續儲存空間

  • [ ] 是

  • [ ] 否

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-8.a. 您在上一題中表示會將平台資料儲存在後端環境中。您在後端環境中儲存了以下哪種類型的平台資料?請選擇所有適用項目。

  • 「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

  • 「儲存」是指將平台資料寫入任何斷電後仍會保留資料的環境,例如記錄檔案、物件或關聯式資料庫或磁碟。

a. Meta 用戶編號或經雜湊處理的用戶編號

b. 電郵地址

c. 個人資料相片

d. Meta API 用戶存取憑證

e. 應用程式密鑰

f. 上方未列出的其他平台資料

3.1-8.b. 您使用以下哪些代管解決方案來在後端環境中處理平台資料?

  • 「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

請選擇所有適用項目。

a. Amazon Web Services(AWS)

b. Microsoft Azure

c. Microsoft Azure PlayFab

d. Google Cloud Platform(GCP)

e. 阿里巴巴/阿里雲

f. 騰訊

g. Oracle Cloud

h. Heroku

i. Digital Ocean

j. 其他機構擁有的資料中心以及我機構擁有的伺服器

k. 我機構擁有的資料中心和伺服器

l. 其他

如果您在問題 3.1-8.b 中選擇 l,將看到以下內容:

3.1-8.b.i. 您在上一題中選擇「其他」,表示自己使用未有列出的代管選項。請描述您的後端環境代管方法。

如果您在問題 3.1-8.a 中選擇 b、c、d、e 或 f,而且在問題 3.1-8.b 中選擇 c、h、i、j、k 或 l,將看到以下內容:

3.1-9.a. 您是否有對儲存在後端環境中的所有平台資料執行待用資料加密

啟用待用資料加密功能後,平台資料就必須使用解密密鑰才能破解,可確保安全。這樣防護效果就會更上一層樓,使他人無法未經授權讀取資料。如果您將平台資料儲存在後端環境中,我們要求您透過待用資料加密或其他可接受的安全保障方式來保護有關資料。

某些代管服務供應商預設啟用待用資料加密,或提供配置選項以便您啟用有關功能。在回答此問題之前,請驗證您儲存平台資料所用的服務是否有套用待用資料加密功能。如果是,請在此題回答「是」。

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否,但我們的代管服務供應商具備 SOC 2 或 ISO 27001 認證,表明其物理安全和安全媒體清除控制措施經過第三方評估。

[ ] 否

如果您在問題 3.1-8.a 中選擇 b、c、d、e 或 f,但在問題 3.1-8.b 中未有選擇 c、h、i、j、k 或 l,將看到以下內容:

3.1-9.b. 您是否有對儲存在後端環境中的所有平台資料執行待用資料加密?

某些代管服務供應商預設啟用待用資料加密,或提供配置選項以便您啟用有關功能。在回答此問題之前,請驗證您儲存平台資料所用的服務是否有套用待用資料加密功能。如果是,請在此題回答「是」。

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否

如果您在問題 3.1-9.a 或 3.1-9.b 中選擇「是」,將看到以下內容:

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

3.1-9.b.i. 您在上一題中表示,有對儲存在後端環境中的所有平台資料執行待用資料加密。請上載政策或程序文件等書面說明,表明儲存在後端環境中的所有平台資料必須經過待用資料加密保護。

如果您是根據資料敏感度分級,以另一種方式保護資料和將其分類,您的說明應清楚表明從 Meta 收到的平台資料獲分配什麼敏感度級別;您也應上載相關的政策。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

3.1-9.b.ii. 上載至少一項證據(例如資料庫實例的螢幕截圖),以展示您如何實際為儲存在後端環境中的所有平台資料進行待用資料加密,保護有關資料。

請確保檔案不受密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-9.a 中選擇「否」,將看到以下內容:

3.1-9.c.i. 您有何種證據,可以證明您代管服務供應商的物理安全和安全媒體清除控制措施經過評估?

為了表明您遵守 Meta 的《平台使用條款》,您必須確認自家代管服務供應商的 ISO 27001 或 SOC 2 稽核涵蓋範圍內的物理安全和安全媒體清除控制措施。在 ISO/IEC 27001:2013 或 2017 標準中,這些控制措施要求請見 A.8.3、A.11.1 和 A.11.2。在 SOC 2 標準中,這些控制措施要求請見 CC6.4 和 CC6.5。

a. 代管服務供應商 ISO 27001 稽核,其中相關適用性聲明表示已評估物理安全和安全媒體清除控制措施

b. SOC 2 稽核報告,其中指出已測試物理安全和安全媒體清除控制措施,而且沒有與這些控制措施相關的不利結果

c. 以上皆非

如果您在問題 3.1-9.ci 中選擇 a 或 b,將看到以下內容:

3.1-9.c.ii. 代管服務供應商的 ISO 27001 或 SOC 2 認證是在何時頒發?

3.1-10. 您的機構中是否有任何人會將平台資料儲存在機構端點上,或手提電腦或智能手機等個人裝置上?

