Amazon PWC开发者审计问题列表
鉴于当前Amazon SPAPI开发者生态系统中,部分规模相对精简的开发者团队在应对日趋频繁的安全合规审计时,可能面临资源调配、成本控制以及运营效率等多方面的挑战。因此,我们致力于提供专业、高效的安全审计咨询服务,旨在协助开发者伙伴们优化其信息技术安全架构,从容应对各类审计需求,确保在合规框架下持续创新,为用户提供更加安全可靠的应用体验。
开发者安全
作为全球最大的电商平台,亚马逊拥有海量的用户数据,包括卖家和买家的个人信息、交易数据等等。为了确保这些数据的安全,亚马逊会对使用其销售合作伙伴 API (SP-API) 的开发者进行定期的数据安全评估。 这项评估旨在审查开发者对《亚马逊开店服务 API 开发者协议》、《数据保护政策》和《可接受使用政策》中列出的数据安全与合规义务的遵守情况。
为什么亚马逊要进行开发者审计?
数据保护的需要: 亚马逊有责任保护用户的数据安全,防止数据泄露或滥用。 开发者通过API访问数据,如果开发者的数据安全措施不足,就可能造成安全隐患。
合规性的要求: 各国和地区都有严格的数据保护法律法规,例如欧盟的GDPR。 亚马逊需要确保其开发者也遵守这些法律法规,才能避免法律风险。
维护平台声誉: 数据安全事件会严重损害亚马逊的声誉,并影响用户对平台的信任。 定期审计可以帮助亚马逊及时发现和解决潜在的安全问题,维护平台的健康发展。
审计的流程和内容:
亚马逊的开发者审计通常由独立的第三方机构(如德勤、普华永道等)执行。 审计内容包括但不限于以下几个方面:
数据访问权限管理: 开发者如何控制对数据的访问权限,确保只有授权人员才能访问敏感数据。
数据存储安全: 开发者如何安全地存储和管理数据,防止数据被非法访问或篡改。
数据传输安全: 开发者如何安全地传输数据,防止数据在传输过程中被窃取或泄露。
数据处理合规性: 开发者如何处理数据,确保其符合亚马逊的政策和相关法律法规。
安全漏洞管理: 开发者如何发现和修复安全漏洞,防止安全事件的发生。
总体说明:
以下问题清单是将提供PWC的审计内容整理成章,并按照原有的结构进行划分。
问题整理的目的是为了更清晰地了解亚马逊数据安全评估的具体要求和关注点。
为了更方便查找,将初步行动(PRE)、信息安全管理 (ISG)等内容都作为一级目录。
以下问题都基于对提供的文字信息的直接解读,在实际使用中,请根据您的实际情况进行调整。
部分说明文字和“故意将此处留空”将不作为问题提出。
每一个问题都对应了问题ID, 如PRE.0。
每一个问题都保留了上下文信息,即"原因/解释"。
脑图结构
初步行动 (PRE)
PRE.0 适用范围
问题: 请确认您的回复适用范围是否包括:
提供的所有回复在存储/处理/访问亚马逊数据的所有国家/地区均适用。
根据贵公司进行的定期评估,提供的所有回复均符合分包商的控制环境要求(如果采用服务外包)。
提供的所有回复在所有数据(包括云环境中的数据)托管/存储/处理位置均适用。
我的组织愿意证明适用的安全控制措施能验证本项目环境的安全状况。
原因/解释: 本次安全审查旨在验证本项目的安全控制措施。这将包括处理、传输、存储或影响亚马逊信息/数据安全的人员、流程和技术。此问题旨在确认您的回复范围,并验证是否需要通过不同的安全控制措施对环境进行额外审查。
PRE.0.1 与法律、监管或行业要求相关的审计
问题: 贵公司是否定期接受与法律、监管或行业要求相关的审计?请从以下选项中选择:
SOC 2 Type 2
ISO27001
SIG
FedRAMP
HITRUST
CSA
PCI
其他(如附有执行摘要的内部审计)
以上都不是
原因/解释: 亚马逊要求贵组织确保自身的物理、管理和技术保护措施符合行业认可的最佳实践(包括国际标准化组织标准 ISO 27001 和 27002、美国国家标准与技术研究所 (NIST) 网络安全框架或其他类似行业标准)。
证据要求: 对于上传的证据,请提供一份涵盖以下详细信息的审计/评估报告:方法:用于审查的安全或合规框架。范围:审查中涉及的人员、流程和技术。结果:审查结果及任何观察或发现。
PRE.0.1.1 与法律、监管或行业要求相关的审计
问题: 请提供与上述答案对应的适用报告。(结合 PRE.0.1 问题)
原因/解释: (同PRE.0.1)
证据要求: 对于上传的证据,请提供一份涵盖以下详细信息的审计/评估报告:方法:用于审查的安全或合规框架。范围:审查中涉及的人员、流程和技术。结果:审查结果及任何观察或发现。
PRE.1 服务描述
问题: 贵组织向亚马逊提供哪些服务?请从该列表中选择作为本项目的一部分向亚马逊提供的所有服务和/或产品:
开发系统或用户可访问的任何软件/应用程序(内部或面向客户)
1(A). 亚马逊员工/承包商可以登录的网站或门户网站
1(B). 亚马逊或共同客户或第三方可以登录的网站或门户网站
