文档中心 > 御城河

安全分(原数据安全认证)

更新时间:2021/01/27 访问次数:10688

 

为了保障平台内消费者、商家等用户群体的信息安全,提升平台内数据应用安全水位,阿里数据安全联合淘宝开放平台、淘宝服务市场,针对开发者从淘宝开放平台与聚石塔获取订单R2相关隐私数据(包括收货人、联系方式、收货地址等用户信息)的应用推出安全分(以下简称 “安全分”)。

 

一、术语定义

1、获得R2权限的应用:指开发者从淘宝开放平台与聚石塔获取订单R2相关隐私数据(包括收货人、联系方式、收货地址等用户信息)的所有应用。

2二次验证:在用户注册或登录后进行一些重要或敏感业务操作时,通过除密码之外的如验证码、手机短信、安全问题、数字证书等对用户进行第二次校验的方式。

3安全事件:特指电子商务安全事件,不仅包括网络上攻击或入侵行为造成的安全事件,也包括电子商务业务应用中出现的欺诈、盗号、违禁等恶意行为。

4、敏感数据:特指买家(消费者)的姓名、电话号码及电子邮箱等敏感数据。

 

二、评分介绍

安全分基于应用安全能力、安全风险、安全响应时效等维度综合评估产出,评分从0分到5分,最低分0分,最高分5分,分值在御城河、开放平台控制台安全中心等页面透出,同时分值将与应用在开放平台、服务市场的权益相关联。

 

三、评分规则

1、安全分覆盖应用范围:获得R2权限的应用,包括但不限于订单管理、千牛插件、服务商后台系统、客户关系管理、ERP软件、促销管理、进销存软件、分销应用、在线订购应用等类目;

2、安全分由安全能力、安全风险、安全响应三部分构成,各部分评分采用扣分制,最终得分不足0分,按0分计算,满分5分;

3、安全分T+1天更新;

4、具体评分规则:

分类

评分类别

评分项

评分方式

安全能力

御城河

孔明锁

是否对接孔明锁,且成功调用

订单日志

是否接入御城河订单日志,且无字段问题

登录日志

是否对接御城河账号风控(自有账号),且成功调用

能力建设

数据层能力

数据获取、存储、传输和使用等环节有相应的数据保护能力

应用层能力

接入应用防护(WAF)并开启防护

账号防护系统,需开启二次验证功能

是否有定期的渗透测试

系统层能力

具备攻击检测及防御能力

网络层能力

开启安全日志分析及审计

具备拒绝服务攻击和聚石塔云资源配置检查的能力

其他

上述要求外的其他安全能力,详细见御城河

安全风险

安全漏洞

漏洞整改

是否有安全漏洞

异常告警

风险预警

御城河是否有异常行为告警

安全处罚

安全处罚

是否存在安全违规处罚

安全响应

时效性

风险处理

安全整改/风险处理及时性

处理超时

安全整改/风险处理及时性

重复退回

安全整改是否重复打回整改情况

加分项

安全活动加分

积极筹办、参与沙龙和SAEE大会等,并在会议中分享议题

主动分享、上报服务市场ISV、应用相关风险/事件等,并经过确认为有效的情报

积极参加平台安全培训且通过相关考核

特殊减分项

安全事件

出现信息泄露事件,基于案件量级和处理及时性对总分进行扣分

 

四、权益关联
平台会根据安全分提供相关权益,以下权益策略从2021年4月1开始试运行:

1、权益发放规则:平台将在每月15号根据最近一次评分提供相关权益

2、权益发放维度:应用对应的开发者账号

3、权益细项:

(1)开放平台技术服务费折扣:对于已享受15%安全性优惠的开发者,按照规定应用安全评分需要达到4.5分以上才可以继续享受优惠。具体优惠策略:

1)4.5分以上:15%优惠

2)4.0至4.5分:10%优惠

3)4.0分以下:无

(2)应用流量提升:平台对不同安全分数范围的应用划分了不同的流量申请上限。应用现在已经获得流量不会变化,后续新的流量申请将按照以下规则执行。

1)4.5分以上:应用可申请1亿及以上流量

2)4.0至4.5分:应用最高可申请5000万流量

3)3.5至4.0分:应用最高可申请3000万流量

4)3.0至3.5分:应用最高可申请1000万流量

5)3.0分以下:应用最高可申请500万流量

(3)API申请:安全分达到4.0分及以上才可申请API及权限包。

(4)更多的商业机会:安全分达到4.5分及以上可享受更多的商业机会,商业机会会通过开发者社区公示。

(5)更多的新能力优先开放:安全分达到4.5分及以上可享受新能力优先开放使用的权益。

(6)服务市场淘拍档以及安全联盟大会奖项评定与颁发:安全分达到4.5分及以上可享受评选推荐。

(7)红黑榜公示:平台会在每月15号通过开发者社区公示安全红黑榜排名。

(8)安全分激励:平台会针对安全分开展活动,针对应用安全评分排名较高的开发者给予奖励,活动会通过开发者社区公示。

 

FAQ

关于此文档暂时还没有FAQ
返回
顶部