「儲存」是指將平台資料寫入任何斷電後仍會保留資料的環境,例如手提電腦、USB 裝置、可移除硬碟以及 Dropbox 或 Google 雲端硬碟等雲端儲存服務。

備註:此問題的範圍不包括您為使用自家服務的個人用戶而永續儲存在網絡或流動用戶端的資料。

  • [ ] 是。我機構中的一位或多位人員將平台資料儲存在機構或個人裝置上。
  • [ ] 否。在任何情況下,我機構中的任何人員都不會在機構或個人裝置上儲存平台資料。

如果您在問題 3.1-10 中選擇「是」,將看到以下內容:

3.1-10.a. 當您機構中的人員將平台資料儲存在機構端點或個人裝置上時,您會實施以下哪些保護措施來降低資料遺失的風險?

我們要求您實施保護措施,以降低待用平台資料被存取的風險。

請選擇所有適用項目。

a. 在機構裝置上執行全磁碟加密的軟件或服務,例如 Bitlocker 或 FileVault

b. 在所有受管裝置上安裝的端點防止資料遺失軟件,可監察和記錄與儲存的平台資料所相關的操作

c. 我機構中的人員有義務遵循可接受的用途政策,當中只允許在有明確且可行業務目的之情況下處理平台資料,而規定在達成有關目的後必須刪除資料

d. 以上皆非

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-10.a 中選擇 a 或 b,將看到以下內容:

3.1-10.a.i. 您在上一題中表示,您透過在機構或個人裝置上實施全磁碟加密或使用端點防止資料遺失軟件,來保護儲存在這些裝置上的平台資料。請上載政策或程序文件等書面說明,表明您如何實施此技術保護措施。

如果您是根據資料敏感度分級,以另一種方式保護資料和將其分類,您的說明應清楚表明從 Meta 收到的平台資料獲分配什麼敏感度級別;您也應上載相關的政策。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-10.a 中選擇 a 或 b,將看到以下內容:

3.1-10.a.ii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,以展示您如何實際為機構或個人裝置上儲存的平台資料實施技術保護。[主要問題]

例如:

  • 要求在受管裝置上啟用 BitLocker 的集團政策螢幕截圖

  • 防止資料遺失管理工具的螢幕截圖,顯示已為所有端點啟用 PII 資料監察功能

  • IT 管理員為強制在所有機構裝置上使用技術保護措施,而使用的其他工具或產品之螢幕截圖

  • 請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-10.a 中只選擇 c,將看到以下內容:

3.1-10.a.iii. 您在上一題中表示,機構中的人員在機構或個人裝置上儲存平台資料時,有義務遵守可接受的用途政策。請上載內含可接受用途政策的書面說明,例如政策或程序文件。

我們要求此類政策明確說明以下內容:

  • 允許就哪些業務目的在機構或個人裝置上處理平台資料

  • 要求在達成此目的時刪除資料

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-10.a 中只選擇 c,將看到以下內容:

3.1-10.a.iv. 我確認我機構中所有可能在機構或個人裝置上處理平台資料的人員,均已得知此資料的可接受用途政策、已確認理解此政策,而且有在新入職時獲悉此政策

[ ] 是,我可以確認。

[ ] 否,我無法確認。

如果您在問題 3.1-8 中選擇「是」並在問題 3.1-10 中選擇「否」,將看到以下內容:

3.1-10.b. 您在上一題中表示,在任何情況下,您機構中的任何人員都不會在機構或個人裝置上儲存平台資料。

您是否有告知機構中的人員,在任何情況下都不允許在機構或個人裝置上儲存平台資料,並要求他們確認知悉這一義務?

「儲存」是指將平台資料寫入任何斷電後仍會保留資料的環境,例如手提電腦、USB 裝置、可移除硬碟以及 Dropbox 或 Google 雲端硬碟等雲端儲存服務。

根據我們的政策,機構須告知其所有成員不得儲存平台資料,包括管理員等高等權限用戶在內。

[ ] 是

[ ] 否

如果您在問題 3.1-8 和 3.1-10 中選擇「否」,將看到以下內容:

3.1-10.c. 您在上一題中表示,在任何情況下,您機構中的任何人員都不會在機構或個人裝置上儲存平台資料。

您是否有告知機構中的人員,在任何情況下都不允許在機構或個人裝置上儲存平台資料,並要求他們確認知悉這一義務?