1(C). 无需登录的网站或门户网站
负责传输亚马逊数据的数据传输机制
亚马逊数据将在云服务(对贵组织而言是第三方)中处理、传输或存储
亚马逊数据将存储在您的网络或系统中
原因/解释: (无)
PRE.2 亚马逊数据流程
问题:
亚马逊要求贵组织提供数据流程描述 (DFN) 和数据流程图,其中介绍了本次参与处理亚马逊数据/信息的人员、流程和技术。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
数据流程图和描述要求:
收到的所有亚马逊信息的来源(即亚马逊客户或共同客户、亚马逊、您的第三方或对亚马逊来说是第四方等),以及与之共享亚马逊数据的任何实体。
数据从进入环境到其最终目的地的整个过程:包括处理、传输或存储(短期或长期)。
所有类型的数据接收或传输,包括任何涉及硬拷贝/纸质媒体的数据。
所有不同的数据共享机制。
PRE.2.1 亚马逊数据流程描述
问题: 请为本项目提供相关的数据流程描述 (DFN) 证据。(结合 PRE.2 问题)
原因/解释: (无)
数据流程描述 (DFN) 应记录数据的入口/出口点、客户接入点、每个服务组件的功能、通信通道和数据存储的加密详细信息。
PRE.3 亚马逊数据流程图
问题: 请提供相关的数据流程图 (DFD) 证据,以支持所提供的回复。(结合 PRE.2 问题)
原因/解释: (无)
要求: 同 PRE.2 的数据流程图和描述要求。
PRE.4 数据传输机制
问题: 请选择本项目涉及的所有适用数据传输机制:
SFTP(归贵组织所有/管理)
1(A). SFTP(归亚马逊所有/管理)
EDI(归贵组织所有/管理)
2(A). EDI(归亚马逊所有/管理)
Web 服务或 API(归贵组织所有/管理)
3(A). Web 服务或 API(归亚马逊所有/管理)
WorkDocs(归贵组织所有/管理)
4(A). WorkDocs(归亚马逊所有/管理)
S3 或类似文件共享,如 Azure Blob、Google Bucket 等(归贵组织所有/管理)
5(A). S3 或类似文件共享,如 Azure Blob、Google Bucket(归亚马逊所有/管理)
电子邮件
物理数据传输(归贵组织所有/管理)
7(A). 物理数据传输(归亚马逊所有/管理)
其他
原因/解释: (无)
PRE.4.1 数据传输机制(其他)
问题: 如果选择“其他”作为回复(在 PRE.4 中),请提供理由。
原因/解释: (无)
PRE.4.2 数据传输机制(安全问题)- SFTP 安全:访问限制
问题: 为了限制对 SFTP 服务器的访问,亚马逊要求贵组织实施以下控制措施:
允许访问 SFTP 服务器的 IP 列表
条件访问策略,包括基于地理位置的 IP 限制
访问 SFTP 服务器所需的 MFA
访问 SFTP 服务器需要用到跳转主机,除非是预先批准的例外情况
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.3 数据传输机制(安全问题)- SFTP 安全:其他控制措施
问题: 为了确保 SFTP 安全,亚马逊要求贵组织实施以下控制措施:
交互式会话在指定的不活动时间(不超过 30 分钟,最佳做法是 15 分钟)后强制超时
对 SFTP 服务器进行了安全强化
至少每月对适用的 SFTP 服务器执行一次漏洞扫描
定期自动/手动删除 SFTP 文件
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.4 数据传输机制(安全问题)- SFTP 安全:漏洞扫描(附件)
问题: 请提供涵盖亚马逊参与范围内的 SFTP 服务器的最新漏洞扫描结果。(结合 PRE.4.3 问题)
原因/解释: (无)
PRE.4.5 数据传输机制(安全问题)- SFTP 安全:加密
问题: 亚马逊要求启用 PGP 加密,并规定将其纳入 SFTP 加密要求中。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.6 数据传输机制(安全问题)- SFTP 安全:数据保留
问题: 亚马逊要求贵组织在基于 SFTP 的数据传输过程中强制执行数据删除流程/程序,以便将亚马逊的数据存储量保持在本项目规定的最低要求。
您是否满足该项要求,您存储或将要存储亚马逊数据多长时间?
我的公司不符合此要求
我的公司符合此要求,存储时间不到 18 个月
我的公司符合此要求,存储时间超过 18 个月
我的公司符合此要求,亚马逊发出通知后会执行数据删除流程/程序
原因/解释: (无)
PRE.4.7 数据传输机制(安全问题)- API 安全
问题: 与亚马逊传输数据时所涉及的 API 是公用接口还是面向互联网的接口?
