Amazon SP-API 开发者审计
作为Amazon开发者审计的一部分,亚马逊会对使用其API的开发者进行严格的审核和评估。 这个过程旨在确保开发者遵守亚马逊的各项政策和安全要求,特别是在处理个人身份信息(PII)和其他敏感数据时。
一下模板是2024年上半年之前一直存在的审计流程和模板,现在升级版本切换到了亚马逊官方自己的审计问答系统:https://assessments.security.amazon.dev/
下面是一些关于亚马逊开发者审计的重要信息:
合规性检查:
确保开发者遵守亚马逊的使用政策(AUP)和数据保护政策(DPP)。
开发者需要展示他们如何安全地存储、传输和处理数据,特别是PII。
安全措施:
开发者需要证明他们的数据加密方法,例如AES-256。
展示如何保护API密钥和其他敏感信息。
定期进行安全评估和漏洞扫描。
访问控制:
列出有权限访问亚马逊数据的人员或团队,包括他们的角色和职责。
描述如何管理和审核用户访问权限。
数据处理和存储:
详细说明数据的存储位置和加密机制。
描述数据备份和恢复流程。
日志记录和监控:
实施和维护全面的日志记录,以便在发生安全事件时进行调查。
监控数据访问和使用情况,以检测异常活动。
收到审计通知
预约审计
确认审计日期
一,勤审计问题类型一览
控制域
常规
授权控制
异常和事件管理
资产管理
数据安全
治理
信息保护流程与程序
隐私
事件响应
风险管理策略
第三方风险评估
账户访问
数据使用
账户访问
数据使用
数据输入
数据输入
组织架构
账户访问
数据输入
二,审计问题综述
1.常规
请提供正在向亚马逊卖家提供的服务的详细信息。(服务用途,业务模式,亚马逊PII数据的用途) |
|---|
在过去的一年中,对于亚马逊系统服务的业务,贵司的组织是否有任何重大的人员、流程或技术变动? 如果有,请回答变动的细节。 |
贵司的组织明年是否会进行重大的IT或信息安全项目,从而改变生产控制环境?如果是,请仔细描述。 |
贵司产品是否满足所服务地区的相关法律法规。(服务范围内的网络安全法、个人数据保护法等) |
请选择贵司托管Amazon MWS或SP-API数据的位置(数据存储位置和备份位置,云,自建数据中心,或者其他数据存位置,请提供可用区与灾备区的位置(省、市、区)和数据库以及其版本号(mysql、oracle))。 |
贵司是否处理任何亚马逊个人数据(例如姓名、地址、电子邮件等)?如果是,请指定处理的数据类型(Json、Txt、Xml)。 |
贵司有桌面和/或云应用程序吗?(是否可以使用共享云盘,请描述办公审批软件例如:钉钉、企业微信等) |
2.授权控制
该开发商是否有定义完备的访问控制流程来为雇员分配访问权限?这些流程是否包含以下内容: 1.员工账号是由谁或部门负责配置、处理(数据访问) 2.员工账号是否唯一?是否限制用户账户的共用、系统账户和/或通用账户的使用、是否限制特权账户? 3.不活跃或休眠员工账户(90天内无账户活动)是否被定期查看、移除?如果有,定期查看的频率是多久一次? 4.离职员工的访问权限是否在离职后的24小时内移除? |
|---|
贵司授予和批准对持有、处理或传输亚马逊数据的系统的访问权限的流程是否包括以下内容(如果是,请描述具体实现措施): a.员工授权是根据业务需要实行最小特权原则; b.新的访问请求/访问权限变更请求/权限访问请求需要由被授权批准(请提供授权审批人员职位,审批流程); c.定期重新认证,确保只有在职员工有权访问。重新认证的频率是什么和由谁进行复核?(是否定期审核人员权限情况,频率如何) |
请提供以下详细信息: a.指定哪些员工或团队具有Amazon数据库的管理员访问权限(请回答具体人员姓名,职位) b.指定哪些员工或团队对亚马逊数据库进行了读写操作(请回答具体人员姓名,职位) c.是否可以申请亚马逊数据库的临时访问和只读权限? |