「儲存」是指將平台資料寫入任何斷電後仍會保留資料的環境,例如手提電腦、USB 裝置、可移除硬碟以及 Dropbox 或 Google 雲端硬碟等雲端儲存服務。

根據我們的政策,機構須告知其所有成員不得儲存平台資料,包括管理員等高等權限用戶在內。

[ ] 是

[ ] 沒有此需要,因為我機構中的人員一律無法存取平台資料。

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-10.b 或 3.1-10.c 中選擇「是」,將看到以下內容:

3.1-10.c.i. 您在之前的問題中表示,在任何情況下,您機構中的人員都不會在機構或個人裝置上儲存平台資料。請上載政策或程序文件等書面說明,表明機構中的人員不得在這些裝置上儲存平台資料。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-10.b 或 3.1-10.c 中選擇「是」,將看到以下內容:

3.1-10.c.ii. 我可以確認機構中的所有人:

已獲悉禁止其在機構或個人裝置上儲存平台資料的政策

已確認理解此政策

已在新入職時獲悉此政策

[ ] 是,我可以確認。

[ ] 否,我無法確認。

如果您在問題 3.1-8 和 3.1-10 中選擇「否」,將看到以下內容:

3.1-10.d. 請上載資料流程圖和說明,展示您的應用程式如何使用平台資料。

其中應涵蓋以下詳情:

展示您的應用程式如何呼叫 graph.facebook.com 等 Meta API,以及標明所有使用平台資料的元件,包括跨網絡儲存、快取、處理或傳輸平台資料的元件

描述您支援的主要使用案例,即會為應用程式用戶提供有價值結果的流程。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-11.a. 您是否有啟用安全通訊協定 TLS 1.2 或更高版本,來為所有傳遞、連接或橫跨公共網絡以傳輸平台資料的網絡連線加密資料?

如果平台資料是透過互聯網等不受信任的網絡傳輸,在傳輸時加密資料可以令到只有來源和目標裝置能破譯資料,達到保護的效果。傳輸過程的中途方無法讀取平台資料,即使他們能看到網絡流量也是一樣,避免中間人攻擊風險。TLS 技術可供瀏覽器用於確保與銀行等網站的通訊安全無虞,因此是傳輸中加密的其中一種常見形式。

我們要求接收或傳回平台資料的所有網絡監聽程式必須啟用 TLS 1.2 或更高版本,例如適用於互聯網的負載平衡器。TLS 1.0 和 TLS 1.1 只能用於不支援 TLS 1.2 或更高版本而出現相容性問題的用戶端裝置。我們建議在完全位於由您控制的可信任私人網絡(例如虛擬私人雲端)內傳輸平台資料,也採用傳輸中加密功能,但此非強制要求。有關此要求以及如何上載任何所需證據的更多資訊,請參閱我們的資料安全要求

[ ] 是

[ ] 否

如果您在問題 3.1-8 中選擇「否」,將看到以下內容:

3.1-11.b. 您是否有啟用安全通訊協定 TLS 1.2 或更高版本,來為所有傳遞、連接或橫跨公共網絡以傳輸平台資料的網絡連線加密資料?

如果平台資料是透過互聯網等不受信任的網絡傳輸,在傳輸時加密資料可以令到只有來源和目標裝置能破譯資料,達到保護的效果。傳輸過程的中途方無法讀取平台資料,即使他們能看到網絡流量也是一樣,避免中間人攻擊風險。TLS 技術可供瀏覽器用於確保與銀行等網站的通訊安全無虞,因此是傳輸中加密的其中一種常見形式。

我們要求接收或傳回平台資料的所有網絡監聽程式必須啟用 TLS 1.2 或更高版本,例如適用於互聯網的負載平衡器。TLS 1.0 和 TLS 1.1 只能用於不支援 TLS 1.2 或更高版本而出現相容性問題的用戶端裝置。我們建議在完全位於由您控制的可信任私人網絡(例如虛擬私人雲端)內傳輸平台資料,也採用傳輸中加密功能,但此非強制要求。有關此要求以及如何上載任何所需證據的更多資訊,請參閱我們的資料安全要求

[ ] 是

[ ] 沒有此需要。除了直接向 Meta 提出要求之外,我們絕不會出於任何原因透過互聯網傳輸平台資料。

[ ] 否

如果您在問題 3.1-11.a 或 3.1-11.b 中選擇「是」,將看到以下內容:

3.1-11.c. 您在上一題中表示,您有啟用安全通訊協定 TLS 1.2 或更高版本來加密傳輸中資料。您是否確保平台資料絕不會以未加密的形式在公共網絡上傳輸,例如絕不會透過 HTTP 或 FTP 傳輸,而且絕不會使用 SSL 2.0 和 SSL 3.0?

我們要求平台資料絕不能以未加密的形式在不受信任的網絡上傳輸,而且您絕不能使用 SSL 2.0 或 SSL 3.0。有關此要求以及如何上載任何所需證據的更多資訊,請參閱我們的資料安全要求。

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-11.a 或 3.1-11.b 中選擇「是」,將看到以下內容:

3.1-11.a.i. 請上載政策或程序文件等書面說明,表明您如何為傳輸中資料啟用安全通訊協定 TLS 1.2 或更高版本。

您的文件應涵蓋以下聲明:1. 平台資料絕不會以未加密的形式傳輸;2. 絕不使用 SSL 版本 2 和 SSL 版本 3。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-11.a 或 3.1-11.b 中選擇「是」,將看到以下內容:

3.1-11.a.ii. 請上載至少一項證據,例如您其中一個網頁網域收到的 Qualys SSL 報告結果之全頁螢幕截圖,展示您如何實際為傳輸中資料啟用安全通訊協定 TLS 1.2 或更高版本,以保護有關資料。[主要問題]

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx

如果您在問題 3.1-8 中選擇「否」,將看到以下內容:

3.1-12.a. 在過去 12 個月內,您使用了以下哪種方法來測試用於處理平台資料的軟件是否存在漏洞和安全問題?