原因/解释: (无)
PRE.4.8 数据传输机制(安全问题)- API 安全:API 端点/URL
问题: 您能否提供 API 端点(仅限公共/面向互联网的接口)的 URL/IP?(结合 PRE.4.7 问题)
原因/解释: (无)
PRE.4.9 数据传输机制(安全问题)- API 安全:SDLC
问题: 亚马逊要求贵组织的软件开发生命周期 (SDLC) 流程解决 API 中的潜在漏洞,包括定期进行 API 渗透测试和执行 API 相关威胁建模等活动。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.10 数据传输机制(安全问题)- API 安全状况
问题: 为了确保 API 安全,亚马逊要求贵组织实施以下控制措施:
监控和记录关键 API 接口,并在出现请求过多、数据量较大等异常情况时采取措施。
数据请求限制控制措施(如速率限制、节流等)已就绪
至少每年轮换一次 API 的凭证和其他相关密钥
正在使用 WAF 或其他等效的 API 保护工具来保护 API 免受基于网络的攻击,例如暴力破解、DDOS、API 过度使用等。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
VM.2 渗透测试 (API安全相关)
问题: 亚马逊要求贵组织每年或在以下环境发生重大变更后进行渗透测试(如适用):
API 渗透测试
亚马逊还要求在 5 天内修复任何关键风险影响漏洞,在 30 天内修复高风险影响漏洞。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
渗透测试证据应包括有关最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要的详细信息。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。
PRE.4.11 数据传输机制(安全问题)- 渗透测试
问题: 请提供最新的渗透测试报告,该报告涵盖了问题 PRE.4.9 中列出的公用/面向互联网的 API,属于亚马逊的参与范围。(结合 PRE.4.9 和 VM.2问题)
原因/解释: (无)
要求: 同VM.2 渗透测试
PRE.4.13 数据传输机制(安全问题)- 安全数据存储
问题: 从以下选项中,请选择与亚马逊所参与项目相关的适用数据存储机制:
AWS S3
Azure Blob 存储
Google Cloud 存储
其他云存储服务,如 heroku、Oracle、阿里云等
原因/解释: (无)
PRE.4.15 数据传输机制(安全问题)- 安全数据存储:S3 配置安全
问题: 请提供显示以下设置的 AWS S3 配置的屏幕截图:
S3 公共访问已被阻止
已启用 S3 默认存储桶加密(服务器端/客户端),并对传输中的数据强制加密(即启用 AWS 安全传输条件)
S3 服务器访问日志记录:已启用
S3 版本控制启用
MFA 删除:已启用(仅适用于受限和关键/敏感数据)
原因/解释: (无)
根据要求 5,受限或敏感信息是指如果披露、更改或销毁可能对组织运营、声誉或合规性产生重大负面影响的信息。例如,受特定法律、合同或监管义务约束的信息,此类信息需要最高级别的保护。
PRE.4.16 数据传输机制(安全问题)- 安全数据存储:VPC 和 AWS IAM 角色的使用
问题: 为了确保 AWS S3 安全,亚马逊要求贵组织实施以下控制措施:
使用 VPC 端点访问 Amazon S3
将 AWS IAM 角色或其他基于角色的访问控制用于需要访问 Amazon S3 的应用程序和 AWS 服务
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.17 数据传输机制(安全问题)- 安全数据存储:Azure Blob 配置
问题: 请提供显示以下设置的 Azure Blob 配置的屏幕截图
公共访问已被阻止
在存储帐户中启用了“需要安全传输”选项
Blob 访问日志记录:已启用
版本控制已启用
原因/解释: (无)
PRE.4.18 数据传输机制(安全问题)- 安全数据存储:Azure IAM 角色的使用
问题: 亚马逊要求贵组织将 Azure 角色/RBAC 或其他基于角色的访问控制用于需要访问 Azure Blob 的应用程序和 Azure 服务。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.19 数据传输机制(安全问题)- 安全数据存储:Google Cloud 存储配置
问题: 请提供显示以下设置的 Google Cloud 存储桶配置的屏幕截图
公共访问已被阻止
存储桶访问日志记录:已启用
原因/解释: (无)
PRE.4.20 数据传输机制(安全问题)- 安全数据存储:Google Cloud IAM 角色的使用
问题: 亚马逊要求贵组织将 GCP IAM 或其他基于角色的访问控制用于需要访问 Google Cloud 存储桶的应用程序和 Google Cloud 服务。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PRE.4.21 数据传输机制(安全问题)- 安全数据存储:其他云存储服务的安全状况
问题: 您能否详细说明为保护存储在云端环境中的亚马逊数据而采用的数据安全控制措施?
原因/解释: (无)
PRE.6 事件管理联络人 (POC)
问题: 亚马逊要求贵组织提供事件管理联系人(姓名、电子邮件和电话号码),以便在亚马逊发现任何事件、事故或数据泄漏时,Amazon Business 团队能与其联系。请在此处提供贵组织的联系人信息:
原因/解释: 请提供当出现潜在安全事件时亚马逊可以联系的个人。
1. 信息安全管理 (ISG)
ISG.1 信息安全策略
问题: 亚马逊要求贵组织每年审查并记录针对以下主题的信息安全策略、标准和程序(如适用):
信息安全风险管理
信息分类和处理
移动设备策略
软件和硬件资产清单(物理和虚拟)管理
威胁和漏洞管理
特权帐户管理
系统强化与基准
系统日志记录/监控
防病毒和恶意防护软件控制
补丁管理
安全软件开发生命周期 (SDLC)
加密
物理安全策略
访问管理策略(物理和逻辑)
限制使用未经授权的软件
远程访问控制
业务连续性和灾难恢复
入侵检测/保护
人力资源安全
信息安全事件响应
第三方风险管理
隐私策略(如何处理和保护 PII 数据)
可接受使用政策
可移动介质策略
变更管理
数据保留/处置
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
ISG.1.1 信息安全策略(附件)
问题: 请在此处提供信息安全策略。(结合ISG.1 问题)
原因/解释: 请提供贵组织政策、标准和程序的实际文件或截图。该文件应提供足够的详细信息,以表明存在适用的子流程并已记录在案(例如,威胁和漏洞管理策略)。
2. 人员安全 (PER)
PER.1 安全意识和培训
问题: 亚马逊要求贵组织规定对所有将向亚马逊提供服务或访问亚马逊数据的员工和承包商进行年度安全培训,并按规定执行。