请按照以下序号回复以下问题: 贵司为保存、处理或传输Amazon数据的生产系统的密码设置策略: a.密码长度是多少位,以及包含大写字母,小写字母,数据和特殊字符,对每一种字符数量有最小要求,密码中是否可以包含用户姓名或用户姓名的任何部分 b.密码最短使用时间 c.密码过期时间 d.连续输错几次密码会导致账户被锁定,是如何解除账号锁定的(管理员解冻还是系统过多久自动) e.密码设置不能与前几次密码重复 f.会话空闲超时/在不活动的情况下是否会启动屏幕保护程序?如有,会话空闲超时/在不活动多久会启动该程序? g.密码是否根据常见/已知密码(如abcd1234)进行检查 贵司员工办公电脑的密码设置策略: a.密码长度是多少位,以及包含大写字母,小写字母,数据和特殊字符,对每一种字符数量有最小要求,密码中是否可以包含用户姓名或用户姓名的任何部分 b.密码最短使用时间 c.密码过期时间 d.连续输错几次密码会导致账户被锁定,是如何解除账号锁定的(管理员解冻还是系统过多久自动) e.密码设置不能与前几次密码重复 f.会话空闲超时/在不活动的情况下是否会启动屏幕保护程序?如有,会话空闲超时/在不活动多久会启动该程序? g.密码是否根据常见/已知密码(如abcd1234)进行检查 生产环境数据库和超级用户访问是否需要通过文本消息进行多因素身份验证(MFA) |
是否允许远程访问公司的内网环境(通过远程连接,VPN,虚拟工作区,web邮件)? 详细描述这个远程访问的细节。(远程访问是否有多因素身份验证(MFA)) 是否有防火墙来监控网络周边的流量? 如果是,请提供防火墙的名称。 是否会定期审查防火墙规则?如果有,审查的频率是多久一次。 是否在路由器上设置IP限制?如果有,请提供路由器名称及型号。 是如何划分网段,内网是按按职能、部门等 |
1.密钥或API密钥的访问凭证是否授予无有效业务需求的个人或第三方? 2.开发者为员工提供访问API权限的流程是怎么样的?请列出有权访问机密API密钥的团队或个人 3.API密钥是怎么加密存储的?加密密钥是否定期轮换以及轮换频率? 4.是否为了方便产品调用API权限而将API密钥编码到产品的代码中? |
3.异常和事件管理
是否有日志监控或SIEM(安全信息和事件管理)流程,包括以下内容: a.从所有相关系统收集日志。请描述哪些系统启用了日志。 b.在特定时间内保留日志。 c.允许合并多个源进行日志关联。 指定用于日志检查的工具(如果有的话,请说明工具名称以及版本号)。 出现异常或者事件的时候,是如何通知负责人(短信、邮件等),该负责人的名字与职务。 日志审核的频率是怎么样的? |
|---|
4.资产管理
开发商是否允许个人资产用于日常工作?如果是,是否有以下控制措施来管理这些设备: i) 移动设备管理(MDM)解决方案。 ii)远程擦除/锁定和设备加密等控制。 ii)对于可访问亚马逊数据的个人资产登记到资产清单上。 |
|---|
组织内部是否有硬件/软件资产的清单?如果有,是否会进行定期复核以及复核的频率。 |
信息资产是否被分配? 其所有权是否被跟踪?如果有,如何追踪? |
以下程序的资产管理生命周期的是如何做到的? a.以下程序的资产管理生命周期的是如何做到的?(员工会被分配到哪些软件资产?什么软件?用什么记录?员工会被分配到哪些硬件资产是什么?用什么记录? b.对入职和转岗的员工如何分配和收回其软件/硬件资产? c.员工在终止时收取/返还资产。(其电脑上留存的数据如何处理) 详细解释这个过程。 |
硬盘(笔记本、台式机或移动设备)是否被加密?(Bitlocker或其他硬盘加密工具) |
1.开发商是否有禁用软件黑名单(聊天工具、网盘)?是否有软件白名单提供给雇员下载其所需的软件? 2.员工是否能在没有许可的情况下自行安装软件? 3.有无技术控制员工使用文件共享的网站? |
a.详细说明处理和销毁纸张和物理介质(笔记本电脑、硬盘驱动器等)所遵循的程序? b.电脑或硬盘损坏的时候,是如何处理其中的数据? c.如果使用第三方,一旦数据销毁,他们是否提供COD(销毁证书)? |
5.数据安全
a. 是否有一个数据分类流程?具体说明现有的数据分级分类。 b. 数据分类纲要、相关的安全控制和处理程序是否基于业务影响来保护数据。如果是,请解释分类之间安全控制的不同级别和细节。 c. 亚马逊的数据(PII与非PII)分别属于哪个数据分类。 |