此問題僅涉及您為了處理平台資料而組建或建立套件的軟件(例如程式碼庫),而不是由其他公司組建或維護的軟件(例如 Android 或 iOS 作業系統)。

請選擇所有適用項目。

a. 靜態應用程式安全測試(SAST)

b. 動態應用程式安全測試(DAST)

c. 由內部團隊進行的滲透測試

d. 由外部安全公司進行的滲透測試

e. 透過漏洞披露計劃(VDP)或找漏洞獎賞計劃收集的外部研究人員漏洞報告

f. 其他識別漏洞的方法

g. 以上皆非

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-12.a 中選擇 a - g 中的任何一個選項,將看到以下內容:

3.1-12.a.i. 請上載政策或程序文件等書面說明,表明您如何測試用於處理平台資料的軟件是否存在漏洞和安全問題。

您的書面說明應涵蓋以下所有測試程序:

  1. 至少每隔 12 個月測試一次安全漏洞

  2. 制定程序以根據嚴重性將結果分類

  3. 確保及時補救可能導致平台資料被未經授權存取的高嚴重性漏洞

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-12.a 中選擇 a - f 中的任何一個選項,將看到以下內容:

3.1-12.a.ii. 請上載至少一項證據,例如最近的滲透測試結果摘要,展示您如何實際測試您用於處理平台資料的軟件是否存在漏洞和安全問題,以保護安全。

您的證據中應涵蓋以下詳情:1. 範圍和測試方法的說明;2. 測試活動舉行日期(我們只接受在我們通知您此次評估當日起計 12 個月前進行的測試);3. 任何未補救的嚴重和高嚴重性漏洞之摘要(如適用)。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-12.b. 在過去 12 個月內,您使用了以下哪種方法在處理平台資料的後端環境中測試漏洞和安全問題

此問題僅涉及您為了處理平台資料而組建或建立套件的軟件(例如程式碼庫),而不是由其他公司組建或維護的軟件(例如您作為服務供應商而需使用的分析服務)。

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

請選擇所有適用項目。

a. 靜態應用程式安全測試(SAST)

b. 動態應用程式安全測試(DAST)

c. 網絡掃描

d. 由內部團隊進行的滲透測試

e. 由外部安全公司進行的滲透測試

f. 透過漏洞披露計劃(VDP)或找漏洞獎賞計劃收集的外部研究人員漏洞報告

g. 其他識別漏洞的方法

h. 沒有此需要,因為我的機構使用無需程式碼的後端解決方案

i. 以上皆非

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-12.b 中選擇 a - g 中的任何一個選項,將看到以下內容:

3.1-12.b.i. 請上載政策或程序文件等書面說明,表明您如何在處理平台資料的後端環境中測試漏洞和安全問題。

您的書面說明應涵蓋以下所有測試程序:

  1. 至少每隔 12 個月測試一次安全漏洞

  2. 制定程序以根據嚴重性將結果分類

  3. 確保及時補救可能導致平台資料被未經授權存取的高嚴重性漏洞

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-12.b 中選擇 a - g 中的任何一個選項,將看到以下內容:

3.1-12.b.ii. 請上載至少一項證據,例如最近的滲透測試結果摘要,展示您如何實際測試您用於處理平台資料的後端環境是否存在漏洞和安全問題,以保護安全。

您的證據中應涵蓋以下詳情:

  1. 範圍和測試方法的說明;

  2. 測試活動舉行日期(我們只接受在我們通知您此次評估當日起計 12 個月前進行的測試);

  3. 任何未補救的嚴重和高嚴重性漏洞之摘要(如適用)。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8.b 選擇 a-b 或 d-i 中的任何一個選項

3.1-12.c. 您是否至少每隔 12 個月測試一次用於處理平台資料的雲端環境是否存在錯誤的安全配置,例如使用 NCC Scout Suite 等工具來找出錯誤配置?

Meta 要求您至少每隔 12 個月採取一次措施,來測試您的軟件是否存在漏洞和安全問題,以防止平台資料被未經授權存取。

[ ] 是

[ ] 不適用,因為我的機構只使用不公開任何敏感安全配置選項的後端服務

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-12.c 中選擇「是」,將看到以下內容:

3.1-12.c.i. 請上載政策或程序文件等書面說明,表明您如何測試用於處理平台資料的雲端環境是否存在錯誤安全配置。

您的書面說明應涵蓋以下所有測試程序:

  1. 至少每隔 12 個月測試一次安全漏洞。

  2. 制定程序以根據嚴重性將結果分類。

  3. 確保及時補救可能導致平台資料被未經授權存取的高嚴重性漏洞。

請標出或圈出您政策當中列明這些情況的地方。

Meta 要求您至少每隔 12 個月採取一次措施,來測試您的軟件是否存在漏洞和安全問題,以防止平台資料被未經授權存取。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-12.c 中選擇「是」,將看到以下內容:

3.1-12.c.ii. 請上載至少一項證據,例如 NCC Scout Suite 測試摘要,展示您如何實際測試用於處理平台資料的雲端環境是否存在錯誤安全配置,以保護安全。

您的證據中應涵蓋以下詳情:

  1. 範圍和測試方法的說明;

  2. 測試活動舉行日期(我們只接受在我們通知您此次評估當日起計 12 個月前進行的測試);

  3. 任何未補救的嚴重和高嚴重性漏洞之摘要(如適用)。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-13.a. 您的應用程式或軟件是否曾經在顧客或客戶裝置上儲存可供其他應用程式或用戶讀取的存取憑證?