必须在入职之初和之后每年进行一次培训。
该培训必须涵盖如何适当保护和处理 PII 数据、参考有关安全工作场所要求的策略、社会工程及如何报告潜在安全事件。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
PER.1.1 安全培训合规(附件)
问题: 请提供相关证明资料,以显示向员工和承包商提供的安全培训内容。(结合PER.1 问题)
原因/解释: 请提供贵组织已部署培训的实际培训模块或屏幕截图。该文件应包括所涵盖的主题,例如目录。
3. 资产管理 (AM)
AM.1 资产清单
问题: 亚马逊要求贵组织:
维护当前用于存储、访问或处理亚马逊信息的硬件和软件资产(例如最终用户设备,包括便携式设备和移动设备;网络设备;服务器、操作系统和应用程序)清单。
必须对这些系统提供支持,而且不得将其视为生命周期终止。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
SP-API C.16.P
问题: 亚马逊要求贵组织实施数据丢失防护 (DLP) 措施,以帮助监控和检测未经授权的数据移动。
原因/解释: (无)
4. 供应链风险管理 (SCRM)
SCRM.1 数据分包商
问题: 亚马逊要求贵组织:
在供应商或分包商加入之前,对他们执行第三方风险评估,然后他们才有权访问处理亚马逊数据的系统
定期培训。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
贵组织的第三方安全审查应涵盖处理、传输、存储或影响亚马逊数据安全的任何第三方。示例:SIEM、外包 IT 安全、第三方存储。
5. 访问控制 (AC)
AC.1 访问控制
问题: 对于身份和访问管理,亚马逊要求贵组织:
根据最小权限(必要)原则限制物理和逻辑访问
远程访问或访问云端环境(如适用)需要强大的多重身份验证 (MFA)
内部网络需要强大的 MFA 才能进行任何特权访问(例如管理员、防火墙等),还需要记录和监控访问尝试
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
强大的 MFA 被视为是使用 FIDO 或 U2F 的硬件令牌身份验证
SP-API C.1.P
问题: 亚马逊要求贵组织:
制定正式的用户访问注册流程,确保为每个人分配唯一的 ID,从而为所有用户类型和服务分配访问权限。
至少每季度审查和删除不活动/休眠帐户。
在 24 小时内禁用/删除已离职员工的访问权限。
原因/解释: (无)
AC.1.1 多重身份验证(附件)
问题: 请提供相关证明资料,以支持为访问/存储/处理亚马逊数据的适用环境实施 MFA:(结合AC.1 问题)
远程访问
特权访问
访问云端环境(如适用)
原因/解释: (无)
请提供网络或系统配置的屏幕截图,以验证是否已启用和需要多重身份验证。
AC.1.2 多重身份验证(附件)
问题: 请提供相关证明资料,说明为访问/存储/处理亚马逊数据的适用环境实施了哪种类型的 MFA:(结合AC.1 问题)
远程访问
特权访问
访问云端环境(如适用)
原因/解释: (无)
请提供屏幕截图或用户指南,说明贵组织部署了哪种类型的 MFA。
AC.2 密码管理控制
问题: 亚马逊要求贵组织对访问亚马逊数据的任何设备/帐户强制实施以下密码相关要求:
密码复杂性,例如大写、小写、数字字符(0 到 9)、非字母可打印字符、最小字符长度为 8 个字符
限制重复使用以前用过的密码(必须禁止使用最近 10 次用过的密码)
禁止共享密码
密码以安全方式存储,以防止轻易泄露(例如,加密/哈希处理)
在系统投入生产运行之前,已删除/禁用/更改供应商默认密码
绝不能将密码嵌入到任何人可以发现的代码、配置文件、批处理文件、脚本或任何其他机制中
用户帐户在尝试登录 10 次或更少次失败后被锁定
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
SP-API C.6.P
问题: 亚马逊要求贵组织:
密码至少包含 12 个字符。
密码每年自动轮换。
原因/解释: (无)
6. 数据安全 (DS)
DS.1 传输中的数据加密
问题: 亚马逊要求贵组织使用高度加密(例如 TLS 1.2 或更高版本)对通过以下方式传输的所有亚马逊数据进行加密:
内部网络
外部网络
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
DS.2 传输中的数据加密类型
问题: 请检查用于加密传输中的亚马逊数据的方法:
使用 TLS1.2 的 HTTPS
IPSec
SSH-2
TLS(TLS 1.2 或更高版本)
TLS1.1 或更低版本
以上都不是
原因/解释: (无)
DS.2.1 传输中的数据加密(证据)
问题: 请提供所有适用的配置屏幕截图,显示在向亚马逊提供服务的所有系统的内部和外部网络上都启用了加密。(结合DS.1和DS.2 问题)
原因/解释: (无)
请提供显示传输中加密已启用的配置或类似设置的屏幕截图。本文档还应说明加密类型和强度(如适用)。
DS.3 静态数据加密
问题: 亚马逊要求贵组织使用强加密(例如 AES 256)对所有亚马逊静态数据进行加密,以防止未经授权的数据泄露。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
亚马逊数据是指从亚马逊收到或代表亚马逊收集的,与您将向亚马逊提供的服务相关的任何数据。
DS.4 静态数据加密(算法)
问题: 请勾选所有适用项:
RSA 2048 位或更高
AES 128 - GCM
AES 128 - CBC
AES 256 - GCM
AES 256 - CBC
其他
原因/解释: (无)
DS.4.1 静态数据加密(其他)
问题: 由于您在上方选择了“其他”作为回复(在DS.4问题中),请提供更多信息。
原因/解释: (无)
DS.4.2 静态数据加密的配置(附件)
问题: 请提供显示系统和数据库的算法及密钥长度(或亚马逊数据的存储位置)的配置设置。(结合DS.3和DS.4 问题)
原因/解释: (无)
请提供显示静态加密已启用的配置或类似设置的屏幕截图。本文档还应说明加密类型和强度(如适用)。
DS.5 密钥管理系统 (KMS)
问题: 对于加密密钥管理系统,亚马逊要求贵组织制定并遵守以下策略:
安全地生成和存储密钥
撤销和更换密钥
为最大限度地减少密钥泄漏的持续时间和范围而设立的密钥生命周期、到期日或有效期(加密周期)
防止未经授权的使用、披露、替换、修改和销毁密钥
依据已知的密钥泄漏策略,在 48 小时内更换泄漏的密钥
密钥的访问控制权限与受该密钥保护的数据的访问控制权限相互分开
所有密钥管理活动都要持续记录和审计
知识拆分和双重控制
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
DS.6 数据删除
问题: 亚马逊要求贵组织强制执行数据删除流程/程序,以便将亚马逊的数据存储量保持在本项目规定的最低要求。
您是否满足该项要求,您存储或将要存储亚马逊数据多长时间?
