淘宝开放平台关于R2数据三方应用安全能力要求说明
- 淘宝开放平台关于R2数据三方应用安全能力要求说明
尊敬的开发者:
为了更好的保障用户信息的安全、提升服务商应用对于用户敏感信息的安全防护能力,提升服务商应用的安全性,降低用户数据泄露或者被恶意修改的风险。根据国家相关法律法规及平台数据安全规范的要求,从2020年12月22日起,针对从淘宝开放平台与聚石塔获取订单R2相关隐私数据(包括收货人、联系方式、收货地址等用户信息)的所有IT类应用(除去商家自研应用),淘宝开放平台将根据应用类型及业务规模提出相关的安全能力要求,具体如下:
一、相关定义
1、应用类型分类:企业客户管理系统、店铺管理IT工具
1)企业客户管理系统:企业内部管理系统(ERP、进销存、OMS、电商财务)、客户关系管理系统
2)店铺管理IT工具:除企业客户管理系统以外的应用,包括但不限于订单管理、商品管理、客服工具、促销管理、千牛插件等所有IT类在线订购应用
2、应用规模分层标准:
1)企业客户管理系统:
业务规模:应用日均订单量>200万
业务规模:20万<应用日均订单量<200万
业务规模:应用日均订单量<20万
2)店铺管理IT工具:
业务规模:应用日均订单量>800万
业务规模:50万<应用日均订单量<800万
业务规模:应用日均订单量<50万
注:以上应用日均订单量为除去38、618,99、双11、双12等大促外的日常订单数量(后续可以在开放平台查询该应用业务规模)
二、不同应用规模分层的安全能力要求(★为必做项,无★为可选项)
应用规模分层 | 安全能力要求 |
企业客户管理系统:应用日均订单量>200万 店铺管理IT工具:应用日均订单量>800万 | 一、数据层 |
★1、敏感数据在存储、传输过程中进行数据加密。 | |
★2、对涉及敏感数据的展示,进行脱敏处理。 | |
★3、应用禁止提供涉及用户隐私信息的导出功能,包括但不限于姓名、联系方式、地址、身份证号、支付宝帐号等。应用涉及非用户隐私信息的导出需要具备二次验证的能力。 | |
二、应用层 | |
★1、接入Web应用防护系统(Web Application Firewall,简称WAF),应用防护系统需开启防爬功能,Web应用防护系统需要提供不小于2000 QPS的处理能力。对于非HTTP协议的C/S应用需要接入互联网边界防火墙进行防护。(接入日志需回传平台) | |
★2、应用必须接入御城河(包括日志对接、白名单绑定、帐号风控等),完成数据安全能力认证。 | |
★3、每年接受至少2次专业渗透测试,渗透测试需由阿里巴巴或阿里巴巴授权的第三方独立进行,开发者应提供渗透测试报告。24h高危漏洞修复、漏洞信息通报,一旦产生安全事件,须在事件发生后的平台指定期限内进行1次全面应用渗透测试。 | |
★4、必须使用淘系账号体系,如拥有自有账号体系应用,必须接入淘宝认可的身份识别与访问管理(IAM)组件(登陆风控、弱密码监测、账号生命周期管理、登陆认证行为统一管控),相关日志需回传平台。 | |
三、系统层 | |
★1、具备自动化监测恶意代码和系统漏洞的能力,对漏洞能够进行跟踪管理(异常登陆、恶意进程查杀等,24h内进行高危漏洞修复)。 | |
★2、具备主机入侵防护能力,对系统安全配置和基线进行检查、应用组件漏洞监测。 | |
★3、建立安全运营团队,具备7*24小时安全应急响应能力,每年进行至少2次云环境安全评估,制定内部安全管理制度和操作规程,提供安全负责人名单及信息(姓名、手机、邮箱等),如有变更须在3天内进行信息更新。 | |
四、网络层 | |
★1、实现流量打点(HTTP请求日志打点保存)和流量日志审计,具备系统外联等异常流量监控能力。(聚石塔外流量日志需回传平台) | |
★2、通过安全组(基于ECS的访问控制)进行细粒度的网络访问控制策略。 | |
★3、通过聚石塔云资源公网IP默认开启5G基础DDOS防护能力。 | |
4、重要系统开启DDOS高防提高抗DDOS攻击能力,大促期间保障业务连续性。 | |
企业客户管理系统:20万<应用日均订单量<200万 店铺管理IT工具:50万<应用日均订单量<800万 | 一、数据层 |
★1、敏感数据在存储、传输过程中进行数据加密。 | |
★2、对涉及敏感数据的展示,进行脱敏处理。 | |