「顧客或客戶裝置」是指屬於您應用程式或服務最終用戶的硬件,例如 Android 或 iPhone 手機。

如果您沒有應用程式或軟件在手機等顧客或客戶裝置上運行,請選擇「否」。

[ ] 是

[ ] 否

如果此應用程式並非配置為「桌面版」/「原生」,您將看到以下內容:

3.1-13.b. 是否曾對顧客或客戶裝置公開 Facebook 應用程式密鑰,例如在編譯的程式碼中公開?

[ ] 是

[ ] 是,但我的應用程式已經配置為桌面版或原生應用程式

[ ] 否

如果您在問題 3.1-8.a 中選擇 d,將看到以下內容:

3.1-13.c. 您之所以收到此問題,是因為您在之前的問題中表示會將 Meta API 用戶存取憑證儲存在後端環境中。您如何保護這類憑證免被他人未經授權使用?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

存取憑證是確保 Meta API 安全的基礎。我們要求開發人員保護存取憑證,免被他人未經授權存取。了解存取憑證。

請選擇所有適用項目。

a. 透過不同的密鑰管理服務,將此類資料儲存在 Hashicorp 的 Vault 等資料保存庫中

b. 使用應用程式加密,例如絕不將用戶存取憑證寫入或不加密地傳輸至資料庫或任何其他永續儲存空間中

c. 將應用程式配置為需要 appsecret_proof 參數才能對 Meta 發出 API 呼叫

d. 我使用其他方法來保護用戶存取憑證

e. 以上皆非

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-13.c 中選擇 a、b、c 或 d,將看到以下內容:

3.1-13.c.i. 我們在上一題詢問您如何保護儲存在後端環境的用戶存取憑證,以免被人未經授權使用。請上載政策或程序文件等書面說明,表明您如何保護這類存取憑證。

您的書面說明應涵蓋以下內容:

  1. 說明如何保護用戶存取憑證免被他人未經授權讀取

  2. 要求用戶存取憑證絕不能以明文(未加密)形式寫入記錄檔案

請標出或圈出您政策當中列明這些情況的地方。

存取憑證是確保 Meta API 安全的基礎。我們要求開發人員保護存取憑證,免被他人未經授權存取。了解存取憑證

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

3.1-13.c.ii 請上載至少一項證據,例如存取憑證密鑰本身而非其值的螢幕截圖,展示您如何實際保護儲存在後端環境中的存取憑證,以免被人未經授權使用。[主要問題]

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8.a 中選擇 e,將看到以下內容:

3.1-13.d. 您之所以收到此問題,是因為您在之前的問題中表示會將應用程式密鑰儲存在後端環境中。您如何保護應用程式密鑰免被他人未經授權使用?

應用程式密鑰是與 Meta Technologies 相關的參數,可在某些 API 呼叫中用作存取憑證,來更改應用程式的配置,例如配置 Webhooks 回呼。您可以在應用程式管理中心的「設定」>「基本」下,找到應用程式的應用程式密鑰。有關應用程式密鑰的更多資訊,請參閱有關登入安全的開發人員文件。如需進一步了解我們對保護應用程式密鑰和用戶存取憑證的要求,包括您可能需要提供的任何證據,請參閱保護 Meta 應用程式密鑰和存取憑證

我們要求您透過以下兩種方式之一來保護應用程式密鑰:

  1. 絕不在安全的伺服器環境之外公開密鑰。換言之,絕不從未由網絡呼叫傳回密鑰到瀏覽器或流動應用程式,而且不要將密鑰內嵌到分發至流動或原生/桌面用戶端的程式碼。

  2. 或者,透過將應用程式驗證配置為「原生或桌面應用程式」類型,使 Meta API 不再信任內含應用程式密鑰的 API 呼叫。

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

請選擇所有適用項目。

a. 透過不同的密鑰管理服務,將此類資料儲存在 Hashicorp 的 Vault 等資料保存庫中

b. 使用應用程式加密,例如絕不將應用程式密鑰寫入或不加密地傳輸至資料庫或任何其他永續儲存空間中

c. 我使用其他方法來保護應用程式密鑰

d. 以上皆非

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-13.d 中選擇 a、b 或 c,將看到以下內容:

3.1-13.d.i. 您在上一題表示,您會保護儲存在後端環境的應用程式密鑰,以免被人未經授權使用。請上載政策或程序文件等書面說明,表明您如何實施此保護措施。

您的書面說明應涵蓋以下內容:

  1. 說明如何保護應用程式密鑰免被他人未經授權讀取

  2. 要求應用程式密鑰絕不能以明文(未加密)形式寫入記錄檔案

請標出或圈出您政策當中列明這些情況的地方。

應用程式密鑰是確保 Meta API 安全的基礎。我們要求開發人員保護應用程式密鑰,免被他人未經授權存取。了解應用程式密鑰

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-13.d 中選擇 a、b 或 c,將看到以下內容:

3.1-13.d.ii. 請上載至少一項證據,例如內有應用程式密鑰並已刪去值的密鑰管理器螢幕截圖,展示您如何實際保護儲存在後端環境中的應用程式密鑰,免被他人未經授權使用。

如要查看我們接受的證據範例,請參考我們有關此問題的證據指南

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-15.a. 您是否要求用戶需通過多重驗證才能全權存取您的協作和通訊工具?

我們要求您為所有使用您協作和通訊工具(例如電郵、Slack)的用戶採取多重驗證或其他可接受的保護措施。我們沒有限制應使用任何特定的多重驗證實施方法。

[ ] 是

[ ] 否,但我們會執行複雜密碼策略,並設有驗證重試間隔時間和登入失敗時自動鎖定帳戶的功能。

[ ] 否

3.1-15.b. 您是否要求用戶需通過多重驗證才能全權存取您程式碼存放庫工具(例如 GitHub),或存取任何用於追蹤應用程式變更以及任何系統程式碼和配置變更的工具?

我們要求您為所有使用您程式碼存放庫的用戶採取多重驗證或其他可接受的保護措施。我們沒有限制應使用任何特定的多重驗證實施方法。

[ ] 是

[ ] 否,但我們會執行複雜密碼策略,並設有驗證重試間隔時間和登入失敗時自動鎖定帳戶的功能。

[ ] 否

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-15.c. 您是否要求用戶需通過多重驗證才能全權存取您的軟件部署工具,例如 Jenkins 或其他持續整合與持續部署工具?

我們要求您為所有使用您軟件部署工具的用戶採取多重驗證或其他可接受的保護措施。我們沒有限制應使用任何特定的多重驗證實施方法。

[ ] 是

[ ] 否,但我們會執行複雜密碼策略,並設有驗證重試間隔時間和登入失敗時自動鎖定帳戶的功能。

[ ] 否

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-15.d. 您是否要求用戶需通過多重驗證才能全權存取後端管理工具,例如雲端管理入口網站?

我們要求您為所有使用您雲端或伺服器管理工具的用戶採取多重驗證或其他可接受的保護措施。我們沒有限制應使用任何特定的多重驗證實施方法。

[ ] 是

[ ] 否,但我們會執行複雜密碼策略,並設有驗證重試間隔時間和登入失敗時自動鎖定帳戶的功能。

[ ] 否

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-15.e. 您是否要求用戶需通過多重驗證才能全權透過 SSH 等方式遙距存取伺服器?

我們要求您為所有遙距存取伺服器作業採取多重驗證或其他可接受的保護措施。我們沒有限制應使用任何特定的多重驗證實施方法。

[ ] 是

[ ] 否,但我們會執行複雜密碼策略,並設有驗證重試間隔時間和登入失敗時自動鎖定帳戶的功能。

[ ] 不適用。我們不提供遙距存取伺服器功能。

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-15.a 到 3.1-15.e 中的任何一題中選擇「是」,將看到以下內容:

3.1-15.e.i. 請上載政策或程序文件等書面說明,表明您設有多重驗證要求或採取其他防止帳戶被盜用的措施,例如要求用戶設定複雜密碼,同時設有驗證重試間隔時間和會在登入嘗試失敗時自動鎖定帳戶。

您的說明應涵蓋您就全權存取以下任何項目而制定的驗證要求:任何協作和通訊工具、程式碼存放庫、軟件部署工具、後端管理工具,以及透過 SSH 等方式對伺服器的遙距存取。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-15.a 到 3.1-15.e 中的任何一題中選擇「是」,將看到以下內容:

3.1-15.e.ii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際執行多重驗證機制或其他防止帳戶被盜的措施,以保護安全。

您的證據應該表明您如何使用驗證機制來保障以下項目的全權存取功能:任何協作和通訊工具、程式碼存放庫、軟件部署工具、後端管理工具,以及透過 SSH 等方式對伺服器的遙距存取。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-16. 您是否有用於維護帳戶的系統,可以用來管理對自家機構人員授予、撤銷和審查存取權限的事宜?

我們要求您擁有帳戶維護系統,並應定期審查存取授權,至少每 12 個月一次。您必須制定在以下情況立即撤銷存取權的程序:

  • 不再需要存取權

  • 不再使用存取權

  • 有人離開機構

[ ] 是

[ ] 否

如果您在問題 3.1-16 中選擇「是」,將看到以下內容:

3.1-16.a. 您有實施以下哪些程序以作為帳戶維護系統的一部分?