我的公司不符合此要求
我的公司符合此要求,存储时间不到 18 个月
我的公司符合此要求,存储时间超过 18 个月
我的公司符合此要求,亚马逊发出通知后会执行数据删除流程/程序
原因/解释: (无)
DS.6.1 数据删除
问题: 请提供表明数据在满足数据删除要求时已被删除的配置设置或流程/程序。(结合DS.6 问题)
原因/解释: (无)
请提供配置设置(自动流程)或程序文档(手动流程)的屏幕截图,当亚马逊数据不再符合保留要求时,通过这些流程安全删除数据。
SP-API C.26.P
问题: 如果亚马逊发出通知,要求在亚马逊提出要求后 30 天内删除信息,则贵组织必须依照通知内容永久性且以安全方式删除该等信息,除非依照法律、税务或监管要求必须保留相关数据。
原因/解释: (无)
7. 端点安全 (ES)
ES.1 通过移动设备访问亚马逊数据
问题: 贵组织是否制定了技术控制措施以禁止个人/移动设备(例如手机、平板电脑、自带设备 (BYOD))访问您的公司网络和亚马逊数据?
原因/解释: (无)
ES.1.1 移动设备管理
问题: 亚马逊要求贵组织制定并遵循移动设备管理计划,该计划包括:
所有移动设备都集中管理(例如,使用移动设备管理 - MDM),以防止最终用户未经授权升级权限、替代安全控制措施或安装未经授权的应用程序
根据行业最佳实践加密存储在移动设备上的数据
移动设备访问公司或客户数据(包括亚马逊数据)时需要安全传输数据(例如 VPN)
防止未安装补丁的移动设备访问数据
移动设备需要安装恶意防护软件。
移动设备在处于非活动状态后强制自动锁定,而且解锁需要密码
远程擦除功能
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
ES.2 在最终用户设备上访问亚马逊数据
问题: 亚马逊要求贵组织实施以下控制措施,以保护端点设备或最终用户工作站:
禁止在最终用户工作站/端点设备及使用企业/中央设备管理软件(例如 Jamf)或 Windows 域组策略设置访问/存储亚马逊数据的生产系统上使用 USB 存储设备/CD 驱动器
使用 Bitlocker 等解决方案对端点设备或最终用户工作站进行端到端/全盘加密。
默认情况下,端点设备/最终用户工作站的本地管理员权限处于禁用状态,仅在例外情况或需要时才授予此权限并定期监控
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
ES.3 恶意防护软件保护
问题: 亚马逊要求贵组织:
部署具有最新签名的适用的防病毒和恶意防护软件
在存储、访问或处理亚马逊信息的系统中检测/隔离恶意代码执行情况。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
ES.3.1 恶意防护软件保护
问题: 请提供所有适用的防病毒/恶意防护软件屏幕截图,以显示已部署和更新防病毒/恶意防护软件,并且在收到检测结果时已隔离设备。(结合ES.3 问题)
原因/解释: (无)
请提供显示正在监控/维护设备运行状况的屏幕截图,因为这与您的防病毒/恶意防护软件解决方案相关。例如,集中管理控制台的屏幕截图,其显示了有关控制和版本/签名更新的整体健康状况。
8. 网络安全 (NS)
NS.1 网络架构图(附件)
问题: 请提供贵组织的最新网络图,其中包括已部署的安全控制措施(例如防火墙)。
原因/解释: 需要显示详细信息的精确网络架构图,包括防火墙、IDS/IPS、WAF、加密标准、端点终止和启动点、用户访问权限、任何涉及的分包商等安全措施...