|---|
亚马逊的数据是否在存储/静态状态下进行了加密?如果是,请说明使用的加密算法或加密机制?(AES-256、DES) |
亚马逊数据(PII与非PII) 加密密钥由谁管理,是否定期轮换以及轮换的频率、使用自行编写的脚本还是其他工具(加密密钥是定期生成还是随机生成)。 |
亚马逊数据在传输过程中是否加密,请描述使用的加密协议或加密算法(TLS1.2、SSH)。 |
a. 员工是否有权限从生产数据库复制、移动或下载亚马逊数据到本地系统/测试/开发环境。(如果没有,请说明相关技术措施阻止) b. 是否有一个数据泄漏预防(DLP)工具,以监测和检测亚马逊数据的未经授权的数据流向?如果有,请说明此类工具或者解决方案的名称和相关细节,并且该工具是由谁负责。 |
请分别说明生产环境和备份数据库中亚马逊数据(PII和Non-PII)的存储期限和时长以及备份方式(增量和全量)?(PII和非PII是否存储在同一个表) 如果备份失败,会通知到谁? |
a.开发商是否有系统化的流程来删除个人数据如果客户要求他们的个人数据被删除?(例如客户终止续订服务,其数据如何进行留存删除) b.数据删除的流程是否被定期查验复核?如果是,查看的频率如何?由谁执行检查? |
6.治理
以下策略是否有文件形式记载并每年审查?(请说明以下文件的最近一次的审核时间以及审核频率并且说明审核人员) a. 信息安全策略 b. 访问控制策略 c. 网络安全策略 d. 资产管理策略 e. 事故管理策略 f. 加密策略 g. 变更管理策略 h. 数据销毁和保留策略 i. 数据保护策略 j. 数据分类策略 k. 事故应对计划 |
|---|
a. 请说明解释员工通过什么的流程和方式访问对公司内的信息安全/数据安全策略。 b. 这些政策是否上载/储存在公司的内网页上供员工查看? |
7.信息保护流程与程序
1.如何避免DDoS攻击 2.有线或无线的网络接入(例如NAC,WPA/WPA2). 如果公司使用无线网络,无线网络是否被加密?加密协议如WPA,WPA2。无线网络的身份认证方式是什么?PSK还是RADIUS? 3.是否由访客网络?如有,访客网络是否与内网分离? 4.内部网络通信是否使用SSH和FTP服务器? |
|---|
生产上的服务器或者员工的工作设备在使用前是否采取了安全措施,以强化设备的安全状况。(请描述所采取的安全措施) |
请描述以下有关补丁管理过程的内容。详细描述以下内容: a. 分别描述员工系统和生产环境或云系统的补丁管理过程。 b. 异常补丁的处置流程。 c. 补丁是否定期更新,补丁更新是否有相应的记录? d. 由谁负责检查补丁的更新以及检查的频率 |
组织是否为所有应用程序、系统和基础设施制定了漏洞管理的相关程序?(如有,请提供漏洞管理工具和版本号)。 a. 是否进行过渗透测试。 b. 请具体说明最近一次漏洞扫描和渗透测试的时间,漏洞扫描的频率。 |
是否制定了从发现到修复的漏洞跟踪流程?请提供已识别漏洞的标准修复时间线。 例如:对于不同级别的漏洞,修复的时间线是怎么样的? a.严重/关键漏洞在多长时间内要修复 b.高危漏洞多长时间? c.中危漏洞多长时间? d.低危漏洞多长时间? 漏洞修复后,是否会再次复核?由谁复核? |
软件开发生命周期(SDLC)过程是否考虑到了安全问题?请详细描述SDLC中所采取的相关安全工作。 1. 开发、测试和生产环境是否分离?如果分离,开发、测试和生产环境分别部署在什么地方(云、服务器)? 开发完成后是否进行代码测试?代码测试是否包含静态测试,例如代码review,是否包含动态测试?例如白盒测试?代码测试由什么团队执行?是否进行功能测试?功能测试由什么团队执行?是否有任何登录凭证被编码到程序中? - 是否执行静态/动态的代码测试 - 开发者是否使用任何代码库(例如:GitHub,GitLab等) - 是否有任何代码库公开 2.请描述生产环境中的变更(升级更新)管理的流程和变更是如何被追踪的?例如,版本管理工具是否能够追踪版本变更流程? 3.开发商是否会将登录凭证保存在代码里面? |