請選擇所有適用項目。

a. 我們至少每 12 個月審查一次所有授予的存取權,並撤銷不再需要的存取權。

b. 我們至少每 12 個月審查一次所有授予的存取權,並撤銷不再使用的存取權。

c. 當有人離開機構時,我們會立即撤銷所有授予的存取權。

d. 以上皆非

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-16.a 中選擇 a-c 任何一個選項,將看到以下內容:

3.1-16.a.i. 請上載政策或程序文件等書面說明,展示與您的帳戶維護系統相關的要求。

您的書面說明必須涵蓋以下要求:

  1. 撤銷不再需要的存取權限

  2. 撤銷不再使用的存取權限

  3. 在有人離開機構時立即撤銷存取權

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-16.a 中選擇 a-c 任何一個選項,將看到以下內容:

3.1-16.a.ii. 請上載至少一項證據,例如工具配置或螢幕截圖,展示您如何實際實帳戶維護系統以保護安全。

您的證據必須表明您如何執行以下操作:

  1. 撤銷不再需要的存取權限

  2. 撤銷不再使用的存取權限

  3. 在有人離開機構時立即撤銷存取權

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8 中選擇「是」,將看到以下內容:

3.1-17.a. 您在之前的問題中表示會將平台資料儲存在後端環境中。就著您在後端環境中處理平台資料時所用的軟件,您是否有執行以下所有措施:制定明確且可重複的方法來找出第三方軟件中可解決安全漏洞的修補程式;根據 CVSS 嚴重性等風險程度決定可用修補程式的優先套用次序;持續不斷套用修補程式

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 沒有此需要,因為我的機構使用無需程式碼的後端解決方案。

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-17.a 中選擇「是」,將看到以下內容:

3.1-17.a.i. 您在上一題中表示,您有制定程序以持續更新程式碼和後端環境。請上載政策或程序文件等書面說明,表明您如何持續更新程式碼和後端環境。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-17.a 中選擇「是」,將看到以下內容:

3.1-17.a.ii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際持續更新程式碼和後端環境,以保護安全。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-17.b. 就著您在 Android 或 iPhone 應用程式等流動應用程式中處理平台資料時所用的第三方軟件,您是否有執行以下所有措施:制定明確且可重複的方法來找出第三方軟件中可解決安全漏洞的修補程式;根據 CVSS 嚴重性等風險程度決定可用修補程式的優先套用次序;持續不斷套用修補程式

[ ] 是

[ ] 沒有此需要,因為我的機構不在流動應用程式中處理平台資料。

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-17.b 中選擇「是」,您將看到以下內容:

3.1-17.b.i. 在上一題中,您表示會在流動應用程式中持續更新第三方軟件。請上載政策或程序文件等書面說明,說明您如何在流動應用程式中更新第三方程式碼。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-17.b 中選擇「是」,將看到以下內容:

3.1-17.b.ii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際在流動應用程式持續更新第三方程式碼,以保護安全。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-17.c. 就著作業系統、防毒軟件、手提電腦上運行的瀏覽器以及您機構人員用來組建和營運應用程式的其他系統和應用程式,您是否有執行以下所有措施:制定明確且可重複的方法來找出第三方軟件中可解決安全漏洞的修補程式;根據 CVSS 嚴重性等風險程度決定可用修補程式的優先套用次序;持續不斷套用修補程式

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-17.c 中選擇「是」,將看到以下內容:

3.1-17.c.i. 您在上一題中表示,您會持續更新在組建和營運應用程式時所用系統和應用程式中的第三方軟件。請上載政策或程序文件等書面說明,表明您如何持續更新此第三方軟件和防毒軟件。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

這個問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-17.c 中選擇「是」,將看到以下內容:

3.1-17.c.ii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際持續更新第三方軟件和防毒軟件,以保護安全。[主要問題]

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-21. 您是否有提供公開的渠道,以便用戶向您回報此應用程式的安全漏洞?

[ ] 是

[ ] 否

如果您在問題 3.1-21 中選擇「否」,將看到以下內容:

3.1-21.a. 您是否會提供公開的電郵地址、電話號碼或聯絡表格以便用戶與您聯絡,並且安排定期監察此等聯絡渠道?

[ ] 是

[ ] 否

如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,將看到以下內容:

3.1-22. 您在之前的問題中表示會將平台資料儲存在後端環境中。您是否有收集此後端環境的管理員審查記錄?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22 中選擇「是」,將看到以下內容:

3.1-22.a. 請上載政策或程序文件等書面說明,表明您如何就儲存平台資料的後端環境收集管理員審查記錄。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您

如果您在問題 3.1-22 中選擇「是」,將看到以下內容:

3.1-22.a.i. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際就儲存平台資料的後端環境收集管理員審查記錄,以保護安全。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,將看到以下內容:

3.1-22.b. 您在之前的問題中表示會將平台資料儲存在後端環境中。您是否有收集此後端環境的應用程式事件審查記錄?應用程式事件可能包括:

  • 輸入資料和產出內容驗證失敗

  • 身分驗證和存取控制失敗

  • 應用程式錯誤和系統事件

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否

如果您在問題 3.1-22.b 中選擇「是」,將看到以下內容:

3.1-22.b.i. 就著儲存平台資料的後端環境中,這些應用程式事件審查記錄是否包含以下所有欄位?