9. 安全系统开发、购置和维护 (SSDM)
SSDM.1 安全开发
问题: 在“初步行动”部分中,您表示贵组织将开发的软件/应用程序(内部或面向客户)作为服务产品提供给亚马逊。亚马逊要求贵组织部署满足以下条件的软件开发生命周期 (SDLC) 方法:
遵守安全的应用程序/API 设计和行业标准(例如 OWASP),确保系统采用安全设计
实施了相应的技术控制措施来确保生产数据永远不会在下游环境中使用
在生产版本发布之前执行源代码分析(手动和自动),以检测代码中的安全缺陷
在进行任何源代码更改或发布到生产环境之前完成了代码扫描
在将变更部署到生产环境之前修复漏洞
已采取安全控制措施来禁止下载用户数据(如适用)
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
SSDM.2 生产版本发布之前的代码扫描
问题: 对您的应用程序源代码运行以下哪些扫描:
静态扫描(源代码扫描,包括自动和手动检查源代码/二进制文件)
动态扫描(扫描网络接口、API、端点,以发现网络漏洞)
开源软件扫描(例如开源库)
以上都不是
原因/解释: (无)
SSDM.2.1 代码扫描报告(附件)
问题: 请提供最新的扫描报告,该报告涵盖了在生产环境中运行的最后一次扫描的 SAST、DAST、开源代码扫描,以及相关的范围、时间表和已识别的漏洞及其补救措施。(结合 SSDM.2 问题)
原因/解释: (无)
请提供由贵组织开发并包含在亚马逊参与项目内的系统/应用程序的最新代码扫描报告或执行摘要。请提供详细信息,例如所使用的扫描类型、扫描的系统及扫描结果。
SSDM.3 渗透测试 (软件开发)
问题: 亚马逊要求贵组织每年或在以下环境发生重大变更后进行渗透测试(如适用):
网络应用程序(包括微服务)
内部开发的软件/应用程序
托管软件(SaaS、PaaS、IaaS)
亚马逊还要求在 5 天内修复任何关键风险影响漏洞,在 30 天内修复高风险影响漏洞。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
渗透测试证据应包括有关最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要的详细信息。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。亚马逊需要一种向渗透测试人员提供部分或全部环境详细信息和/或凭证的技术。我们通常称之为灰盒测试和白盒测试。
SSDM.3.1 渗透测试报告(附件)
问题: 请提供涉及本项目的适用软件/应用程序(内部或面向客户)/网站/门户网站的最新渗透测试报告。(结合SSDM.3 问题)
原因/解释: (无)
请提供最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。亚马逊需要一种向渗透测试人员提供部分或全部环境详细信息和/或凭证的技术。我们通常称之为灰盒测试和白盒测试。
10. 漏洞管理 (VM)
VM.1 漏洞管理
问题: 亚马逊要求贵组织:
每月对内部和外部生产环境(包括存储或处理亚马逊数据的系统)进行漏洞扫描测试。
在 5 天内修复任何重大风险影响漏洞,
在 30 天内修复任何高风险影响漏洞。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
VM.1.1 漏洞扫描(附件)
问题: 请提供涵盖亚马逊参与范围内的系统的最新外部和内部漏洞扫描报告。(结合VM.1 问题)
原因/解释: (无)
请提供您最新的漏洞扫描报告。请提供详细信息,例如漏洞扫描日期、扫描的系统及扫描结果。
VM.2 渗透测试 (网络安全)
问题: 亚马逊要求贵组织每年或在以下环境发生重大变更后进行渗透测试(如适用):
网络渗透测试
其他网络,例如云服务
亚马逊还要求在 5 天内修复任何关键风险影响漏洞,在 30 天内修复高风险影响漏洞。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
渗透测试证据应包括有关最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要的详细信息。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。亚马逊需要一种向渗透测试人员提供部分或全部环境详细信息和/或凭证的技术。我们通常称之为灰盒测试和白盒测试。
VM.2.1 渗透测试(附件)
问题: 请提供最新的网络渗透测试报告。(结合VM.2 问题)
原因/解释: (无)
渗透测试证据应包括有关最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要的详细信息。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。亚马逊需要一种向渗透测试人员提供部分或全部环境详细信息和/或凭证的技术。我们通常称之为灰盒测试和白盒测试。其他注意事项:如果贵组织有多个网络涉及本项目,则您可能需要根据组织的渗透测试方法提供多次渗透测试。
11. 日志记录和监控 (LM)
LM.1 自动化监控支持
问题: 亚马逊要求贵组织部署并维护安全信息和事件管理 (SIEM) 或类似的解决方案,用于集中收集和监控来自系统(应用程序和网络)的事件日志,包括传输、处理或存储亚马逊数据的系统的事件日志。对事件日志的监控必须包括以下内容:
立即对关键活动日志进行优先排序和审查
关联和分析安全提醒,并且至少每天审查日志事件
安全事件/事故调查包括:遏制、补救/恢复、事后分析和根本原因解决,以及
报告
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
LM.1.1 自动化监控支持(附件)
问题: 请提供支持证据,例如配置设置或控制台屏幕截图,表明 SIEM 或类似解决方案已实施到位。(结合LM.1 问题)
原因/解释: (无)
请提供显示正在监控/维护您的网络和设备上所发生安全事件的屏幕截图,因为这与您的 SIEM 或类似解决方案相关。例如,集中管理控制台的屏幕截图,其显示了最新事件及其严重程度。
LM.2 安全事件日志保留
问题: 亚马逊要求贵组织为存储或处理亚马逊数据的生产系统保留至少 12 个月的访问、事件和安全审查日志(保存在主存储或存档中)。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