请说明以下的工具名称。 a. 员工系统和生产环境的服务器上的反病毒和/或反恶意软件。 b. 是否使用网络入侵检测/预防系统(NIDS/NIPS)以保护网络。 |
8.隐私
是否有一个可公开获取的隐私通知,以告知公司对消费者的个人信息处理?(请提供贵司隐私申明官网链接) |
|---|
是否维持包含对处理个人数据者的保密承诺的雇佣合同? |
请提供以下人员的姓名、职务和联系方式(电话、邮箱)。 a. 负责数据保护的人员。 b. 负责信息安全的人员。 |
a. 在入职期间和定期为员工提供的必要性培训有哪些? b. 培训是否包括对数据保护和IT安全的认识? c. 是否核实所有员工都成功完成培训? d. 安全意识培训是否定期执行?如果是,此类培训的频率如何? |
a. 是否有协助控制者(亚马逊)处理数据主体访问请求的程序? b. 是否可以协助控制者(亚马逊)应要求向数据主体提供个人数据副本? |
9.事件响应
是否有一个包括以下内容的事故管理。 a. 具有明确角色和责任的安全事件响应小组 b. 当发生影响亚马逊或敏感数据的事件时,触发对亚马逊的通知的程序? c. 维护事件记录文件(问题、结果和补救措施)。 d. 这些事件记录文件是否被用于未来的问题解决和流程改进措施? |
|---|
是否利用其他备用站点来存储亚马逊数据,以便在发生物理或技术事故时恢复可用性。是否有测试业务连续性计划的方案。 |
10.风险管理策略
贵司是否有一个结合了威胁、脆弱性、可能性和影响以确定风险的风险管理过程? |
|---|
风险评估是否至少每年进行一次? |
在风险管理过程中是否考虑了资产、控制、威胁、脆弱性或影响的变化? |
11.第三方风险评估
a. 是否有一个第三方软件或系统(例如云系统,办公系统等)风险管理计划?详细解释一下第三方软件或系统管理的细节信息。 |
12.账户访问
a. 请提供与贵公司共享/或接收亚马逊数据(包括PII和Non-PII)的第三方名单,说明与分别与第三方都分享什么类型的数据,做分享的数据被用在什么场景? |
13.数据使用
a. 贵司是否从亚马逊收集PII |
14.账户访问
是否有非生产的其他环境的数据库(开发,测试,灰度) |
15.数据使用
请列出用于宣传和推销贵司所提供的产品/服务的渠道。(是否使用亚马逊所提供的数据进行营销) |
16.数据输入
请说明公司通过哪些渠道接收亚马逊的数据,如MWS/SP API、第三方开发者、销售伙伴上传的数据、应用程序访问的卖家中心? |
17.数据输入
是否有让客户(卖家)上传或手动输入数据给到应用的渠道? |
18.组织架构
是否有任何关联公司(如母公司、姐妹公司、子公司、合资公司、出资人等)? |
19.账户访问
应用和服务是否包括客户(亚马逊销售伙伴)的卖方的亚马逊中心账户 |
20.数据输入
请列出应用程序所接收数据调用的全部亚马逊API。(API名称,类型,是否包含PII,获取频次) |
三,解决方案
以上问题需要涉及研发和运维联合作答,部分需要提供证据说明,作答请认真。
为啥会收到德勤审计
我们为什么要进行评估?
➢ 根据多方面的因素选中待审核的开发者,具体因素包括数据访问类型,以及与该数据访问相关的潜在风险等。这些审核旨在根据现行亚 马逊数据和隐私政策和亚马逊审计框架更新,验证开发者当前在敏感数据的处理与保护方面的运营效率。
2. 谁需要参与评估通话?
➢ 请安排具备相应的知识和能力,可为“关键评估领域”部分中提及的所有主题提供支持和回应的成员参与通话。
3. 如果我们存在差距,但目前并无投诉,会怎样?
➢ 评估旨在找出潜在差距,帮您填补这些差距。如果您目前不合规,我们会要求您与内部团队和亚马逊团队开展合作,在规定时间范围 内填补差距。在此期间,您必须迅速回应问题或讨论,从而帮您填补差距。
4. 我会再次接受审核吗?
➢ 亚马逊会定期更新安全性框架,并根据各种因素启动重新审核,例如我们的政策以及审核框架的更新。因此,我们可能会为了确保您 符合更新版框架而启动重新审核。
5. 参与这项评估时,我们要花多少钱?
➢ 评估是免费的,将由德勤负责处理