  • Meta 用戶編號(適用於您收到有關資料時)

  • 事件類型

  • 日期和時間

  • 成功或失敗標記

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22.b 中選擇「是」,將看到以下內容:

3.1-22.b.ii. 請上載政策或程序文件等書面說明,表明您如何就儲存平台資料的後端環境收集應用程式事件審查記錄。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22.b 中選擇「是」,將看到以下內容:

3.1-22.b.iii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際就儲存平台資料的後端環境收集應用程式事件審查記錄,以保護安全。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,將看到以下內容:

3.1-22.c. 您在之前的問題中表示會將平台資料儲存在後端環境中。您是否有制定政策或程序,來防止他人未經授權地存取和竄改此後端環境的審查記錄?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否

3.1-22.d. 您在之前的問題中表示會將平台資料儲存在後端環境中。您是否會為此環境保留審查記錄至少 30 天?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是 [ ] 否

如果您在 3.1-8.a 中選擇 b - f 的任何一個選項,將看到以下內容:

3.1-22.e. 您在之前的問題中表示會將平台資料儲存在後端環境中。您是否會使用自動化解決方案來審查此後端環境的應用程式事件審查記錄,以找出指標來反映是否有日常安全事件或事故會導致風險或損害(例如嘗試繞過存取控制措施或利用軟件漏洞)?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否

如果您在問題 3.1-22.e 中選擇「是」,將看到第 3.1-22.e.i. 題:就著儲存平台資料的後端環境,您是否會至少每 7 天審查一次這些應用程式事件審查記錄?

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22.e 中選擇「是」,將看到以下內容:

3.1-22.e.ii. 請上載政策或程序文件等書面說明,表明您如何就儲存平台資料的後端環境,至少每 7 天審查一次應用程式事件審查記錄。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22.e 中選擇「是」,將看到以下內容:

3.1-22.e.iii. 請上載至少一項證據,例如應用程式的工具配置或螢幕截圖,展示您如何實際就儲存平台資料的後端環境,至少每 7 天審查一次應用程式事件審查記錄,以保護安全。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,將看到以下內容:

3.1-22.f. 您在之前的問題中表示會將平台資料儲存在後端環境中。您是否會審查此環境的管理員審查記錄,以找出指標來反映是否有日常安全事件或事故會導致風險或損害(例如嘗試繞過存取控制措施或利用軟件漏洞)?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

[ ] 是

[ ] 否

如果您在問題 3.1-22.f 中選擇「是」,將看到以下內容:

3.1-22.f.i. 就著儲存平台資料的後端環境,您是否會至少每 7 天審查一次這些管理員審查記錄?

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22.f 中選擇「是」,將看到以下內容:

3.1-22.f.ii 請上載政策或程序文件等書面說明,表明您如何就儲存平台資料的後端環境,至少每 7 天審查一次管理員審查記錄,以找出反映有日常安全事件或事故的指標。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

如果您在問題 3.1-8.a 中選擇 b - f 中的任何一個選項,將看到以下內容:

3.1-22.g. 您在之前的問題中表示會將平台資料儲存在後端環境中。如果您發現有日常安全事件或事故會導致此後端環境的審查記錄面臨風險或被損壞,您是否會有進一步調查的程序?

「後端環境」是指您的顧客或客戶可以遙距存取的雲端或伺服器環境,例如網站或網頁 API。

提醒:如果發生安全事件或事故,根據我們的政策規定,您必須立即向我們報告。

[ ] 是

[ ] 否

免責聲明:此問題只適用於部分開發人員。請參閱您的具體評估以了解這些要求是否適用於您。

如果您在問題 3.1-22.g 中選擇「是」,將看到以下內容:

3.1-22.g.i. 請上載政策或程序文件等書面說明,表明您如何在儲存平台資料的後端環境中,調查會為審查記錄帶來風險或損壞的日常安全事件或事故。

請標出或圈出您政策當中列明這些情況的地方。

請確保檔案沒有加上密碼保護。您可以上載多個檔案,每個最多可為 2 GB。我們接受 .xls、.xlsx、.csv、.doc、.docx、.pdf、.txt、.jpeg、.jpg、.png、.ppt、.pptx、.mov、.mp4、.zip 和 .zipx。

3.1-23. 您是否為有權存取平台資料的人員制定安全程序?

此類程序可能包括以下一項或多項:

  • 在授予存取平台資料之前完成背景調查

  • 在授予平台資料存取權限之前要求簽署保密協議;為新人提供有關資訊安全政策和程序的培訓

  • 持續定期舉行安全意識培訓(即每年一次)

  • 舉行與存取平台資料的特定工作角色相關的培訓

  • 要求人員在離開機構後歸還資產(例如手提電腦或手機)

[ ] 是

[ ] 否