为了保障平台内消费者、商家等用户群体的信息安全,提升平台内数据应用安全水位,阿里数据安全联合淘宝开放平台、淘宝服务市场,针对开发者从淘宝开放平台与聚石塔获取订单R2相关隐私数据(包括收货人、联系方式、收货地址等用户信息)的应用推出安全分(以下简称 “安全分”)。
一、术语定义
1、获得R2权限的应用:指开发者从淘宝开放平台与聚石塔获取订单R2相关隐私数据(包括收货人、联系方式、收货地址等用户信息)的所有应用。
2、二次验证:在用户注册或登录后进行一些重要或敏感业务操作时,通过除密码之外的如验证码、手机短信、安全问题、数字证书等对用户进行第二次校验的方式。
3、安全事件:特指电子商务安全事件,不仅包括网络上攻击或入侵行为造成的安全事件,也包括电子商务业务应用中出现的欺诈、盗号、违禁等恶意行为。
4、敏感数据:特指买家(消费者)的姓名、电话号码及电子邮箱等敏感数据。
二、评分介绍
安全分基于应用安全能力、安全风险、安全响应时效等维度综合评估产出,评分从0分到5分,最低分0分,最高分5分,分值在御城河、开放平台控制台安全中心等页面透出,同时分值将与应用在开放平台、服务市场的权益相关联。
三、评分规则
1、安全分覆盖应用范围:获得R2权限的应用,包括但不限于订单管理、千牛插件、服务商后台系统、客户关系管理、ERP软件、促销管理、进销存软件、分销应用、在线订购应用等类目;
2、安全分由安全能力、安全风险、安全响应三部分构成,各部分评分采用扣分制,最终得分不足0分,按0分计算,满分5分;
3、安全分T+1天更新;
4、具体评分规则:
分类 |
评分类别 |
评分项 |
评分方式 |
安全能力 |
御城河 |
孔明锁 |
是否对接孔明锁,且成功调用 |
订单日志 |
是否接入御城河订单日志,且无字段问题 |
||
登录日志 |
是否对接御城河账号风控(自有账号),且成功调用 |
||
能力建设 |
数据层能力 |
数据获取、存储、传输和使用等环节有相应的数据保护能力 |
|
应用层能力 |
接入应用防护(WAF)并开启防护 账号防护系统,需开启二次验证功能 是否有定期的渗透测试 |
||
系统层能力 |
具备攻击检测及防御能力 |
||
网络层能力 |
开启安全日志分析及审计 具备拒绝服务攻击和聚石塔云资源配置检查的能力 |
||
其他 |
上述要求外的其他安全能力,详细见御城河 |
||
安全风险 |
安全漏洞 |
漏洞整改 |
是否有安全漏洞 |
异常告警 |
风险预警 |
御城河是否有异常行为告警 |
|
安全处罚 |
安全处罚 |
是否存在安全违规处罚 |
|
安全响应 |
时效性 |
风险处理 |
安全整改/风险处理及时性 |
处理超时 |
安全整改/风险处理及时性 |
||
重复退回 |
安全整改是否重复打回整改情况 |
||
加分项 |
安全活动加分 |
积极筹办、参与沙龙和SAEE大会等,并在会议中分享议题 |
|
主动分享、上报服务市场ISV、应用相关风险/事件等,并经过确认为有效的情报 |
|||
积极参加平台安全培训且通过相关考核 |
|||
特殊减分项 |
安全事件 |
出现信息泄露事件,基于案件量级和处理及时性对总分进行扣分 |
四、权益关联
平台会根据安全分提供相关权益,以下权益策略从2021年4月1开始试运行:
1、权益发放规则:平台将在每月15号根据最近一次评分提供相关权益
2、权益发放维度:应用对应的开发者账号
3、权益细项:
(1)开放平台技术服务费折扣:对于已享受15%安全性优惠的开发者,按照规定应用安全评分需要达到4.5分以上才可以继续享受优惠。具体优惠策略:
1)4.5分以上:15%优惠
2)4.0至4.5分:10%优惠
3)4.0分以下:无
(2)应用流量提升:平台对不同安全分数范围的应用划分了不同的流量申请上限。应用现在已经获得流量不会变化,后续新的流量申请将按照以下规则执行。
1)4.5分以上:应用可申请1亿及以上流量
2)4.0至4.5分:应用最高可申请5000万流量
3)3.5至4.0分:应用最高可申请3000万流量
4)3.0至3.5分:应用最高可申请1000万流量
5)3.0分以下:应用最高可申请500万流量
(3)API申请:安全分达到4.0分及以上才可申请API及权限包。
(4)更多的商业机会:安全分达到4.5分及以上可享受更多的商业机会,商业机会会通过开发者社区公示。
(5)更多的新能力优先开放:安全分达到4.5分及以上可享受新能力优先开放使用的权益。
(6)服务市场淘拍档以及安全联盟大会奖项评定与颁发:安全分达到4.5分及以上可享受评选推荐。
(7)红黑榜公示:平台会在每月15号通过开发者社区公示安全红黑榜排名。
(8)安全分激励:平台会针对安全分开展活动,针对应用安全评分排名较高的开发者给予奖励,活动会通过开发者社区公示。