LM.2.1 安全事件日志保留(附件)
问题: 请提供证明访问日志、事件日志和安全日志存储了 12 个月的支持证据。(结合LM.2 问题)
原因/解释: (无)
请提供显示访问日志、事件日志和安全日志存储了 12 个月的配置的屏幕截图。这可以是显示最早文件已超过 365 天的数据库文件的屏幕截图,也可以是显示文件将在该时间段内保存的设置。
12. 信息安全事件管理 (IM)
IM.1 信息安全事件管理计划
问题: 亚马逊要求贵组织部署并遵循事故管理计划。该计划必须涵盖:
事件发现(定义了高级安全事件类别)
向亚马逊发出事件通知(如适用)
事件排名/严重程度
事件解决方案
报告(在适当时机报告,以符合当地监管要求)
总结经验教训并更新事件计划
对过去的事件进行趋势分析(如果适用)
职责明确的事件响应团队
至少每年对事件响应计划进行一次测试
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
IM.1.1 事件响应报告(附件)
问题: 请提供事件响应报告,用于证明在发现事件后会遵循事件管理工作流程(例如调查、解决方法、纠正根本原因)。(结合IM.1 问题)
原因/解释: (无)
提供经过编辑的问题审查证据并采取遏制措施应该足够了。 请提供您的事件响应报告模板或最新事件/测试的屏幕截图。
13. 云安全 (CS)
CS.1 云安全:云模式
问题: 在“初步行动”部分中,您表示贵组织将使用云服务传输、存储或处理亚马逊数据。将使用哪种类型的云服务存储亚马逊数据:
公有云
私有云
混合云
以上都不是
原因/解释: (无)
CS.2 云安全角色和职责(附件)
问题: 请提供贵组织与云服务提供商之间云安全的支持证据、角色和责任。(结合CS.1 问题)
原因/解释: (无)
请提供您和您的云服务提供商之间在您所获得的服务类型(如基础设施即服务)方面的角色和责任。这通常由云服务提供商在其网站或贵组织与该提供商签订的合同协议中提供。
CS.3 监控云配置
问题: 亚马逊要求贵组织:
根据预定义的配置基准(CIS 基准、AWS 基础安全基准等)持续监控亚马逊参与范围内的资产的云配置
根据配置偏差提醒执行降低风险的相关操作。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
CS.3.1 监控云配置(附件)
问题: 请提供所有适用的屏幕截图(启用云配置监控工具,例如 AWS Config 或 Amazon Security Hub、Rapid7 Divycloud、ScoutSuite 扫描等 CSPM 工具),表明持续的云配置监控正在运行。(结合CS.3 问题)
原因/解释: (无)
CS.4 渗透测试 (云安全)
问题: 亚马逊要求贵组织每年或在以下环境发生重大变更后进行渗透测试(如适用):
其他网络,例如云服务
亚马逊还要求在 5 天内修复任何关键风险影响漏洞,在 30 天内修复高风险影响漏洞。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
渗透测试证据应包括有关最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要的详细信息。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。亚马逊需要一种向渗透测试人员提供部分或全部环境详细信息和/或凭证的技术。我们通常称之为灰盒测试和白盒测试。
CS.4.1 渗透测试(附件)
问题: 请提供涵盖亚马逊所参与网络的最新云网络渗透测试报告。(结合CS.4 问题)
原因/解释: (无)
渗透测试证据应包括有关最新的适用软件/应用程序(内部或面向客户)/网站/门户网站渗透测试报告或执行摘要的详细信息。请提供渗透测试日期、测试了哪些系统及渗透测试结果等详细信息。亚马逊需要一种向渗透测试人员提供部分或全部环境详细信息和/或凭证的技术。我们通常称之为灰盒测试和白盒测试。
14. 托管软件(SaaS、PaaS、IaaS)
TPHS.1 门户网站的使用和 SSO 要求
问题: 在“初步行动”部分中,您指出贵组织提供了一个将使用亚马逊登录功能的门户网站。您是否支持通过单点登录 (SSO) 进行身份验证并支持客户提供的 SSO?
原因/解释: (无)
请与 Amazon Business 团队合作以完成与亚马逊 SSO 的整合。
TPHS.2 门户网站登录
问题: 在“初步行动”部分中,您表示贵组织提供了一个共同客户/亚马逊客户或第三方可登录的门户网站。亚马逊要求贵组织制定并维护控制措施,以检测或防止未经授权的自动或手动帐户登录尝试。其中包括:
多重身份验证
帐户在 5 次无效尝试后被锁定(无时间限制)
速率限制(例如:每小时仅限 3 次无效尝试)
登录标准或风险评级(例如尝试登录的位置、尝试登录的频率、从一台设备上尝试登录多个帐户)。
您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
请提供详细信息,说明贵组织如何检测和防止未经授权登录本项目范围内的门户网站的尝试。未经授权的登录尝试示例包括尝试自动登录多个帐户(快速)或在一段时间内尝试手动登录多个或单个帐户(慢速)。
TPHS.3 Web 应用程序防火墙 (WAF)
问题: 亚马逊要求贵组织部署并维护网络应用程序防火墙 (WAF) 或类似功能(例如筛选、监控和阻止任何传送到网络应用程序的恶意 HTTP/S 流量,并防止任何未经授权的数据离开应用程序)。您是否满足该项要求?今后您能否继续满足该项要求?
原因/解释: (无)
TPHS.3.1 Web 应用程序防火墙 (WAF)
问题: 提供屏幕截图或配置,表明已为本项目范围内的系统部署了 WAF 或类似功能(如适用)。(结合TPHS.3 问题)
原因/解释: (无)
请提供贵组织部署的 WAF 解决方案或配置设置的屏幕截图。该文档应包括验证本项目中包含的系统是否受 WAF 或类似解决方案保护的详细信息(如适用)。
SP-API (其他)
C.34
问题: 贵组织是否会在明年内开展任何将或可能改变组织内部控制环境的重大 IT 或信息安全项目?
原因/解释: (无)
C.2
问题:
贵组织是否定义了访问权限审查流程,并定期调整访问权限(每季度 - 针对所有员工帐户)?
要求为上述程序提供证据并进行验证。
原因/解释: (无)
C.37
问题: 贵组织是否监控暗网以防泄漏客户数据?