★3、应用禁止提供涉及用户隐私信息的导出功能,包括但不限于姓名、联系方式、地址、身份证号、支付宝帐号等。应用涉及非用户隐私信息的导出需要具备二次验证的能力。 | |
二、应用层 | |
★1、接入Web应用防护系统(Web Application Firewall,简称WAF),对于非HTTP协议的C/S应用或应用系统不支持WAF部署需要接入互联网边界防火墙进行防护。(接入日志需回传平台) | |
★2、应用必须接入御城河(包括日志对接、白名单绑定、帐号风控等),完成数据安全能力认证。 | |
★3、每年至少1次专业渗透测试,渗透测试需由阿里巴巴或阿里巴巴授权的第三方独立进行,开发者应提供给阿里巴巴渗透测试报告。24h高危漏洞修复、漏洞信息通报。 | |
★4、必须使用淘系账号体系,如拥有自有账号体系应用,必须接入淘宝认可的身份识别与访问管理(IAM)组件(登陆风控、弱密码监测、账号生命周期管理、登陆认证行为统一管控),相关日志需回传平台。 | |
三、系统层 | |
★1、具备自动化监测恶意代码和系统漏洞的能力,对漏洞能够进行跟踪管理(异常登陆、恶意进程查杀等,48h内进行高危漏洞修复)。 | |
★2、明确安全岗位负责人,具备7*24小时安全应急响应能力,制定内部安全管理制度和操作规程,提供安全负责人名单及信息(姓名、手机、邮箱等),如有变更须在3天内进行信息更新。 | |
四、网络层 | |
★1、实现流量打点(HTTP请求日志打点保存)和流量日志审计,具备系统外联等异常流量监控能力。(聚石塔外流量日志需回传平台) | |
★2、通过安全组(基于ECS的访问控制)进行细粒度的网络访问控制策略。 | |
★3、通过聚石塔云资源公网IP默认开启5G基础DDOS防护能力。 | |
企业客户管理系统:应用日均订单量<20万 店铺管理IT工具:应用日均订单量<50万 | 一、数据层 |
★1、敏感数据在存储、传输过程中进行数据加密。 | |
★2、对涉及敏感数据的展示,进行脱敏处理。 | |
★3、应用禁止提供涉及用户隐私信息的导出功能,包括但不限于姓名、联系方式、地址、身份证号、支付宝帐号等。应用涉及非用户隐私信息的导出需要具备二次验证的能力。 | |
二、应用层 | |
★1、接入Web应用防护系统(Web Application Firewall,简称WAF)。(接入日志需回传平台) | |
★2、应用接入御城河(包括日志对接、白名单绑定、帐号风控等),完成数据安全能力认证。 | |
★3、必须使用淘系账号体系,如拥有自有账号体系应用,必须接入淘宝认可的身份识别与访问管理(IAM)组件(登陆风控、弱密码监测、账号生命周期管理、登陆认证行为统一管控),相关日志需回传平台。 | |
三、系统层 | |
★1、启用安骑士(基础版)实施基本病毒检测和漏洞检测,48h内修复高危漏洞和处理恶意代码。 | |
四、网络层 | |
★1、具备并实现流量打点。(HTTP请求日志打点保存,聚石塔外流量日志需回传平台) | |
★2、通过聚石塔云资源公网IP默认开启5G基础DDOS防护能力。 |
三、安全认证评分
1、基于以上安全能力要求,近期开放平台将升级应用安全认证评分体系。开放平台会在公告以及社区等阵地进行安全评分的定期公示,同时新的应用评分体系将与平台权限和权益相关联。
四、其他
1、开发者的应用需要在2021年2月21日前满足以上安全能力要求。如到期未满足安全能力要求,平台将针对应用做接口限流降级、新签冻结、取消订单R2数据权限等措施。
2、如开发者到期未达到安全能力要求并出现数据安全违规行为,平台将根据<开放平台&聚石塔安全违规行为及处罚规范>等相关规则加重处罚。
3、平台会不定期进行巡检,如发现开发者未符合安全能力要求,平台会视情节轻重采取一项或多项处理措施,情节严重的将取消订单R2数据权限,并清退应用。
4、任何管理和技术上的疏忽都有可能导致安全事件的发生,开发者应不限于以上安全要求,不断主动提升应用安全性来保障数据安全。
特此通知,敬请知悉,后续生态安全性相关的规则以及培训通知,都将通过开放平台社区做持续的输出,感谢您对平台的支持与关注。
--阿里巴巴.开放平台
2020年12月22日
以上标准为老标准,2020年的标准,仅供各位参考,最新标准请查看本站的其他公告。
本文转载 " 淘宝开放平台 整理 "
原文地址 " "
