先看看Facebook的要求:
如果你有符合下列所有标准的数据安全证书,可以提交作为证据,证明你已实施足够的管理、物理和技术方面的安全措施来保护开放平台数据:
1.证书类型必须是 SOC 2、ISO 27001、ISO 27018 或同等证书。
2.证书必须是由独立审计机构颁发给你组织的(而不是颁发给第三方的)。
3.证书必须是当前有效的 — 过去一年内颁发的 SOC 2 证书,或过去三年内颁发的 ISO 证书。
4.审计范围必须综合覆盖你用来处理 Meta 开放平台数据的系统。
你是否已获得符合这些标准的安全证书?
相信很多人跟我一样,看到这样子的要求一下子不知所措,不知道怎么回答。
一开始我的想法是找中介办一个ISO 27001证书,发现价格贵(每年审查还需要额外交费,承担不起)、提供资料多,审查也非常严格,大胆说一句,国内99%的公司都不具备申请条件!
选“是”的话要求提供并上传证书文件,对于我们这种小公司小团队来讲只能选“否”!
没有安全证书,需要额外回答问题并上传文档或截图证据。
一、存储平台数据的方式
你是否以这两种方式之一存储任何 Meta 开放平台数据?
1.存储在云端、服务器或数据中心环境,例如数据库(主存储器、副本和备份)、对象存储区或块存储
2.存储在其他任何组织/个人设备上(比如你员工的笔记本电脑或智能手机上)
注意:使用你服务的个人用户在网络或移动客户端中保存的开放平台数据不属于这个问题的范畴。
选项有:
- 是,我们会在上列所有情况下存储开放平台数据。
- 我们仅在上列第一种情况下存储开放平台数据。
- 我们仅在上述第二种情况下存储开放平台数据。
- 否,我们不会在上列情况下存储任何开放平台数据。
第二种情况,存储在其他任何组织/个人设备上,这种情况跟数据安全这一主题明显相违背的,回答肯定是否的。如果是单机应用或游戏,可以回答“否,我们不会在上列情况下存储任何开放平台数据”,其他的我建议选择“ 我们仅在上列第一种情况下存储开放平台数据”。因为如果你调用了FB的API接口,FB肯定知道的,如果你强制说不存储任何开放平台数据,遇到一些比较较真难缠的审查员,他们肯定不信的。
祝好运!希望大家都能遇到比较好说话的审查员!
下一篇,我分享下如何回答“你是否对云端、服务器或数据中心环境存储的所有开放平台数据采用静止数据加密?”这一难题!
联系邮箱: keysolutions@foxmail.com