原因/解释: (无)
C.24.R
问题: 亚马逊要求贵组织:
维护单独的测试和生产环境,以便在将更改部署到生产环境之前先在下游环境中进行测试
以安全方式存储包括密钥、密码在内的凭据,并且不在源代码中进行硬编码
原因/解释: (无)
C.27
问题: 当包含亚马逊敏感数据的物理和电子介质被视为不再使用且记录保留期限结束时,贵组织是否制定有处置/销毁这些介质的流程(粉碎、擦除、消磁和物理销毁)?如果使用第三方,在数据销毁后,他们是否会提供 COD(销毁证书)?请说明原因。
原因/解释: (无)
P.1
问题: 贵组织的雇佣合同是否包含有关如何让访问、处理和存储个人数据的人员维护此类数据的机密性、完整性和可用性的规范?
原因/解释: (无)
P.2
问题:
贵组织是否将个人数据传输到注册国家/地区以外?如果是,请确认已制定必要的合同条款和控制措施,以使此类传输合法化并获得保护。
在向另一个国家/地区传输信息时,您是否制定了确保遵守跨境传输数据法的流程?
原因/解释: (无)
P.3
问题: 贵组织是否已向数据保护机构注册?如果已注册,请提供参考号
原因/解释: (无)
P.13
问题: 该组织是否具备以下条件?
i) 根据要求更正个人数据的技术能力
ii) 协助控制者处理数据主体访问请求的流程
iii) 协助控制者根据要求向数据主体提供个人数据副本的技术能力
原因/解释: (无)
D.1
问题: 贵组织是否:
i)进行调查,以了解是否允许任何第三方访问亚马逊数据,如果允许,则授予适当的访问权限
ii)向每个第三方提供亚马逊数据?通过 API、集成或其他方法?第三方是否使用其 API 或其他第三方 API 来提供此类数据?
iii)在您与第三方共享的亚马逊数据中,是否有订单记录或任何其他 PII 数据?
iv)进行调查,以了解该开发者如何使用 SP API 资料,以及是否已授权任何其他方使用 SP API 资料
v)进行调查,以了解开发者是否对第三方的数据安全措施和政策进行尽职调查,并确定数据安全标准是否至少与开发者自己的政策一样严格。
原因/解释: (无)
D.4
问题:
i)进行调查,以了解哪些部门和/或个人有权访问亚马逊数据,以及将其用于哪些用途。
ii)进行调查,以了解与开发者共享的亚马逊数据的相关流程/控制措施
iii)有权访问卖家数据的用户列表
原因/解释: (无)
D.5
问题: 贵组织是否使用通过 SP API 检索的数据来发现有关亚马逊业务的见解?如果是,开发者是否将这些见解发布到他们的用户群?还会(通过公共时事通讯、博客等)发布到用户群之外的其他地方吗?
原因/解释: (无)
D.6
问题:
i)进行调查,以了解开发者是否使用亚马逊数据通过社交媒体或其他形式定位卖家。
ii)进行调查,以了解用于定位卖家的亚马逊数据是否包含 PII
iii)进行调查,以了解使用哪些媒介(如 Facebook 广告、Twitter 广告、直接促销电子邮件等)来定位卖家。
iv)进行调查,以了解开发者是否使用亚马逊数据通过任何媒介向较大的卖家群体提供任何市场分析。
原因/解释: (无)
D.7
问题:
i)除了 SP API,贵组织是否从其他来源(其他公司、合作伙伴、公共来源、网络抓取等)接收亚马逊数据?贵组织从这些来源获得什么数据(包括 PII 和非 PII)?开发者使用哪些机制来接收这些数据?
ii)贵组织是否从卖家配送 API、亚马逊货运服务 API 和 Amazon Business API 接收数据?
iii)贵组织是否为卖家提供将数据导入其系统的 API?与从销售伙伴检索的数据相比,如何存储和使用这些数据?卖家传输的数据是否包含 PII?
原因/解释: (无)
D.8
问题:
i)贵组织有附属公司吗?附属公司是否共有基础设施、员工或任何其他资源?
ii)贵组织的附属实体是否参与提供应用程序或服务?
iii)关联公司是否可以通过数据共享机制或业务报告访问来自 MWS 或该开发者的亚马逊数据?
原因/解释: (无)
D.9
问题:
i)贵组织提供的功能/服务与向卖家推广的功能/服务是否相同? 开发者是否将从 SP API 收到的数据用于未告知卖家的目的?
ii)贵组织是否出于应用程序/功能正常运行以外的目的调用 SP API?
iii)贵组织是否将 PII 用于配送或税务以外的目的?
iv)如有任何组织变更或事件改变开发者对信息的需求或使用方式,贵组织是否会在 30 天内通知亚马逊?
v)贵组织是否支持使用买家与卖家消息服务发送买家与卖家消息?
原因/解释: (无)
D.11
问题: 贵组织是否可访问作为应用程序或服务产品一部分提供的卖家平台?如果是,开发者如何管理与卖家平台相关的访问权限?
原因/解释: (无)
D.12
问题: 贵组织是否参与任何刷单活动或提供任何使卖家能够进行商品侵权的服务?
原因/解释: (无)
D.13
问题:
i)获取开发者客户名单。
ii)开发者的各种收入来源有哪些?开发者如何在不同部门之间分配收入?
iii)对客户合同和/或发票进行有限的抽样测试,以评估对亚马逊数据的使用是否符合策略和允许的用例。
原因/解释: (无)