你是否同时采用以下方法保护Meta API 访问口令和应用密钥?
1.绝不将 Meta API 访问口令存储在客户端设备上可能遭到当前应用和用户以外的对象访问的位置。
2.如果存储在云端、服务器或数据中心环境,则结合使用数据库(例如HashiCorp Vault)和单独的密钥管理服务 (KMS) 。
不管选“是”,还是选“否,Meta API xxxx”,都是需要提供证据:
请上传可以阐明下列事项的政策或程序文档:
1.说明你为保护 Meta API 访问口令和应用密钥而设立的要求或程序的相关政策或程序文档。
2.来自你系统或应用的证据,例如工具配置或屏幕截图,证明你如何为 Meta API 访问口令和应用密钥实施保护措施。
请确保文件未设密码保护。你可以上传多个文件,每个最大 2 GB。我们支持的文件格式有:.xls,.xlsx,.csv,.doc,.docx,.pdf,.txt,.jpeg,.jpg,.png,.ppt,.pptx,.mov,.mp4,.zip 和 .zipx。
第一次提交,我提供了云盘加密的截图、以及数据库里加密存储Meta相关平台数据的截图证据。
收到FB审查员的回复:
Thank you for providing evidence from your system or application, such as a tool configuration or screen capture, that shows how you’ve implemented protections for Meta API access tokens and app secrets. Additionally, can you please provide a policy or procedure document that explains your requirements or procedures for protecting Meta API access tokens and app secrets. Please see FAQ here: https://developers.facebook.com/docs/development/maintai
上面说执行证据足够,但需要提供保护平台数据相关的政策文档。
明白了,然后上传了一份数据加密存储的政策文档,接下来是漫长的等待。
大约过了3个月,FB回复说证据都不足,纳尼,不是说实施证据充足了,然后只需要一个政策证据吗?怎么!!!后来想想,可能过了这么长时间了,中间换了一个审查员,每个审查员的要求和心情都不一样,所以你懂的。
接下来,只能把之前的回答和上传的文件重新上传了一次。
漫长的等待与担忧被下架应用煎熬2个多月以后,终于审核通过:
———————- 2023年9月20日补充 start —————————-
在帮几个客户处理Facebook数据保护评估过程中,发现这个问题被打回的概率非常非常高,一般都是回复说所提交的证据不足,需要提供更多信息:
谢谢你的回应。但是,你的回应和证据并不是确凿的。
在你的数据保护评估回复中,你说Meta API 访问口令和应用秘密在客户端和服务器上受到保护。但是我们需要更多信息来确定您是否以符合我们的要求的方式实现了这项保护。 请阅读下面的评论员笔和文本了解接下来该做什么的说明。如果我们没有收到令人满意的回复,你将违反这项必要的保护审查员笔记
1)缺失政策/程序证据
2)执行证据不足
政策/程序证据
我们的审查确定,你的政策/程序证据缺失或不足。您必须以书面描述如何对平台数据实施保护。您的回复必须清楚说明您的方法与我们的要求有何关联(@TAG):如果您在服务器环境中访问口令:在客户端设备上,Meta访问口令不能写成让其他用户或进程读取。处理或存储 Meta 访问口令,它们必须用单独的密钥管理服务KMS 的数据库来保护而且绝不能写入记录文件>Facebook 应用秘密绝不能暴露在安全的服务器环境之外(例如,浏览器或移动应用程序的网络呼永远不会返回,该秘密不会嵌入到分发给移动或原生/桌面客户端的代码中),除非你的应用已配置 类型为原生/桌面(https://developersfacebookco如果你对 Meta 访问口令和应用秘密应用不同的保护措施,你需要详细解释你正在使用的方法。参考我们关于可接受的替代方法的文档(https://developersfacebook.com/docs/development/maintaining-data-access/data-protection:assessment/data-security#acc-alt-prot-meta-app-secret)。
执行证据
我们的审查确定,你的实施证据要么丢失要么不足。你必须用一个或多个执行证据来说明你是如何实施这种保护的。它可能会帮助您参考我们在我们的文档中包含的可接受证据的例子(@TAG).上传给我们之前,请记得从你的证据(@TAG)中编辑敏感细节https://developers.facebook.com/docs/development/maintaining-data-access/data-protectionassessment/data-security#redact-evidence.
这个问题来回折腾回答了4次!!!是所有数据保护评估的问题中最难搞的之一!!!
———————- 2023年9月20日补充 end —————————-
联系邮箱: keysolutions@foxmail.com
